Microsoft подробно описывает SystemContainer, аппаратную контейнерную технологию, встроенную в Windows 10

До Windows 8 безопасность настольных операционных систем почти полностью строилась на программном обеспечении. Проблема с этим подходом заключалась в том, что если вредоносное ПО или злоумышленник получили достаточные привилегии, могли проникнуть между аппаратным обеспечением и операционной системой или им удалось подделать компоненты прошивки устройства, они также могли найти способы скрыться от платформы и остальная часть вашей защиты, связанной с безопасностью. Чтобы решить эту проблему, Microsoft требовалось, чтобы доверие к устройствам и платформам основывалось на неизменном оборудовании, а не только на программном обеспечении, которое можно подделать.

С устройствами, сертифицированными для Windows 8, Microsoft воспользовалась преимуществом аппаратного корня доверия с универсальной расширяемой прошивкой (UEFI) и безопасной загрузкой. Теперь, с Windows 10, они выводят это на новый уровень, гарантируя, что эту цепочку доверия также можно проверить с помощью комбинации базовых аппаратных компонентов безопасности, таких как доверенный платформенный модуль (TPM) и облачных служб ( Аттестация работоспособности устройства (DHA)), которую можно использовать для проверки и удаленного подтверждения истинной целостности устройства.

Чтобы реализовать этот уровень безопасности на миллиардах устройств по всему миру, Microsoft сотрудничает с OEM-производителями и поставщиками микросхем, такими как Intel. Они выпускают регулярные обновления встроенного ПО для UEFI, блокируют конфигурации UEFI, включают защиту памяти UEFI (NX), запускают ключевые инструменты устранения уязвимостей и защищают ОС платформы и ядра SystemContainer (например, WSMT) от потенциальных эксплойтов, связанных с SMM.

В Windows 8 Microsoft предложила концепцию современных приложений (теперь приложений UWP), которые работают только внутри AppContainer, и пользователь буквально предоставляет приложению доступ к ресурсам, таким как документ, по запросу. В случае приложений Win32, когда вы открываете приложение, оно может делать все, на что у пользователя есть права (например, открывать любой файл, изменять конфигурацию системы). Поскольку AppContainers предназначены только для приложений UWP, приложения Win32 оставались проблемой. В Windows 10 Microsoft представляет новую аппаратную контейнерную технологию, которую мы называем SystemContainer. Он похож на AppContainer, изолирует то, что в нем работает, от остальной системы и данных. Основное отличие заключается в том, что SystemContainer предназначен для защиты наиболее важных частей системы, например тех, которые управляют учетными данными пользователей или обеспечивают защиту Windows, от всего, включая саму операционную систему, которая, как мы предполагаем, будет скомпрометирована.

SystemContainer использует аппаратную изоляцию и возможности безопасности на основе виртуализации (VBS) Windows 10, чтобы изолировать процессы, работающие с ним, от всего остального в системе. VBS использует расширения виртуализации процессора системы (например, Intel VT-X), чтобы изолировать адресуемые области памяти между двумя операционными системами, работающими параллельно поверх Hyper-V. Первая операционная система — это та, которую вы всегда знали и использовали, а вторая операционная система — это SystemContainer, который действует как безопасная среда выполнения, работающая незаметно за кулисами. Благодаря использованию SystemContainer Hyper-V и тому факту, что он не имеет сети, взаимодействия с пользователем, общей памяти или хранилища, среда хорошо защищена от атак. На самом деле, даже если операционная система Windows полностью скомпрометирована на уровне ядра (что дает злоумышленнику высший уровень привилегий), процессы и данные внутри SystemContainer все равно могут оставаться в безопасности.

Вероятность компрометации служб и данных внутри контейнера SystemContainer значительно ниже, так как поверхность атаки для этих компонентов значительно сократилась. SystemContainer поддерживает функции безопасности, включая учетные данные, Device Guard, виртуальный доверенный платформенный модуль (vTPM). Теперь Microsoft добавляет компоненты проверки биометрии Windows Hello и биометрические данные пользователя в SystemContainer с Anniversary Update, чтобы обеспечить его безопасность. Microsoft также упомянула, что они продолжат перемещать некоторые из наиболее важных системных служб Windows в SystemContainer.