Microsoft는 Windows 10에 내장된 하드웨어 기반 컨테이너 기술인 SystemContainer에 대해 자세히 설명합니다.

» Microsoft

독서 시간 아이콘 4 분. 읽다

달력 아이콘 에 게시됨

by 프라딥 비스와브 

에 게시

이 기사 공유

독자들은 MSpoweruser를 지원하는 데 도움을 줍니다. 당사의 링크를 통해 구매하시면 수수료를 받을 수 있습니다. 툴팁 아이콘

공개 페이지를 읽고 MSPoweruser가 편집팀을 유지하는 데 어떻게 도움을 줄 수 있는지 알아보세요. 자세히 보기

Windows 10 시스템 컨테이너

Windows 8 이전에는 데스크톱 운영 체제 보안이 거의 전적으로 소프트웨어로 구축되었습니다. 이 접근 방식의 문제는 맬웨어 또는 공격자가 충분한 권한을 얻거나 하드웨어와 운영 체제 사이에 들어갈 수 있거나 장치의 펌웨어 구성 요소를 조작할 수 있는 경우 플랫폼에서 숨길 방법을 찾을 수도 있다는 것입니다. 나머지 보안 관련 방어. 이 문제를 해결하기 위해 Microsoft는 변조될 수 있는 단순한 소프트웨어가 아니라 변경할 수 없는 하드웨어에 기반을 둔 장치 및 플랫폼 신뢰가 필요했습니다.

Windows 8 인증 장치를 통해 Microsoft는 UEFI(Universal Extensible Firmware Interface) 보안 부팅을 통해 하드웨어 기반 신뢰 루트를 활용했습니다. 이제 Windows 10에서는 TPM(신뢰할 수 있는 플랫폼 모듈) 및 클라우드 기반 서비스( 장치의 진정한 무결성을 검사하고 원격으로 증명하는 데 사용할 수 있는 DHA(장치 상태 증명).

전 세계 수십억 대의 장치에서 이러한 수준의 보안을 구현하기 위해 Microsoft는 OEM 및 Intel과 같은 칩 공급업체와 협력하고 있습니다. UEFI에 대한 정기 펌웨어 업데이트를 릴리스하고, UEFI 구성을 잠그고, UEFI 메모리 보호(NX)를 활성화하고, 주요 취약성 완화 도구를 실행하고, 잠재적인 SMM 관련 악용으로부터 플랫폼 OS 및 SystemContainer 커널(예: WSMT)을 강화합니다.

Windows 8에서 Microsoft는 AppContainer 내에서만 실행되는 최신 앱(현재 UWP 앱)의 개념을 제시했으며, 사용자는 말 그대로 요청 시 문서와 같은 리소스에 대한 액세스 권한을 앱에 부여합니다. Win32 앱의 경우 앱을 열면 사용자에게 권한이 있는 모든 작업을 수행할 수 있습니다(예: 파일 열기, 시스템 구성 변경). AppContainers는 UWP 앱 전용이므로 Win32 앱은 여전히 ​​도전 과제였습니다. Windows 10에서 Microsoft는 SystemContainer라고 하는 새로운 하드웨어 기반 컨테이너 기술을 도입하고 있습니다. AppContainer와 유사하며, 시스템 및 데이터의 나머지 부분에서 실행 중인 항목을 분리합니다. 주요 차이점은 SystemContainer는 사용자 자격 증명을 관리하거나 Windows에 대한 방어를 제공하는 것과 같은 시스템의 가장 민감한 부분을 손상될 것으로 가정해야 하는 운영 체제 자체를 포함한 모든 것에서 보호하도록 설계되었다는 것입니다.

SystemContainer는 하드웨어 기반 격리 및 Windows 10의 VBS(가상화 기반 보안) 기능을 사용하여 함께 실행되는 프로세스를 시스템의 다른 모든 것과 격리합니다. VBS는 시스템 프로세서의 가상화 확장(예: Intel의 VT-X)을 사용하여 Hyper-V 위에서 병렬로 실행되는 두 운영 체제 사이의 주소 지정 가능한 메모리 공간을 분리합니다. 운영 체제 XNUMX은 당신이 항상 알고 사용하는 것이고, 운영 체제 XNUMX는 무대 뒤에서 조용히 실행되는 안전한 실행 환경 역할을 하는 SystemContainer입니다. SystemContainer가 Hyper-V를 사용하고 네트워크, 사용자 경험, 공유 메모리 또는 저장소가 없다는 사실 때문에 환경은 공격으로부터 잘 보호됩니다. 실제로 Windows 운영 체제가 커널 수준(공격자에게 최고 수준의 권한을 부여함)에서 완전히 손상되더라도 SystemContainer 내의 프로세스와 데이터는 여전히 안전하게 유지될 수 있습니다.

SystemContainer 내의 서비스와 데이터는 이러한 구성 요소에 대한 공격 표면이 크게 줄어들었기 때문에 손상될 가능성이 크게 줄어듭니다. SystemContainer는 Credential, Device Guard, vTPM(Virtual Trusted Platform Module)을 비롯한 보안 기능을 강화합니다. Microsoft는 이제 Windows Hello의 생체 인식 유효성 검사 구성 요소와 사용자의 생체 인식 데이터를 XNUMX주년 업데이트와 함께 SystemContainer에 추가하여 보안을 유지하고 있습니다. Microsoft는 또한 가장 민감한 Windows 시스템 서비스 중 일부를 SystemContainer로 계속 이동할 것이라고 언급했습니다.

주제에 대한 추가 정보: 장치 상태 증명, DHA, 마이크로 소프트, TPM, 신뢰할 수있는 플랫폼 모듈, UEFI, 범용 확장 가능한 펌웨어 인터페이스, 윈도우 10

프라딥 비스와브

프라딥 비스와브 방패

소프트웨어 및 서비스 전문가

Pradeep은 컴퓨터 과학 및 공학 졸업생입니다. 그는 또한 Microsoft 학생 파트너이기도 했습니다. 그는 현재 선도적인 IT 기업에 근무하고 있습니다.