مایکروسافت جزئیات SystemContainer، یک فناوری کانتینری مبتنی بر سخت‌افزار است که در ویندوز 10 تعبیه شده است

قبل از ویندوز 8، امنیت سیستم عامل دسکتاپ تقریباً به طور کامل از نرم افزار ساخته شده بود. مشکل این رویکرد این بود که اگر بدافزار یا مهاجم امتیاز کافی به دست آورد، بتواند بین سخت افزار و سیستم عامل قرار بگیرد، یا موفق شود اجزای سفت‌افزار دستگاه را دستکاری کند، می‌تواند راه‌هایی برای مخفی شدن از پلتفرم پیدا کند و بقیه دفاع های مرتبط با امنیت شما برای رفع این مشکل، مایکروسافت به اعتماد دستگاه و پلتفرم نیاز داشت تا در سخت افزار تغییرناپذیر ریشه داشته باشد و نه فقط نرم افزار، که می تواند دستکاری شود.

مایکروسافت با استفاده از دستگاه‌های دارای گواهی ویندوز 8 از یک ریشه اعتماد مبتنی بر سخت‌افزار با بوت امن سیستم عامل توسعه‌پذیر جهانی (UEFI) بهره برد. اکنون، با ویندوز 10، آنها با اطمینان از اینکه این زنجیره اعتماد را می‌توان با استفاده از ترکیب اجزای امنیتی پایه سخت‌افزاری، مانند ماژول پلتفرم مورد اعتماد (TPM) و خدمات مبتنی بر ابر، تأیید کرد، این موضوع را به سطح بعدی ارتقا می‌دهند. گواهی سلامت دستگاه (DHA)) که می تواند برای بررسی و تایید از راه دور یکپارچگی واقعی دستگاه استفاده شود.

برای پیاده سازی این سطح از امنیت در میلیاردها دستگاه در سراسر جهان، مایکروسافت با OEM ها و فروشندگان تراشه مانند اینتل کار می کند. آنها به‌روزرسانی‌های سیستم‌افزار معمولی را برای UEFI منتشر می‌کنند، تنظیمات UEFI را قفل می‌کنند، محافظت از حافظه UEFI (NX) را فعال می‌کنند، ابزارهای کلیدی کاهش آسیب‌پذیری را اجرا می‌کنند و هسته‌های سیستم‌عامل پلتفرم و SystemContainer (مانند WSMT) را از سوءاستفاده‌های احتمالی مرتبط با SMM سخت‌تر می‌کنند.

با ویندوز 8، مایکروسافت مفهوم برنامه‌های مدرن (در حال حاضر برنامه‌های UWP) را ارائه کرد که فقط در AppContainer اجرا می‌شوند و کاربر به معنای واقعی کلمه به برنامه دسترسی به منابع، مانند یک سند، در صورت درخواست را می‌دهد. در مورد برنامه‌های Win32، زمانی که برنامه را باز می‌کنید، می‌تواند هر کاری را که کاربر حق انجام آن را دارد انجام دهد (مثلاً: باز کردن هر فایل، تغییر پیکربندی سیستم). از آنجایی که AppContainers فقط برای برنامه های UWP هستند، برنامه های Win32 همچنان یک چالش باقی می ماند. با ویندوز 10، مایکروسافت فناوری کانتینری مبتنی بر سخت افزار جدیدی را ارائه می کند که ما آن را SystemContainer می نامیم. این شبیه به AppContainer است، آنچه را که در آن در حال اجرا است از بقیه سیستم و داده ها جدا می کند. تفاوت اصلی این است که SystemContainer برای محافظت از حساس‌ترین بخش‌های سیستم - مانند مواردی که اعتبار کاربر را مدیریت می‌کند یا دفاعی برای ویندوز ارائه می‌کند - به دور از همه چیز، از جمله خود سیستم عامل، که باید فرض کنیم در معرض خطر قرار می‌گیرد، طراحی شده است.

SystemContainer از جداسازی مبتنی بر سخت افزار و قابلیت امنیت مبتنی بر مجازی سازی (VBS) ویندوز 10 برای جداسازی فرآیندهای در حال اجرا با آن از هر چیز دیگری در سیستم استفاده می کند. VBS از افزونه های مجازی سازی روی پردازنده سیستم (به عنوان مثال: VT-X اینتل) برای جداسازی فضاهای حافظه آدرس پذیر بین دو سیستم عاملی که به طور موازی در بالای Hyper-V اجرا می شوند، استفاده می کند. سیستم عامل یک سیستمی است که همیشه می شناسید و از آن استفاده می کنید و سیستم عامل دو SystemContainer است که به عنوان یک محیط اجرای امن عمل می کند که به صورت بی صدا در پشت صحنه اجرا می شود. به دلیل استفاده SystemContainer از Hyper-V و این واقعیت که هیچ شبکه، تجربه کاربری، حافظه مشترک یا ذخیره سازی ندارد، محیط به خوبی در برابر حملات ایمن است. در واقع، حتی اگر سیستم عامل ویندوز به طور کامل در سطح هسته به خطر بیفتد (که به مهاجم بالاترین سطح امتیاز را می‌دهد)، فرآیندها و داده‌های درون SystemContainer همچنان می‌توانند امن باقی بمانند.

سرویس ها و داده های درون SystemContainer به طور چشمگیری کمتر به خطر می افتند، زیرا سطح حمله برای این اجزا به میزان قابل توجهی کاهش یافته است. SystemContainer ویژگی های امنیتی از جمله Credential، Device Guard، Virtual Trusted Platform Module (vTPM) را تقویت می کند. مایکروسافت اکنون مولفه‌های اعتبارسنجی بیومتریک Windows Hello و داده‌های بیومتریک کاربر را با به‌روزرسانی Anniversary به SystemContainer اضافه می‌کند تا آن را ایمن نگه دارد. مایکروسافت همچنین اشاره کرد که به انتقال برخی از حساس ترین سرویس های سیستم ویندوز به SystemContainer ادامه خواهد داد.