Microsoft opisuje SystemContainer, sprzętową technologię kontenerów wbudowaną w system Windows 10

Przed Windows 8 zabezpieczenia systemów operacyjnych komputerów stacjonarnych były budowane prawie w całości z oprogramowania. Problem z tym podejściem polegał na tym, że jeśli złośliwe oprogramowanie lub atakujący uzyskali wystarczające uprawnienia, mogli dostać się między sprzętem a systemem operacyjnym lub udało im się manipulować składnikami oprogramowania sprzętowego urządzenia, mogli również znaleźć sposoby na ukrycie się przed platformą i pozostałe zabezpieczenia związane z bezpieczeństwem. Aby rozwiązać ten problem, firma Microsoft potrzebowała, aby zaufanie do urządzeń i platform było zakorzenione w niezmiennym sprzęcie, a nie tylko w oprogramowaniu, które można modyfikować.

W przypadku urządzeń z certyfikatem Windows 8 firma Microsoft skorzystała ze sprzętowego źródła zaufania z funkcją bezpiecznego rozruchu UEFI (Universal Extensible Firmware Interface). Teraz, w systemie Windows 10, przenoszą to na wyższy poziom, upewniając się, że ten łańcuch zaufania można również zweryfikować za pomocą kombinacji podstawowych składników zabezpieczeń sprzętowych, takich jak moduł Trusted Platform Module (TPM) i usług opartych na chmurze ( Zaświadczenie o kondycji urządzenia (DHA), które można wykorzystać do weryfikacji i zdalnego poświadczania prawdziwej integralności urządzenia.

Aby wdrożyć ten poziom bezpieczeństwa w miliardach urządzeń na całym świecie, Microsoft współpracuje z producentami OEM i dostawcami chipów, takimi jak Intel. Wydają regularne aktualizacje oprogramowania układowego dla UEFI, blokując konfiguracje UEFI, włączając ochronę pamięci UEFI (NX), uruchamiając kluczowe narzędzia łagodzące luki oraz wzmacniając system operacyjny platformy i jądra SystemContainer (np. WSMT) przed potencjalnymi exploitami związanymi z SMM.

W systemie Windows 8 Microsoft wymyślił koncepcję nowoczesnych aplikacji (obecnie aplikacji UWP), które działają tylko wewnątrz AppContainer, a użytkownik dosłownie daje aplikacji dostęp do zasobów, takich jak dokument, na żądanie. W przypadku aplikacji Win32, po otwarciu aplikacji, może ona zrobić wszystko, do czego użytkownik ma uprawnienia (np. otworzyć dowolny plik; zmienić konfigurację systemu). Ponieważ kontenery aplikacji są przeznaczone tylko dla aplikacji platformy UWP, aplikacje Win32 pozostały wyzwaniem. W systemie Windows 10 firma Microsoft wprowadza nową technologię kontenerów opartą na sprzęcie, którą nazywamy SystemContainer. Jest podobny do AppContainer, izoluje to, co w nim działa, od reszty systemu i danych. Główna różnica polega na tym, że SystemContainer został zaprojektowany w celu ochrony najbardziej wrażliwych części systemu – takich jak te, które zarządzają poświadczeniami użytkownika lub zapewniają ochronę systemu Windows – z dala od wszystkiego, w tym samego systemu operacyjnego, który, jak zakładamy, zostanie naruszony.

SystemContainer wykorzystuje izolację opartą na sprzęcie i funkcję Windows 10 Virtualization Based Security (VBS), aby odizolować działające z nim procesy od wszystkiego innego w systemie. VBS wykorzystuje rozszerzenia wirtualizacji na procesorze systemu (np. Intel VT-X) w celu odizolowania adresowalnych przestrzeni pamięci między dwoma systemami operacyjnymi działającymi równolegle na Hyper-V. System operacyjny pierwszy to ten, który zawsze znasz i używasz, a system operacyjny drugi to SystemContainer, który działa jako bezpieczne środowisko wykonawcze, które działa cicho za kulisami. Ze względu na użycie funkcji Hyper-V przez SystemContainer oraz brak sieci, środowiska użytkownika, pamięci współdzielonej ani pamięci masowej, środowisko jest dobrze zabezpieczone przed atakami. W rzeczywistości, nawet jeśli system operacyjny Windows jest w pełni naruszony na poziomie jądra (co dałoby osobie atakującej najwyższy poziom uprawnień), procesy i dane w SystemContainer nadal mogą pozostać bezpieczne.

Usługi i dane w SystemContainer są znacznie mniej narażone na szwank, ponieważ powierzchnia ataku dla tych składników została znacznie zmniejszona. SystemContainer obsługuje funkcje zabezpieczeń, w tym Credential, Device Guard, Virtual Trusted Platform Module (vTPM). Firma Microsoft dodaje teraz składniki sprawdzania poprawności biometrycznej Windows Hello oraz dane biometryczne użytkownika do SystemContainer wraz z rocznicową aktualizacją, aby zapewnić jego bezpieczeństwo. Microsoft wspomniał również, że będzie nadal przenosić niektóre z najbardziej wrażliwych usług systemu Windows do SystemContainer.