Microsoft navodi SystemContainer, hardversku tehnologiju spremnika ugrađenu u Windows 10

Prije Windows 8, sigurnost operacijskog sustava stolnog računala bila je gotovo u potpunosti izgrađena od softvera. Problem s tim pristupom bio je u tome što ako su zlonamjerni softver ili napadač stekli dovoljno privilegija, mogli ući između hardvera i operativnog sustava, ili su uspjeli mijenjati komponente firmvera uređaja, također su mogli pronaći načine da se sakriju od platforme i ostatak vaše sigurnosne obrane. Kako bi riješio ovaj problem, Microsoftu je bilo potrebno povjerenje uređaja i platforme ukorijenjeno u nepromjenjivi hardver, a ne samo u softver, u koji se može mijenjati.

Uz Windows 8 certificirane uređaje, Microsoft je iskoristio prednost hardverskog korijena povjerenja uz Universal Extensible Firmware Interface (UEFI) Secure Boot. Sada, sa sustavom Windows 10, oni to podižu na sljedeću razinu osiguravajući da se ovaj lanac povjerenja može provjeriti i kombinacijom sigurnosnih komponenti hardverske baze, kao što je modul pouzdane platforme (TPM) i usluge temeljene na oblaku ( Potvrda zdravlja uređaja (DHA)) koja se može koristiti za provjeru i daljinsko potvrđivanje pravog integriteta uređaja.

Kako bi implementirao ovu razinu sigurnosti u milijarde uređaja diljem svijeta, Microsoft surađuje s OEM-ima i dobavljačima čipova poput Intela. Objavljuju redovita ažuriranja firmvera za UEFI, zaključavaju UEFI konfiguracije, omogućuju UEFI zaštitu memorije (NX), pokreću ključne alate za ublažavanje ranjivosti i učvršćuju jezgre platforme OS i SystemContainer (npr.: WSMT) od potencijalnih eksploatacija povezanih s SMM-om.

Uz Windows 8, Microsoft je osmislio koncept modernih aplikacija (sada UWP aplikacije) koje rade samo unutar AppContainer-a i korisnik doslovno daje aplikaciji pristup resursima, poput dokumenta, na zahtjev. U slučaju Win32 aplikacija, nakon što otvorite aplikaciju, ona može učiniti sve što korisnik ima privilegije (npr.: otvoriti bilo koju datoteku; promijeniti konfiguraciju sustava). Budući da su AppContainers samo za UWP aplikacije, Win32 aplikacije su ostale izazov. Uz Windows 10, Microsoft donosi novu tehnologiju spremnika temeljenu na hardveru koju nazivamo SystemContainer. Sličan je AppContaineru, izolira ono što se izvodi unutar njega od ostatka sustava i podataka. Glavna razlika je u tome što je SystemContainer dizajniran da zaštiti najosjetljivije dijelove sustava – poput onih koji upravljaju korisničkim vjerodajnicama ili pružaju obranu Windowsima – daleko od svega, uključujući i sam operativni sustav, za koji moramo pretpostaviti da će biti ugrožen.

SystemContainer koristi hardversku izolaciju i sposobnost Windows 10 Virtualization Based Security (VBS) kako bi izolirao procese koji se s njim pokreću od svega ostalog u sustavu. VBS koristi proširenja za virtualizaciju na procesoru sustava (npr. Intelov VT-X) da izolira adresabilne memorijske prostore između onoga što je zapravo dva operacijska sustava koja rade paralelno na vrhu Hyper-V-a. Operativni sustav jedan je onaj koji ste oduvijek poznavali i upotrebljavali, a operativni sustav dva je SystemContainer, koji djeluje kao sigurno okruženje za izvršavanje koje radi u tišini iza kulisa. Zbog toga što SystemContainer koristi Hyper-V i činjenice da nema mrežu, korisničko iskustvo, zajedničku memoriju ili pohranu, okruženje je dobro zaštićeno od napada. Zapravo, čak i ako je operativni sustav Windows potpuno ugrožen na razini kernela (što bi napadaču dalo najvišu razinu privilegija), procesi i podaci unutar SystemContainer-a i dalje mogu ostati sigurni.

Usluge i podaci unutar SystemContainer-a dramatično su manje vjerojatno da će biti ugroženi, jer je površina napada za ove komponente značajno smanjena. SystemContainer pokreće sigurnosne značajke uključujući vjerodajnice, Device Guard, Virtual Trusted Platform Module (vTPM). Microsoft sada dodaje komponente za provjeru biometrije sustava Windows Hello i korisničke biometrijske podatke u SystemContainer s Anniversary Update kako bi bio siguran. Microsoft je također spomenuo da će nastaviti premještati neke od najosjetljivijih usluga sustava Windows u SystemContainer.