Microsoft podrobne popisuje SystemContainer, hardvérovú kontajnerovú technológiu zabudovanú do Windowsu 10

Pred Windowsom 8 bolo zabezpečenie operačného systému pre stolné počítače postavené takmer výlučne zo softvéru. Problém s týmto prístupom spočíval v tom, že ak malvér alebo útočník získali dostatočné privilégiá, mohli sa dostať medzi hardvér a operačný systém alebo sa im podarilo zasahovať do komponentov firmvéru zariadenia, mohli tiež nájsť spôsoby, ako sa skryť pred platformou a zvyšok vašej obrany súvisiacej s bezpečnosťou. Na vyriešenie tohto problému potreboval Microsoft, aby dôveryhodnosť zariadenia a platformy bola zakorenená v nemennom hardvéri, a nie len v softvéri, s ktorým je možné manipulovať.

So zariadeniami certifikovanými pre Windows 8 spoločnosť Microsoft využila výhodu hardvérového koreňa dôvery s UEFI (Universal Extensible Firmware Interface) Secure Boot. Teraz s Windowsom 10 to posúvajú na ďalšiu úroveň tým, že zaisťujú, že tento reťazec dôvery možno overiť aj pomocou kombinácie základných bezpečnostných komponentov hardvéru, ako je modul Trusted Platform Module (TPM) a cloudové služby ( Potvrdenie o zdravotnom stave zariadenia (DHA)), ktoré možno použiť na preverenie a diaľkové overenie skutočnej integrity zariadenia.

Na implementácii tejto úrovne zabezpečenia v miliardách zariadení po celom svete spolupracuje Microsoft s výrobcami OEM a dodávateľmi čipov, ako je Intel. Vydávajú pravidelné aktualizácie firmvéru pre UEFI, zamykajú konfigurácie UEFI, umožňujú ochranu pamäte UEFI (NX), spúšťajú nástroje na zmiernenie kľúčových zraniteľností a posilňujú platformu OS a jadrá SystemContainer (napr.: WSMT) z potenciálnych exploitov súvisiacich s SMM.

S Windowsom 8 prišiel Microsoft s konceptom moderných aplikácií (teraz UWP apps), ktoré bežia iba v AppContainer a používateľ doslova dáva aplikácii prístup k zdrojom, ako je dokument, na požiadanie. V prípade aplikácií Win32, keď aplikáciu otvoríte, môže robiť čokoľvek, na čo má používateľ oprávnenia (napr.: otvárať ľubovoľný súbor, meniť konfiguráciu systému). Keďže AppContainers sú len pre aplikácie UWP, aplikácie Win32 zostali výzvou. S Windowsom 10 Microsoft prináša novú technológiu kontajnerov založenú na hardvéri, ktorú nazývame SystemContainer. Je to podobné ako AppContainer, izoluje to, čo v ňom beží, od zvyšku systému a údajov. Hlavný rozdiel je v tom, že SystemContainer je navrhnutý tak, aby chránil najcitlivejšie časti systému – ako sú tie, ktoré spravujú používateľské poverenia alebo poskytujú obranu systému Windows – pred všetkým, vrátane samotného operačného systému, o ktorom musíme predpokladať, že bude ohrozený.

SystemContainer využíva hardvérovú izoláciu a schopnosť Windows 10 Virtualization Based Security (VBS) na izoláciu procesov, ktoré s ním bežia, od všetkého ostatného v systéme. VBS používa virtualizačné rozšírenia na systémovom procesore (napr.: Intel VT-X) na izoláciu adresovateľných pamäťových priestorov medzi tým, čo sú v skutočnosti dva operačné systémy bežiace paralelne nad Hyper-V. Operačný systém jedna je ten, ktorý ste vždy poznali a ktorý používate, a operačný systém dva je SystemContainer, ktorý funguje ako bezpečné spúšťacie prostredie, ktoré beží ticho v pozadí. Vzhľadom na to, že SystemContainer používa Hyper-V a nemá žiadnu sieť, používateľskú skúsenosť, zdieľanú pamäť alebo úložisko, je prostredie dobre zabezpečené proti útokom. V skutočnosti, aj keď je operačný systém Windows úplne kompromitovaný na úrovni jadra (čo by útočníkovi poskytlo najvyššiu úroveň privilégií), procesy a údaje v SystemContainer môžu zostať zabezpečené.

Služby a údaje v rámci SystemContainer sú výrazne menej pravdepodobné, že budú ohrozené, pretože plocha útoku pre tieto komponenty bola výrazne znížená. SystemContainer poháňa bezpečnostné funkcie vrátane Credential, Device Guard, Virtual Trusted Platform Module (vTPM). Microsoft teraz pridáva komponenty Windows Hello na overenie biometrických údajov a biometrické údaje používateľa do SystemContainer s aktualizáciou Anniversary Update, aby bola zabezpečená. Microsoft tiež uviedol, že bude pokračovať v presúvaní niektorých najcitlivejších systémových služieb Windows do SystemContainer.