مایکروسافت جزئیات SystemContainer، یک فناوری کانتینری مبتنی بر سختافزار است که در ویندوز 10 تعبیه شده است
4 دقیقه خواندن
منتشر شده در
صفحه افشای ما را بخوانید تا بدانید چگونه می توانید به MSPoweruser کمک کنید تا تیم تحریریه را حفظ کند ادامه مطلب
قبل از ویندوز 8، امنیت سیستم عامل دسکتاپ تقریباً به طور کامل از نرم افزار ساخته شده بود. مشکل این رویکرد این بود که اگر بدافزار یا مهاجم امتیاز کافی به دست آورد، بتواند بین سخت افزار و سیستم عامل قرار بگیرد، یا موفق شود اجزای سفتافزار دستگاه را دستکاری کند، میتواند راههایی برای مخفی شدن از پلتفرم پیدا کند و بقیه دفاع های مرتبط با امنیت شما برای رفع این مشکل، مایکروسافت به اعتماد دستگاه و پلتفرم نیاز داشت تا در سخت افزار تغییرناپذیر ریشه داشته باشد و نه فقط نرم افزار، که می تواند دستکاری شود.
مایکروسافت با استفاده از دستگاههای دارای گواهی ویندوز 8 از یک ریشه اعتماد مبتنی بر سختافزار با بوت امن سیستم عامل توسعهپذیر جهانی (UEFI) بهره برد. اکنون، با ویندوز 10، آنها با اطمینان از اینکه این زنجیره اعتماد را میتوان با استفاده از ترکیب اجزای امنیتی پایه سختافزاری، مانند ماژول پلتفرم مورد اعتماد (TPM) و خدمات مبتنی بر ابر، تأیید کرد، این موضوع را به سطح بعدی ارتقا میدهند. گواهی سلامت دستگاه (DHA)) که می تواند برای بررسی و تایید از راه دور یکپارچگی واقعی دستگاه استفاده شود.
برای پیاده سازی این سطح از امنیت در میلیاردها دستگاه در سراسر جهان، مایکروسافت با OEM ها و فروشندگان تراشه مانند اینتل کار می کند. آنها بهروزرسانیهای سیستمافزار معمولی را برای UEFI منتشر میکنند، تنظیمات UEFI را قفل میکنند، محافظت از حافظه UEFI (NX) را فعال میکنند، ابزارهای کلیدی کاهش آسیبپذیری را اجرا میکنند و هستههای سیستمعامل پلتفرم و SystemContainer (مانند WSMT) را از سوءاستفادههای احتمالی مرتبط با SMM سختتر میکنند.
با ویندوز 8، مایکروسافت مفهوم برنامههای مدرن (در حال حاضر برنامههای UWP) را ارائه کرد که فقط در AppContainer اجرا میشوند و کاربر به معنای واقعی کلمه به برنامه دسترسی به منابع، مانند یک سند، در صورت درخواست را میدهد. در مورد برنامههای Win32، زمانی که برنامه را باز میکنید، میتواند هر کاری را که کاربر حق انجام آن را دارد انجام دهد (مثلاً: باز کردن هر فایل، تغییر پیکربندی سیستم). از آنجایی که AppContainers فقط برای برنامه های UWP هستند، برنامه های Win32 همچنان یک چالش باقی می ماند. با ویندوز 10، مایکروسافت فناوری کانتینری مبتنی بر سخت افزار جدیدی را ارائه می کند که ما آن را SystemContainer می نامیم. این شبیه به AppContainer است، آنچه را که در آن در حال اجرا است از بقیه سیستم و داده ها جدا می کند. تفاوت اصلی این است که SystemContainer برای محافظت از حساسترین بخشهای سیستم - مانند مواردی که اعتبار کاربر را مدیریت میکند یا دفاعی برای ویندوز ارائه میکند - به دور از همه چیز، از جمله خود سیستم عامل، که باید فرض کنیم در معرض خطر قرار میگیرد، طراحی شده است.
SystemContainer از جداسازی مبتنی بر سخت افزار و قابلیت امنیت مبتنی بر مجازی سازی (VBS) ویندوز 10 برای جداسازی فرآیندهای در حال اجرا با آن از هر چیز دیگری در سیستم استفاده می کند. VBS از افزونه های مجازی سازی روی پردازنده سیستم (به عنوان مثال: VT-X اینتل) برای جداسازی فضاهای حافظه آدرس پذیر بین دو سیستم عاملی که به طور موازی در بالای Hyper-V اجرا می شوند، استفاده می کند. سیستم عامل یک سیستمی است که همیشه می شناسید و از آن استفاده می کنید و سیستم عامل دو SystemContainer است که به عنوان یک محیط اجرای امن عمل می کند که به صورت بی صدا در پشت صحنه اجرا می شود. به دلیل استفاده SystemContainer از Hyper-V و این واقعیت که هیچ شبکه، تجربه کاربری، حافظه مشترک یا ذخیره سازی ندارد، محیط به خوبی در برابر حملات ایمن است. در واقع، حتی اگر سیستم عامل ویندوز به طور کامل در سطح هسته به خطر بیفتد (که به مهاجم بالاترین سطح امتیاز را میدهد)، فرآیندها و دادههای درون SystemContainer همچنان میتوانند امن باقی بمانند.
سرویس ها و داده های درون SystemContainer به طور چشمگیری کمتر به خطر می افتند، زیرا سطح حمله برای این اجزا به میزان قابل توجهی کاهش یافته است. SystemContainer ویژگی های امنیتی از جمله Credential، Device Guard، Virtual Trusted Platform Module (vTPM) را تقویت می کند. مایکروسافت اکنون مولفههای اعتبارسنجی بیومتریک Windows Hello و دادههای بیومتریک کاربر را با بهروزرسانی Anniversary به SystemContainer اضافه میکند تا آن را ایمن نگه دارد. مایکروسافت همچنین اشاره کرد که به انتقال برخی از حساس ترین سرویس های سیستم ویندوز به SystemContainer ادامه خواهد داد.