Microsoftは、Windows10に組み込まれているハードウェアベースのコンテナテクノロジであるSystemContainerについて詳しく説明しています。

ホーム » Microsoft

読書時間アイコン 4分。 読んだ

カレンダーアイコン 上で公開

by プラディープ・ヴィスワフ 

上の公表

この記事を共有する

読者は MSpoweruser のサポートを支援します。私たちのリンクを通じて購入すると、手数料が発生する場合があります。 ツールチップアイコン

MSPoweruser の編集チームの維持にどのように貢献できるかについては、開示ページをお読みください。 続きを読む

Windows10システムコンテナ

Windows 8より前は、デスクトップオペレーティングシステムのセキュリティはほぼ完全にソフトウェアから構築されていました。 このアプローチの問題は、マルウェアまたは攻撃者が十分な特権を取得した場合、ハードウェアとオペレーティングシステムの間に侵入した場合、またはデバイスのファームウェアコンポーネントを改ざんした場合に、プラットフォームから隠れて残りのセキュリティ関連の防御。 この問題を解決するために、Microsoftは、改ざんされる可能性のあるソフトウェアだけでなく、不変のハードウェアに根ざしたデバイスとプラットフォームの信頼を必要としていました。

Windows 8認定デバイスでは、MicrosoftはUniversal Extensible Firmware Interface(UEFI)セキュアブートを備えたハードウェアベースの信頼のルートを利用しました。 現在、Windows 10では、トラステッドプラットフォームモジュール(TPM)などのハードウェアベースのセキュリティコンポーネントとクラウドベースのサービス(デバイスの真の整合性を検証し、リモートで証明するために使用できるデバイスヘルスアテステーション(DHA))。

このレベルのセキュリティを世界中の数十億のデバイスに実装するために、MicrosoftはOEMやIntelなどのチップベンダーと協力しています。 彼らは、UEFIの定期的なファームウェア更新をリリースし、UEFI構成をロックダウンし、UEFIメモリ保護(NX)を有効にし、主要な脆弱性軽減ツールを実行し、潜在的なSMM関連のエクスプロイトからプラットフォームOSおよびSystemContainerカーネル(例:WSMT)を強化しています。

Windows 8では、MicrosoftはAppContainer内でのみ実行される最新のアプリ(現在はUWPアプリ)の概念を考案し、ユーザーは文字通り、オンデマンドでドキュメントなどのリソースへのアクセスをアプリに提供します。 Win32アプリの場合、アプリを開くと、ユーザーが実行できる権限をすべて実行できます(たとえば、任意のファイルを開く、システム構成を変更する)。 AppContainersはUWPアプリ専用であるため、Win32アプリは依然として課題でした。 Windows 10では、MicrosoftはSystemContainerと呼ばれる新しいハードウェアベースのコンテナーテクノロジを導入しています。 これはAppContainerに似ており、AppContainer内で実行されているものを、システムの他の部分やデータから分離します。 主な違いは、SystemContainerは、ユーザー資格情報の管理やWindowsに対する防御の提供など、システムの最も機密性の高い部分を、オペレーティングシステム自体を含むすべてから保護するように設計されていることです。

SystemContainerは、ハードウェアベースの分離とWindows 10の仮想化ベースのセキュリティ(VBS)機能を使用して、SystemContainerで実行されているプロセスをシステム上の他のすべてのものから分離します。 VBSは、システムのプロセッサ(IntelのVT-Xなど)の仮想化拡張機能を使用して、Hyper-V上で並行して実行されているXNUMXつのオペレーティングシステム間のアドレス可能なメモリスペースを分離します。 オペレーティングシステムXNUMXは、あなたが常に知っていて使用しているものであり、オペレーティングシステムXNUMXはSystemContainerであり、舞台裏で静かに実行される安全な実行環境として機能します。 SystemContainerはHyper-Vを使用しており、ネットワーク、ユーザーエクスペリエンス、共有メモリ、またはストレージがないため、環境は攻撃から十分に保護されています。 実際、Windowsオペレーティングシステムがカーネルレベルで完全に侵害された場合でも(攻撃者に最高レベルの特権を与える)、SystemContainer内のプロセスとデータは引き続き安全です。

SystemContainer内のサービスとデータは、これらのコンポーネントの攻撃対象領域が大幅に削減されているため、危険にさらされる可能性が大幅に低くなります。 SystemContainerは、資格情報、デバイスガード、仮想トラステッドプラットフォームモジュール(vTPM)などのセキュリティ機能を強化します。 Microsoftは現在、Windows Helloの生体認証コンポーネントとユーザーの生体認証データを記念日更新を使用してSystemContainerに追加し、安全性を維持しています。 Microsoftはまた、最も機密性の高いWindowsシステムサービスのいくつかをSystemContainerに移動し続けると述べました。

トピックの詳細: デバイスヘルスアテステーション, DHAは, マイクロソフト, TPM, トラステッド・プラットフォーム・モジュール, UEFI, ユニバーサル拡張ファームウェアインターフェイス, 10窓

プラディープ・ヴィスワフ

プラディープ・ヴィスワフ シールド

ソフトウェアおよびサービスの専門家

Pradeep はコンピュータ サイエンスとエンジニアリングの卒業生です。 彼はマイクロソフトの学生パートナーでもありました。 現在は大手IT企業に勤務。