Microsoft détaille SystemContainer, une technologie de conteneur basée sur le matériel intégrée à Windows 10

Avant Windows 8, la sécurité du système d'exploitation de bureau reposait presque entièrement sur des logiciels. Le problème avec cette approche était que si un logiciel malveillant ou un attaquant obtenait suffisamment de privilèges, pouvait s'interposer entre le matériel et le système d'exploitation, ou réussissait à altérer les composants du micrologiciel de l'appareil, il pouvait également trouver des moyens de se cacher de la plate-forme et le reste de vos défenses liées à la sécurité. Pour résoudre ce problème, Microsoft avait besoin que la confiance des appareils et des plates-formes soit enracinée dans un matériel immuable plutôt que simplement dans un logiciel, qui peut être altéré.

Avec les appareils certifiés Windows 8, Microsoft a profité d'une racine de confiance basée sur le matériel avec le démarrage sécurisé UEFI (Universal Extensible Firmware Interface). Maintenant, avec Windows 10, ils font passer cela au niveau supérieur en s'assurant que cette chaîne de confiance peut également être vérifiée à l'aide de la combinaison de composants de sécurité de base matériels, tels que le module de plateforme sécurisée (TPM) et les services basés sur le cloud ( Device Health Attestation (DHA)) qui peut être utilisée pour vérifier et attester à distance de la véritable intégrité de l'appareil.

Pour implémenter ce niveau de sécurité dans des milliards d'appareils à travers le monde, Microsoft travaille avec des équipementiers et des fournisseurs de puces comme Intel. Ils publient des mises à jour régulières du micrologiciel pour UEFI, verrouillent les configurations UEFI, activent la protection de la mémoire UEFI (NX), exécutent des outils clés d'atténuation des vulnérabilités et renforcent le système d'exploitation de la plate-forme et les noyaux SystemContainer (par exemple, WSMT) contre les exploits potentiels liés à SMM.

Avec Windows 8, Microsoft a proposé le concept d'applications modernes (maintenant des applications UWP) qui ne s'exécutent qu'à l'intérieur d'AppContainer et, l'utilisateur donne littéralement à l'application l'accès aux ressources, comme un document, à la demande. Dans le cas des applications Win32, une fois que vous ouvrez l'application, elle peut faire tout ce que l'utilisateur a les privilèges de faire (par exemple : ouvrir n'importe quel fichier ; modifier la configuration du système). Étant donné que les AppContainers sont uniquement destinés aux applications UWP, les applications Win32 sont restées un défi. Avec Windows 10, Microsoft apporte une nouvelle technologie de conteneur basée sur le matériel que nous appelons un SystemContainer. Il est similaire à un AppContainer, isole ce qui s'y exécute du reste du système et des données. La principale différence est que SystemContainer est conçu pour protéger les parties les plus sensibles du système - comme celles qui gèrent les informations d'identification des utilisateurs ou fournissent des défenses à Windows - loin de tout, y compris le système d'exploitation lui-même, dont nous devons supposer qu'il sera compromis.

Le SystemContainer utilise l'isolation basée sur le matériel et la capacité de sécurité basée sur la virtualisation (VBS) de Windows 10 pour isoler les processus qui s'exécutent avec lui de tout le reste du système. VBS utilise les extensions de virtualisation sur le processeur du système (par exemple : le VT-X d'Intel) pour isoler les espaces mémoire adressables entre ce qui est effectivement deux systèmes d'exploitation fonctionnant en parallèle sur Hyper-V. Le système d'exploitation un est celui que vous avez toujours connu et utilisé, et le système d'exploitation deux est le SystemContainer, qui agit comme un environnement d'exécution sécurisé qui s'exécute silencieusement dans les coulisses. En raison de l'utilisation d'Hyper-V par SystemContainer et du fait qu'il n'a pas de réseau, d'expérience utilisateur, de mémoire partagée ou de stockage, l'environnement est bien sécurisé contre les attaques. En fait, même si le système d'exploitation Windows est entièrement compromis au niveau du noyau (ce qui donnerait à un attaquant le niveau de privilège le plus élevé), les processus et les données au sein du SystemContainer peuvent toujours rester sécurisés.

Les services et les données au sein du SystemContainer sont considérablement moins susceptibles d'être compromis, car la surface d'attaque de ces composants a été considérablement réduite. SystemContainer alimente les fonctionnalités de sécurité, notamment Credential, Device Guard, Virtual Trusted Platform Module (vTPM). Microsoft ajoute maintenant les composants de validation biométrique de Windows Hello et les données biométriques de l'utilisateur dans SystemContainer avec la mise à jour anniversaire pour le garder en sécurité. Microsoft a également mentionné qu'il continuerait à déplacer certains des services système Windows les plus sensibles dans le SystemContainer.