Microsoft geeft informatie over SystemContainer, een op hardware gebaseerde containertechnologie ingebouwd in Windows 10

Vóór Windows 8 was de beveiliging van het desktopbesturingssysteem bijna volledig opgebouwd uit software. Het probleem met die aanpak was dat als malware of een aanvaller voldoende privileges kreeg, tussen de hardware en het besturingssysteem kon komen, of als ze erin slaagden te knoeien met de firmwarecomponenten van het apparaat, ze ook manieren konden vinden om zich te verbergen voor het platform en de rest van uw beveiligingsgerelateerde verdedigingen. Om dit probleem op te lossen, had Microsoft het vertrouwen van apparaten en platforms nodig om geworteld te zijn in onveranderlijke hardware in plaats van alleen in software, waarmee geknoeid kan worden.

Met Windows 8-gecertificeerde apparaten profiteerde Microsoft van een op hardware gebaseerde vertrouwensbasis met Universal Extensible Firmware Interface (UEFI) Secure Boot. Nu, met Windows 10, brengen ze dit naar een hoger niveau door ervoor te zorgen dat deze vertrouwensketen ook kan worden geverifieerd met behulp van de combinatie van hardwarematige beveiligingscomponenten, zoals de Trusted Platform Module (TPM), en cloudgebaseerde services ( Device Health Attestation (DHA)) dat kan worden gebruikt om de ware integriteit van het apparaat te controleren en op afstand te bevestigen.

Om dit beveiligingsniveau in miljarden apparaten over de hele wereld te implementeren, werkt Microsoft samen met OEM's en chipleveranciers zoals Intel. Ze brengen regelmatig firmware-updates uit voor UEFI, vergrendelen UEFI-configuraties, maken UEFI-geheugenbescherming (NX) mogelijk, draaien sleutelhulpmiddelen voor het verminderen van kwetsbaarheden en verharden het platform-besturingssysteem en SystemContainer-kernels (bijv. WSMT) tegen mogelijke SMM-gerelateerde exploits.

Met Windows 8 kwam Microsoft met het concept van moderne apps (nu UWP-apps) die alleen in AppContainer draaien en de gebruiker geeft de app letterlijk toegang tot bronnen, zoals een document, op aanvraag. In het geval van Win32-apps kan deze, zodra u de app opent, alles doen waartoe de gebruiker de privileges heeft (bijv. een willekeurig bestand openen; systeemconfiguratie wijzigen). Omdat AppContainers alleen voor UWP-apps zijn, bleven Win32-apps een uitdaging. Met Windows 10 brengt Microsoft een nieuwe op hardware gebaseerde containertechnologie die we een SystemContainer noemen. Het is vergelijkbaar met een AppContainer, isoleert wat erin draait van de rest van het systeem en de gegevens. Het belangrijkste verschil is dat SystemContainer is ontworpen om de meest gevoelige delen van het systeem te beschermen - zoals het beheren van gebruikersreferenties of het bieden van verdedigingen aan Windows - weg van alles, inclusief het besturingssysteem zelf, waarvan we moeten aannemen dat het in gevaar komt.

De SystemContainer maakt gebruik van op hardware gebaseerde isolatie en de Virtualization Based Security (VBS)-mogelijkheid van Windows 10 om de processen die ermee worden uitgevoerd te isoleren van al het andere op het systeem. VBS gebruikt de virtualisatie-uitbreidingen op de processor van het systeem (bijv. Intel's VT-X) om de adresseerbare geheugenruimten te isoleren tussen wat in feite twee parallel lopende besturingssystemen zijn bovenop Hyper-V. Besturingssysteem één is degene die u altijd hebt gekend en gebruikt, en besturingssysteem twee is de SystemContainer, die fungeert als een veilige uitvoeringsomgeving die stil achter de schermen draait. Door het gebruik van Hyper-V door de SystemContainer en het feit dat deze geen netwerk, gebruikerservaring, gedeeld geheugen of opslag heeft, is de omgeving goed beveiligd tegen aanvallen. Zelfs als het Windows-besturingssysteem volledig is gecompromitteerd op kernelniveau (wat een aanvaller het hoogste niveau van bevoegdheden zou geven), kunnen de processen en gegevens binnen de SystemContainer nog steeds veilig blijven.

Services en gegevens binnen de SystemContainer worden aanzienlijk minder snel aangetast, omdat het aanvalsoppervlak voor deze componenten aanzienlijk is verminderd. SystemContainer maakt beveiligingsfuncties mogelijk, waaronder Credential, Device Guard, Virtual Trusted Platform Module (vTPM). Microsoft voegt nu de biometrische validatiecomponenten van Windows Hello en de biometrische gegevens van de gebruiker toe aan SystemContainer met de jubileumupdate om het veilig te houden. Microsoft zei ook dat ze enkele van de meest gevoelige Windows-systeemservices naar de SystemContainer zullen blijven verplaatsen.