Microsoft detaliază SystemContainer, o tehnologie de container bazată pe hardware încorporată în Windows 10

Înainte de Windows 8, securitatea sistemului de operare desktop era construită aproape în întregime din software. Problema cu această abordare era că, dacă malware-ul sau un atacator câștigau suficiente privilegii, puteau intra între hardware și sistemul de operare sau reușeau să modifice componentele firmware ale dispozitivului, puteau găsi, de asemenea, modalități de a se ascunde de platformă și restul apărărilor dvs. legate de securitate. Pentru a remedia această problemă, Microsoft avea nevoie de încredere în dispozitiv și platformă să fie înrădăcinată în hardware imuabil, mai degrabă decât doar în software, care poate fi modificat.

Cu dispozitive certificate Windows 8, Microsoft a profitat de o rădăcină de încredere bazată pe hardware cu Universal Extensible Firmware Interface (UEFI) Secure Boot. Acum, cu Windows 10, ei trec acest lucru la nivelul următor, asigurându-se că acest lanț de încredere poate fi verificat și folosind combinația de componente de securitate de bază hardware, cum ar fi Modulul Platformei de încredere (TPM) și serviciile bazate pe cloud ( Atestarea de sănătate a dispozitivului (DHA)) care poate fi utilizată pentru a verifica și a atesta de la distanță adevărata integritate a dispozitivului.

Pentru a implementa acest nivel de securitate în miliarde de dispozitive din întreaga lume, Microsoft lucrează cu producători OEM și furnizori de cipuri precum Intel. Ei lansează actualizări regulate de firmware pentru UEFI, blochează configurațiile UEFI, activează protecția memoriei UEFI (NX), rulează instrumente cheie de atenuare a vulnerabilităților și întăresc sistemul de operare al platformei și kernel-urile SystemContainer (de exemplu: WSMT) de la potențialele exploit-uri legate de SMM.

Cu Windows 8, Microsoft a venit cu conceptul de aplicații moderne (acum aplicații UWP) care rulează numai în AppContainer și, utilizatorul oferă literalmente acces aplicației la resurse, ca un document, la cerere. În cazul aplicațiilor Win32, odată ce deschideți aplicația, aceasta poate face orice lucru pe care utilizatorul are privilegiile de a face (de exemplu: deschideți orice fișier; modificați configurația sistemului). Deoarece AppContainers sunt doar pentru aplicații UWP, aplicațiile Win32 au rămas o provocare. Cu Windows 10, Microsoft aduce o nouă tehnologie de containere bazată pe hardware, pe care o numim SystemContainer. Este similar cu un AppContainer, izolează ceea ce rulează în el de restul sistemului și de date. Principala diferență este că SystemContainer este conceput pentru a proteja cele mai sensibile părți ale sistemului - cum ar fi cele care gestionează acreditările utilizatorului sau oferă apărare Windows - departe de orice, inclusiv de sistemul de operare în sine, despre care trebuie să presupunem că va fi compromis.

SystemContainer utilizează izolarea bazată pe hardware și capacitatea de securitate bazată pe virtualizare (VBS) din Windows 10 pentru a izola procesele care rulează cu el de orice altceva de pe sistem. VBS folosește extensiile de virtualizare de pe procesorul sistemului (de exemplu: Intel VT-X) pentru a izola spațiile de memorie adresabile între ceea ce este efectiv două sisteme de operare care rulează în paralel peste Hyper-V. Sistemul de operare unu este cel pe care l-ați cunoscut și folosit întotdeauna, iar sistemul de operare doi este SystemContainer, care acționează ca mediu de execuție securizat care rulează în tăcere în culise. Din cauza utilizării Hyper-V de către SystemContainer și a faptului că nu are rețea, experiență de utilizator, memorie partajată sau stocare, mediul este bine securizat împotriva atacurilor. De fapt, chiar dacă sistemul de operare Windows este complet compromis la nivel de kernel (ceea ce ar oferi unui atacator cel mai înalt nivel de privilegii), procesele și datele din SystemContainer pot rămâne în siguranță.

Serviciile și datele din SystemContainer sunt mult mai puțin probabil să fie compromise, deoarece suprafața de atac pentru aceste componente a fost redusă semnificativ. SystemContainer oferă funcții de securitate, inclusiv Credential, Device Guard, Virtual Trusted Platform Module (vTPM). Microsoft adaugă acum componentele de validare biometrică ale Windows Hello și datele biometrice ale utilizatorului în SystemContainer cu Actualizarea aniversară pentru a le menține în siguranță. Microsoft a mai menționat că va continua să mute unele dintre cele mai sensibile servicii de sistem Windows în SystemContainer.