Microsoft esittelee SystemContaineria, Windows 10:een sisäänrakennettua laitteistopohjaista säilötekniikkaa

Ennen Windows 8:aa työpöytäkäyttöjärjestelmän suojaus rakennettiin lähes kokonaan ohjelmistoista. Tämän lähestymistavan ongelmana oli se, että jos haittaohjelma tai hyökkääjä sai riittävästi oikeuksia, pääsi laitteiston ja käyttöjärjestelmän väliin tai onnistui peukaloimaan laitteen laiteohjelmiston osia, he voisivat myös löytää tapoja piiloutua alustalta ja muut turvallisuuteen liittyvät puolustuksesi. Korjatakseen tämän ongelman Microsoft tarvitsi laitteen ja alustan luottamuksen juurruttavan muuttumattomiin laitteistoihin pelkän ohjelmiston sijaan, jota voidaan peukaloida.

Windows 8 -sertifioiduissa laitteissa Microsoft hyödynsi laitteistopohjaista luottamuksen juuria Universal Extensible Firmware Interface (UEFI) -turvallisen käynnistyksen avulla. Nyt Windows 10:n myötä he vievät tämän uudelle tasolle varmistamalla, että tämä luottamusketju voidaan varmentaa myös laitteistopohjaisten tietoturvakomponenttien, kuten Trusted Platform Module (TPM) ja pilvipohjaisten palvelujen ( Device Health Attestation (DHA)), jota voidaan käyttää laitteen todellisen eheyden tarkastamiseen ja etätodentamiseen.

Microsoft tekee yhteistyötä OEM-valmistajien ja sirutoimittajien, kuten Intelin, kanssa toteuttaakseen tämän tietoturvatason miljardeissa laitteissa ympäri maailmaa. He julkaisevat säännöllisiä laiteohjelmistopäivityksiä UEFI:lle, lukitsevat UEFI-kokoonpanot, ottavat käyttöön UEFI-muistin suojauksen (NX), käyttävät tärkeitä haavoittuvuuden lieventämistyökaluja ja kovettavat alustan käyttöjärjestelmän ja SystemContainer-ytimiä (esim. WSMT) mahdollisilta SMM-hyötyhyökkäyksiltä.

Windows 8:n myötä Microsoft keksi nykyaikaisten sovellusten (nykyisin UWP-sovellusten) konseptin, joka toimii vain AppContainerin sisällä ja käyttäjä kirjaimellisesti antaa sovellukselle pääsyn resursseihin, kuten asiakirjaan, pyynnöstä. Win32-sovelluksissa, kun avaat sovelluksen, se voi tehdä mitä tahansa, mihin käyttäjällä on oikeudet (esim.: avata mikä tahansa tiedosto; muuttaa järjestelmän asetuksia). Koska AppContainers on tarkoitettu vain UWP-sovelluksille, Win32-sovellukset pysyivät haasteena. Windows 10:n myötä Microsoft tuo uuden laitteistopohjaisen säilöteknologian, jota kutsumme SystemContaineriksi. Se on samanlainen kuin AppContainer, ja se eristää siinä käynnissä olevan järjestelmän muusta järjestelmästä ja tiedoista. Suurin ero on, että SystemContainer on suunniteltu suojaamaan järjestelmän herkimmät osat – kuten ne, jotka hallitsevat käyttäjätunnuksia tai tarjoavat suojan Windowsille – pois kaikesta, mukaan lukien itse käyttöjärjestelmä, jonka meidän on oletettava vaarantuvan.

SystemContainer käyttää laitteistopohjaista eristystä ja Windows 10:n Virtualization Based Security (VBS) -ominaisuutta eristääkseen sen kanssa käynnissä olevat prosessit kaikesta muusta järjestelmästä. VBS käyttää järjestelmän prosessorin virtualisointilaajennuksia (esim. Intelin VT-X) eristämään osoitettavat muistitilat käytännössä kahden Hyper-V:n päällä rinnakkain toimivan käyttöjärjestelmän välillä. Käyttöjärjestelmä yksi on se, jonka olet aina tuntenut ja käyttänyt, ja käyttöjärjestelmä kaksi on SystemContainer, joka toimii turvallisena suoritusympäristönä, joka toimii äänettömästi kulissien takana. Koska SystemContainer käyttää Hyper-V:tä ja sillä ei ole verkkoa, käyttökokemusta, jaettua muistia tai tallennustilaa, ympäristö on hyvin suojattu hyökkäyksiltä. Itse asiassa, vaikka Windows-käyttöjärjestelmä olisi täysin vaarantunut ydintasolla (mikä antaisi hyökkääjälle korkeimman tason oikeudet), SystemContainerin prosessit ja tiedot voivat silti pysyä turvassa.

SystemContainerin palvelut ja tiedot vaarantuvat huomattavasti vähemmän, koska näiden komponenttien hyökkäyspinta on vähentynyt merkittävästi. SystemContainer tarjoaa suojausominaisuuksia, kuten Credential, Device Guard, Virtual Trusted Platform Module (vTPM). Microsoft lisää nyt Windows Hellon biometristen tietojen vahvistuskomponentit ja käyttäjän biometriset tiedot SystemContaineriin vuosipäiväpäivityksen avulla pitääkseen sen turvassa. Microsoft mainitsi myös, että he jatkavat joidenkin herkimpien Windows-järjestelmäpalvelujen siirtämistä SystemContaineriin.