מיקרוסופט מפרטת את SystemContainer, טכנולוגיית מיכל מבוססת חומרה המובנית ב-Windows 10
4 דקות לקרוא
פורסם ב
שתף את המאמר הזה
שפר את המדריך הזה
קרא את דף הגילויים שלנו כדי לגלות כיצד תוכל לעזור ל-MSPoweruser לקיים את צוות העריכה קראו עוד
לפני Windows 8, אבטחת מערכת ההפעלה שולחנית נבנתה כמעט לחלוטין מתוכנה. הבעיה בגישה הזו הייתה שאם תוכנות זדוניות או תוקף קיבלו הרשאות מספיקות, יכלו להיכנס בין החומרה למערכת ההפעלה, או שהם הצליחו להתעסק ברכיבי הקושחה של המכשיר, הם יכלו גם למצוא דרכים להתחבא מהפלטפורמה. שאר ההגנות הקשורות לאבטחה שלך. כדי לתקן בעיה זו, מיקרוסופט הייתה זקוקה לאמון במכשירים ובפלטפורמות שיהיו מושרשים בחומרה בלתי ניתנת לשינוי ולא רק בתוכנה, שניתן להתעסק איתה.
עם התקנים מאושרים של Windows 8, מיקרוסופט ניצלה בסיס אמון מבוסס חומרה עם אתחול מאובטח של ממשק קושחה מורחב אוניברסלי (UEFI). כעת, עם Windows 10, הם לוקחים את זה לשלב הבא על ידי כך שהם מוודאים שניתן לאמת את שרשרת האמון הזו גם באמצעות השילוב של רכיבי אבטחה בסיסיים בחומרה, כגון Trusted Platform Module (TPM), ושירותים מבוססי ענן ( אישור בריאות מכשיר (DHA)) שניתן להשתמש בו כדי לבדוק ולהעיד מרחוק על תקינותו האמיתית של המכשיר.
כדי ליישם רמת אבטחה זו במיליארדי מכשירים ברחבי העולם, מיקרוסופט עובדת עם יצרני OEM וספקי שבבים כמו אינטל. הם משחררים עדכוני קושחה רגילים עבור UEFI, נועלים את תצורות UEFI, מאפשרים הגנת זיכרון UEFI (NX), מריצים כלים להפחתת פגיעות מפתח, ומקשיחים את גרעיני מערכת ההפעלה וה-SystemContainer של הפלטפורמה (למשל: WSMT) מפני ניצולים פוטנציאליים הקשורים ל-SMM.
עם Windows 8, מיקרוסופט המציאה את הרעיון של אפליקציות מודרניות (כיום אפליקציות UWP) שפועלות רק בתוך AppContainer, והמשתמש ממש נותן לאפליקציה גישה למשאבים, כמו מסמך, לפי דרישה. במקרה של אפליקציות Win32, ברגע שפותחים את האפליקציה, היא יכולה לעשות כל מה שיש למשתמש הרשאות לעשות (למשל: לפתוח כל קובץ; לשנות את תצורת המערכת). מכיוון ש-AppContainers מיועדים רק לאפליקציות UWP, אפליקציות Win32 נותרו אתגר. עם Windows 10, מיקרוסופט מביאה טכנולוגיית מיכל חדשה מבוססת חומרה שאנו קוראים לה SystemContainer. הוא דומה ל-AppContainer, מבודד את מה שרץ בתוכו משאר המערכת והנתונים. ההבדל העיקרי הוא ש-SystemContainer נועד להגן על החלקים הרגישים ביותר של המערכת - כמו אלה שמנהלים את אישורי המשתמש או מספקים הגנות ל-Windows - הרחק מהכל, כולל מערכת ההפעלה עצמה, שעלינו להניח שהיא תיפגע.
SystemContainer משתמש בבידוד מבוסס חומרה וביכולת וירטואליזציה מבוססת אבטחה (VBS) של Windows 10 כדי לבודד את התהליכים הפועלים איתו מכל השאר במערכת. VBS משתמש בהרחבות הווירטואליזציה במעבד של המערכת (לדוגמה: VT-X של אינטל) כדי לבודד את מרחבי הזיכרון הניתנים להתייחסות בין מה שהן למעשה שתי מערכות הפעלה הפועלות במקביל על גבי Hyper-V. מערכת הפעלה אחת היא זו שתמיד הכרת ומשתמשת בה, ומערכת הפעלה שניה היא SystemContainer, הפועלת כסביבת ביצוע מאובטחת שפועלת בשקט מאחורי הקלעים. בגלל השימוש של SystemContainer ב-Hyper-V והעובדה שאין לו רשת, חווית משתמש, זיכרון משותף או אחסון, הסביבה מאובטחת היטב מפני התקפות. למעשה, גם אם מערכת ההפעלה Windows נפגעת במלואה ברמת הקרנל (מה שיעניק לתוקף את רמת ההרשאות הגבוהה ביותר), התהליכים והנתונים בתוך SystemContainer עדיין יכולים להישאר מאובטחים.
שירותים ונתונים בתוך SystemContainer צפויים להיפגע באופן דרמטי, מכיוון ששטח ההתקפה של רכיבים אלה הצטמצם באופן משמעותי. SystemContainer מפעיל תכונות אבטחה כולל Credential, Device Guard, Virtual Trusted Platform Module (vTPM). מיקרוסופט מוסיפה כעת את רכיבי האימות הביומטרי של Windows Hello ואת הנתונים הביומטריים של המשתמש לתוך SystemContainer עם עדכון יום השנה כדי לשמור על אבטחתו. מיקרוסופט גם ציינה שהם ימשיכו להעביר כמה משירותי מערכת Windows הרגישים ביותר ל-SystemContainer.
