Microsoft detalla SystemContainer, una tecnología de contenedor basada en hardware integrada en Windows 10

Antes de Windows 8, la seguridad del sistema operativo de escritorio se creaba casi en su totalidad a partir del software. El problema con ese enfoque era que si el malware o un atacante obtenían suficientes privilegios, podían interponerse entre el hardware y el sistema operativo, o lograban alterar los componentes del firmware del dispositivo, también podían encontrar formas de esconderse de la plataforma y el resto de sus defensas relacionadas con la seguridad. Para solucionar este problema, Microsoft necesitaba que la confianza en el dispositivo y la plataforma estuviera enraizada en hardware inmutable en lugar de solo software, que se puede manipular.

Con los dispositivos certificados para Windows 8, Microsoft aprovechó una raíz de confianza basada en hardware con el Arranque seguro de la interfaz de firmware extensible universal (UEFI). Ahora, con Windows 10, están llevando esto al siguiente nivel al asegurarse de que esta cadena de confianza también se pueda verificar mediante la combinación de componentes de seguridad basados ​​en hardware, como el Módulo de plataforma segura (TPM) y servicios basados ​​en la nube ( Device Health Attestation (DHA)) que se puede usar para examinar y atestiguar de forma remota la verdadera integridad del dispositivo.

Para implementar este nivel de seguridad en miles de millones de dispositivos en todo el mundo, Microsoft está trabajando con OEM y proveedores de chips como Intel. Están lanzando actualizaciones periódicas de firmware para UEFI, bloqueando las configuraciones de UEFI, habilitando la protección de memoria UEFI (NX), ejecutando herramientas clave de mitigación de vulnerabilidades y fortaleciendo el sistema operativo de la plataforma y los kernels SystemContainer (por ejemplo, WSMT) de posibles vulnerabilidades relacionadas con SMM.

Con Windows 8, a Microsoft se le ocurrió el concepto de aplicaciones modernas (ahora aplicaciones UWP) que se ejecutan solo dentro de AppContainer y el usuario literalmente le da acceso a la aplicación a los recursos, como un documento, a pedido. En el caso de las aplicaciones Win32, una vez que abre la aplicación, puede hacer cualquier cosa para la que el usuario tenga privilegios (por ejemplo, abrir cualquier archivo, cambiar la configuración del sistema). Dado que los AppContainers son solo para aplicaciones UWP, las aplicaciones Win32 siguieron siendo un desafío. Con Windows 10, Microsoft trae una nueva tecnología de contenedor basada en hardware que llamamos SystemContainer. Es similar a un AppContainer, aísla lo que se ejecuta dentro del resto del sistema y los datos. La principal diferencia es que SystemContainer está diseñado para proteger las partes más sensibles del sistema, como las que administran las credenciales de los usuarios o brindan defensa a Windows, lejos de todo, incluido el propio sistema operativo, que debemos suponer que se verá comprometido.

SystemContainer utiliza aislamiento basado en hardware y la capacidad de seguridad basada en virtualización (VBS) de Windows 10 para aislar los procesos que se ejecutan con él de todo lo demás en el sistema. VBS utiliza las extensiones de virtualización en el procesador del sistema (p. ej., VT-X de Intel) para aislar los espacios de memoria direccionables entre lo que en realidad son dos sistemas operativos que se ejecutan en paralelo sobre Hyper-V. El sistema operativo uno es el que siempre ha conocido y usado, y el sistema operativo dos es SystemContainer, que actúa como un entorno de ejecución seguro que se ejecuta silenciosamente entre bastidores. Debido al uso de Hyper-V por parte de SystemContainer y al hecho de que no tiene red, experiencia de usuario, memoria compartida o almacenamiento, el entorno está bien protegido contra ataques. De hecho, incluso si el sistema operativo Windows está completamente comprometido a nivel de kernel (lo que le daría a un atacante el nivel más alto de privilegios), los procesos y los datos dentro de SystemContainer aún pueden permanecer seguros.

Los servicios y los datos dentro de SystemContainer tienen menos probabilidades de verse comprometidos, ya que la superficie de ataque para estos componentes se ha reducido significativamente. SystemContainer impulsa funciones de seguridad que incluyen Credential, Device Guard, Virtual Trusted Platform Module (vTPM). Microsoft ahora está agregando los componentes de validación biométrica de Windows Hello y los datos biométricos del usuario en SystemContainer con la Actualización de aniversario para mantenerlo seguro. Microsoft también mencionó que continuarán moviendo algunos de los servicios del sistema de Windows más sensibles al SystemContainer.