Microsoft podrobno opisuje SystemContainer, tehnologijo vsebnikov, ki temelji na strojni opremi, vgrajeno v Windows 10

Pred Windows 8 je bila varnost namiznega operacijskega sistema skoraj v celoti zgrajena iz programske opreme. Težava pri tem pristopu je bila v tem, da če je zlonamerna programska oprema ali napadalec pridobil dovolj privilegijev, bi lahko vstopil med strojno opremo in operacijski sistem ali bi uspel posegati v komponente strojne programske opreme naprave, bi lahko našli tudi načine, kako se skriti pred platformo in preostala vaša varnostna obramba. Za odpravo te težave je Microsoft potreboval zaupanje v naprave in platformo, ki naj bi bilo zakoreninjeno v nespremenljivi strojni opremi in ne samo v programski opremi, v katero je mogoče posegati.

Z napravami s certifikatom Windows 8 je Microsoft z varnim zagonom Universal Extensible Firmware Interface (UEFI) izkoristil prednost zaupanja, ki temelji na strojni opremi. Zdaj z operacijskim sistemom Windows 10 to popeljejo na naslednjo raven tako, da zagotovijo, da je to verigo zaupanja mogoče preveriti tudi s kombinacijo varnostnih komponent strojne opreme, kot je modul zaupanja vredne platforme (TPM) in storitev v oblaku ( Potrdilo o zdravju naprave (DHA)), ki se lahko uporablja za preverjanje in na daljavo potrjevanje resnične integritete naprave.

Za uvedbo te ravni varnosti v milijarde naprav po vsem svetu Microsoft sodeluje z proizvajalci originalne opreme in proizvajalci čipov, kot je Intel. Objavljajo redne posodobitve vdelane programske opreme za UEFI, zaklepajo konfiguracije UEFI, omogočajo zaščito pomnilnika UEFI (NX), izvajajo ključna orodja za zmanjšanje ranljivosti in utrjujejo jedra platforme OS in SystemContainer (npr.: WSMT) pred morebitnimi zlorabami, povezanimi s SMM.

Z operacijskim sistemom Windows 8 je Microsoft pripravil koncept sodobnih aplikacij (zdaj aplikacije UWP), ki se izvajajo samo znotraj AppContainerja in uporabnik aplikaciji dobesedno daje dostop do virov, kot je dokument, na zahtevo. V primeru aplikacij Win32, ko odprete aplikacijo, lahko naredi vse, kar ima uporabnik privilegije (npr.: odpre katero koli datoteko; spremeni konfiguracijo sistema). Ker so AppContainers samo za aplikacije UWP, so aplikacije Win32 ostale izziv. Z operacijskim sistemom Windows 10 Microsoft prinaša novo tehnologijo vsebnikov, ki temelji na strojni opremi, ki jo imenujemo SystemContainer. Podoben je AppContainer, loči tisto, kar se izvaja v njem, od preostalega sistema in podatkov. Glavna razlika je v tem, da je SystemContainer zasnovan tako, da ščiti najbolj občutljive dele sistema – na primer tiste, ki upravljajo uporabniške poverilnice ali zagotavljajo obrambo za Windows – stran od vsega, vključno s samim operacijskim sistemom, za katerega moramo domnevati, da bo ogrožen.

SystemContainer uporablja izolacijo, ki temelji na strojni opremi, in zmogljivost Windows 10 Virtualization Based Security (VBS), da izolira procese, ki se izvajajo z njim, od vsega drugega v sistemu. VBS uporablja razširitve za virtualizacijo na sistemskem procesorju (npr. Intelov VT-X), da izolira naslovljive pomnilniške prostore med dejansko dvema operacijskima sistemoma, ki delujeta vzporedno na vrhu Hyper-V. Prvi operacijski sistem je tisti, ki ga vedno poznate in uporabljate, drugi operacijski sistem pa je SystemContainer, ki deluje kot varno izvajalno okolje, ki tiho deluje v zakulisju. Zaradi uporabe Hyper-V v SystemContainerju in dejstva, da nima omrežja, uporabniške izkušnje, skupnega pomnilnika ali prostora za shranjevanje, je okolje dobro zavarovano pred napadi. Pravzaprav, tudi če je operacijski sistem Windows popolnoma ogrožen na ravni jedra (kar bi napadalcu dalo najvišjo raven privilegijev), lahko procesi in podatki v SystemContainerju še vedno ostanejo varni.

Storitve in podatki znotraj SystemContainerja so bistveno manj verjetno ogroženi, saj se je površina napada za te komponente znatno zmanjšala. SystemContainer poganja varnostne funkcije, vključno s poverilnicami, zaščito naprav, modulom za navidezno zaupanja vredno platformo (vTPM). Microsoft zdaj dodaja komponente za preverjanje biometrije sistema Windows Hello in biometrične podatke uporabnika v SystemContainer s posodobitvijo Anniversary Update, da ostane varen. Microsoft je tudi omenil, da bodo še naprej premikali nekatere najbolj občutljive sistemske storitve Windows v SystemContainer.