Microsoft merinci SystemContainer, teknologi wadah berbasis perangkat keras yang dibangun ke dalam Windows 10

Sebelum Windows 8, keamanan sistem operasi desktop dibangun hampir seluruhnya dari perangkat lunak. Masalah dengan pendekatan itu adalah jika malware atau penyerang mendapatkan hak istimewa yang cukup, dapat masuk di antara perangkat keras dan sistem operasi, atau mereka berhasil merusak komponen firmware perangkat, mereka juga dapat menemukan cara untuk bersembunyi dari platform dan sisa pertahanan terkait keamanan Anda. Untuk memperbaiki masalah ini, Microsoft membutuhkan kepercayaan perangkat dan platform untuk di-root pada perangkat keras yang tidak dapat diubah, bukan hanya perangkat lunak, yang dapat dirusak.

Dengan perangkat bersertifikasi Windows 8, Microsoft memanfaatkan akar kepercayaan berbasis perangkat keras dengan Boot Aman Universal Extensible Firmware Interface (UEFI). Sekarang, dengan Windows 10, mereka membawa ini ke tingkat berikutnya dengan memastikan bahwa rantai kepercayaan ini juga dapat diverifikasi menggunakan kombinasi komponen keamanan berbasis perangkat keras, seperti Trusted Platform Module (TPM), dan layanan berbasis cloud ( Pengesahan Kesehatan Perangkat (DHA)) yang dapat digunakan untuk memeriksa dan membuktikan integritas perangkat yang sebenarnya dari jarak jauh.

Untuk menerapkan tingkat keamanan ini di miliaran perangkat di seluruh dunia, Microsoft bekerja sama dengan OEM dan vendor chip seperti Intel. Mereka merilis pembaruan firmware reguler untuk UEFI, mengunci konfigurasi UEFI, mengaktifkan UEFI memory protection (NX), menjalankan alat mitigasi kerentanan utama, dan memperkuat platform OS dan kernel SystemContainer (misalnya: WSMT) dari potensi eksploitasi terkait SMM.

Dengan Windows 8, Microsoft datang dengan konsep aplikasi modern (sekarang aplikasi UWP) yang hanya berjalan di dalam AppContainer dan, pengguna benar-benar memberikan aplikasi akses ke sumber daya, seperti dokumen, sesuai permintaan. Dalam kasus aplikasi Win32, setelah Anda membuka aplikasi, itu dapat melakukan apa pun yang pengguna memiliki hak istimewa untuk melakukannya (misalnya: membuka file apa pun; mengubah konfigurasi sistem). Karena AppContainers hanya untuk aplikasi UWP, aplikasi Win32 tetap menjadi tantangan. Dengan Windows 10, Microsoft menghadirkan teknologi wadah berbasis perangkat keras baru yang kami sebut SystemContainer. Ini mirip dengan AppContainer, mengisolasi apa yang berjalan di dalamnya dari sistem dan data lainnya. Perbedaan utama adalah bahwa SystemContainer dirancang untuk melindungi bagian paling sensitif dari sistem – seperti yang mengelola kredensial pengguna atau memberikan pertahanan ke Windows – jauh dari segalanya, termasuk sistem operasi itu sendiri, yang harus kita asumsikan akan dikompromikan.

SystemContainer menggunakan isolasi berbasis perangkat keras dan kemampuan Keamanan Berbasis Virtualisasi (VBS) Windows 10 untuk mengisolasi proses yang berjalan dengannya dari semua hal lain di sistem. VBS menggunakan ekstensi virtualisasi pada prosesor sistem (misalnya: Intel VT-X) untuk mengisolasi ruang memori yang dapat dialamatkan antara dua sistem operasi yang berjalan secara paralel di atas Hyper-V. Sistem operasi satu adalah yang selalu Anda kenal dan gunakan, dan sistem operasi kedua adalah SystemContainer, yang bertindak sebagai lingkungan eksekusi aman yang berjalan diam-diam di belakang layar. Karena penggunaan Hyper-V oleh SystemContainer dan fakta bahwa ia tidak memiliki jaringan, pengalaman pengguna, memori bersama, atau penyimpanan, lingkungan diamankan dengan baik dari serangan. Faktanya, bahkan jika sistem operasi Windows sepenuhnya dikompromikan pada tingkat kernel (yang akan memberikan penyerang tingkat hak istimewa tertinggi), proses dan data dalam SystemContainer masih dapat tetap aman.

Layanan dan data dalam SystemContainer secara dramatis lebih kecil kemungkinannya untuk dikompromikan, karena permukaan serangan untuk komponen ini telah berkurang secara signifikan. SystemContainer mendukung fitur keamanan termasuk Credential, Device Guard, Virtual Trusted Platform Module (vTPM). Microsoft sekarang menambahkan komponen validasi biometrik Windows Hello dan data biometrik pengguna ke dalam SystemContainer dengan Pembaruan Ulang Tahun untuk menjaganya tetap aman. Microsoft juga menyebutkan bahwa mereka akan terus memindahkan beberapa layanan sistem Windows yang paling sensitif ke dalam SystemContainer.