Η Microsoft αναφέρει το SystemContainer, μια τεχνολογία κοντέινερ που βασίζεται σε υλικό ενσωματωμένη στα Windows 10

Πριν από τα Windows 8, η ασφάλεια του λειτουργικού συστήματος για επιτραπέζιους υπολογιστές κατασκευαζόταν σχεδόν εξ ολοκλήρου από λογισμικό. Το πρόβλημα με αυτή την προσέγγιση ήταν ότι εάν το κακόβουλο λογισμικό ή κάποιος εισβολέας αποκτούσε αρκετά προνόμια, μπορούσε να μπει ανάμεσα στο υλικό και το λειτουργικό σύστημα ή κατάφερνε να παραβιάσει τα στοιχεία υλικολογισμικού της συσκευής, θα μπορούσαν επίσης να βρουν τρόπους να κρυφτούν από την πλατφόρμα και τις υπόλοιπες άμυνες που σχετίζονται με την ασφάλεια. Για να επιλύσει αυτό το πρόβλημα, η Microsoft χρειαζόταν την εμπιστοσύνη των συσκευών και της πλατφόρμας για να βασίζεται σε αμετάβλητο υλικό και όχι μόνο σε λογισμικό, το οποίο μπορεί να παραβιαστεί.

Με συσκευές πιστοποιημένες με Windows 8, η Microsoft εκμεταλλεύτηκε μια ρίζα εμπιστοσύνης βασισμένη στο υλικό με την Ασφαλή εκκίνηση του Universal Extensible Firmware Interface (UEFI). Τώρα, με τα Windows 10, το πηγαίνουν στο επόμενο επίπεδο διασφαλίζοντας ότι αυτή η αλυσίδα αξιοπιστίας μπορεί επίσης να επαληθευτεί χρησιμοποιώντας το συνδυασμό στοιχείων ασφαλείας βάσης υλικού, όπως το Trusted Platform Module (TPM) και υπηρεσίες που βασίζονται στο cloud ( Βεβαίωση υγείας συσκευής (DHA)) που μπορεί να χρησιμοποιηθεί για τον έλεγχο και την εξ αποστάσεως επιβεβαίωση της πραγματικής ακεραιότητας της συσκευής.

Για να εφαρμόσει αυτό το επίπεδο ασφάλειας σε δισεκατομμύρια συσκευές σε όλο τον κόσμο, η Microsoft συνεργάζεται με OEM και προμηθευτές chip όπως η Intel. Κυκλοφορούν τακτικές ενημερώσεις υλικολογισμικού για το UEFI, κλειδώνουν τις ρυθμίσεις παραμέτρων UEFI, ενεργοποιούν την προστασία μνήμης UEFI (NX), εκτελούν βασικά εργαλεία μετριασμού ευπάθειας και σκληραίνουν τους πυρήνες του λειτουργικού συστήματος και του SystemContainer της πλατφόρμας (π.χ.: WSMT) από πιθανά exploits που σχετίζονται με SMM.

Με τα Windows 8, η Microsoft κατέληξε στην ιδέα των σύγχρονων εφαρμογών (τώρα εφαρμογών UWP) που εκτελούνται μόνο μέσα στο AppContainer και, ο χρήστης κυριολεκτικά δίνει στην εφαρμογή πρόσβαση σε πόρους, όπως ένα έγγραφο, κατόπιν αιτήματος. Στην περίπτωση των εφαρμογών Win32, μόλις ανοίξετε την εφαρμογή, μπορεί να κάνει οτιδήποτε έχει τα προνόμια να κάνει ο χρήστης (π.χ.: άνοιγμα οποιουδήποτε αρχείου, αλλαγή διαμόρφωσης συστήματος). Δεδομένου ότι τα AppContainers προορίζονται μόνο για εφαρμογές UWP, οι εφαρμογές Win32 παρέμειναν μια πρόκληση. Με τα Windows 10, η Microsoft φέρνει μια νέα τεχνολογία κοντέινερ με βάση το υλικό που ονομάζουμε SystemContainer. Είναι παρόμοιο με ένα AppContainer, απομονώνει ό,τι τρέχει μέσα του από το υπόλοιπο σύστημα και δεδομένα. Η κύρια διαφορά είναι ότι το SystemContainer έχει σχεδιαστεί για να προστατεύει τα πιο ευαίσθητα μέρη του συστήματος –όπως αυτά που διαχειρίζονται τα διαπιστευτήρια χρήστη ή παρέχουν άμυνες στα Windows– μακριά από τα πάντα, συμπεριλαμβανομένου του ίδιου του λειτουργικού συστήματος, το οποίο πρέπει να υποθέσουμε ότι θα παραβιαστεί.

Το SystemContainer χρησιμοποιεί απομόνωση με βάση το υλικό και τη δυνατότητα Virtualization Based Security (VBS) των Windows 10 για να απομονώσει τις διεργασίες που εκτελούνται με αυτό από οτιδήποτε άλλο στο σύστημα. Το VBS χρησιμοποιεί τις επεκτάσεις εικονικοποίησης στον επεξεργαστή του συστήματος (π.χ.: VT-X της Intel) για να απομονώσει τους διευθυνσιοδοτούμενους χώρους μνήμης μεταξύ δύο λειτουργικών συστημάτων που εκτελούνται παράλληλα πάνω από το Hyper-V. Το λειτουργικό σύστημα ένα είναι αυτό που πάντα γνωρίζατε και χρησιμοποιείτε, και το λειτουργικό σύστημα δύο είναι το SystemContainer, το οποίο λειτουργεί ως ασφαλές περιβάλλον εκτέλεσης που λειτουργεί αθόρυβα στα παρασκήνια. Λόγω της χρήσης του Hyper-V από το SystemContainer και του γεγονότος ότι δεν διαθέτει δίκτυο, εμπειρία χρήστη, κοινόχρηστη μνήμη ή χώρο αποθήκευσης, το περιβάλλον είναι καλά προστατευμένο από επιθέσεις. Στην πραγματικότητα, ακόμα κι αν το λειτουργικό σύστημα των Windows παραβιαστεί πλήρως σε επίπεδο πυρήνα (πράγμα που θα έδινε σε έναν εισβολέα το υψηλότερο επίπεδο προνομίων), οι διαδικασίες και τα δεδομένα εντός του SystemContainer μπορούν να παραμείνουν ασφαλή.

Οι υπηρεσίες και τα δεδομένα εντός του SystemContainer είναι δραματικά λιγότερο πιθανό να τεθούν σε κίνδυνο, καθώς η επιφάνεια επίθεσης για αυτά τα στοιχεία έχει μειωθεί σημαντικά. Το SystemContainer εξουσιοδοτεί χαρακτηριστικά ασφαλείας, όπως το Credential, το Device Guard, το Virtual Trusted Platform Module (vTPM). Η Microsoft προσθέτει τώρα τα στοιχεία επικύρωσης βιομετρικών στοιχείων του Windows Hello και τα βιομετρικά δεδομένα του χρήστη στο SystemContainer με την Ενημέρωση Επετείου για να το διατηρεί ασφαλές. Η Microsoft ανέφερε επίσης ότι θα συνεχίσει να μεταφέρει ορισμένες από τις πιο ευαίσθητες υπηρεσίες συστήματος των Windows στο SystemContainer.