Microsoft beskriver SystemContainer, en hårdvarubaserad containerteknologi inbyggd i Windows 10

Före Windows 8 byggdes säkerheten för skrivbordsoperativsystem nästan helt från programvara. Problemet med det tillvägagångssättet var att om skadlig programvara eller en angripare fick tillräckligt med privilegier, kunde hamna mellan hårdvaran och operativsystemet, eller de lyckades manipulera enhetens firmwarekomponenter, kunde de också hitta sätt att gömma sig från plattformen och resten av dina säkerhetsrelaterade försvar. För att åtgärda det här problemet behövde Microsoft förtroende för enheter och plattformar som var förankrade i oföränderlig hårdvara snarare än bara programvara som kan manipuleras.

Med Windows 8-certifierade enheter, drog Microsoft fördel av en hårdvarubaserad root of trust med Universal Extensible Firmware Interface (UEFI) Secure Boot. Nu, med Windows 10, tar de detta till nästa nivå genom att se till att denna förtroendekedja också kan verifieras med kombinationen av hårdvarubassäkerhetskomponenter, såsom Trusted Platform Module (TPM) och molnbaserade tjänster ( Device Health Attestation (DHA)) som kan användas för att vetera och på distans intyga enhetens verkliga integritet.

För att implementera denna säkerhetsnivå i miljarder enheter runt om i världen arbetar Microsoft med OEM-tillverkare och chipleverantörer som Intel. De släpper regelbundna firmwareuppdateringar för UEFI, låser UEFI-konfigurationer, aktiverar UEFI-minnesskydd (NX), kör verktyg för att begränsa sårbarhet och hårdnar plattformens OS och SystemContainer-kärnor (t.ex.: WSMT) från potentiella SMM-relaterade exploateringar.

Med Windows 8 kom Microsoft på konceptet med moderna appar (nu UWP-appar) som endast körs i AppContainer och användaren bokstavligen ger appen tillgång till resurser, som ett dokument, på begäran. När det gäller Win32-appar, när du väl har öppnat appen, kan den göra vad som helst som användaren har behörighet att göra (t.ex.: öppna valfri fil, ändra systemkonfiguration). Eftersom AppContainers endast är till för UWP-appar förblev Win32-appar en utmaning. Med Windows 10 kommer Microsoft med en ny hårdvarubaserad containerteknologi som vi kallar en SystemContainer. Den liknar en AppContainer, isolerar det som körs i den från resten av systemet och data. Den största skillnaden är att SystemContainer är designad för att skydda de mest känsliga delarna av systemet – som de som hanterar användaruppgifter eller tillhandahåller försvar till Windows – bort från allt, inklusive själva operativsystemet, som vi måste anta kommer att äventyras.

SystemContainer använder hårdvarubaserad isolering och Windows 10:s Virtualization Based Security-förmåga (VBS) för att isolera de processer som körs med den från allt annat på systemet. VBS använder virtualiseringstilläggen på systemets processor (t.ex. Intels VT-X) för att isolera de adresserbara minnesutrymmena mellan vad som i praktiken är två operativsystem som körs parallellt ovanpå Hyper-V. Operativsystem ett är det du alltid har känt till och använder, och operativsystem två är SystemContainer, som fungerar som en säker exekveringsmiljö som körs tyst bakom kulisserna. På grund av SystemContainerns användning av Hyper-V och det faktum att den inte har något nätverk, användarupplevelse, delat minne eller lagring, är miljön väl säkrad mot attacker. Faktum är att även om Windows-operativsystemet är helt komprometterat på kärnnivån (vilket skulle ge en angripare den högsta behörighetsnivån), kan processerna och data i SystemContainer fortfarande förbli säkra.

Tjänster och data inom SystemContainer är dramatiskt mindre sannolikt att äventyras, eftersom attackytan för dessa komponenter har reducerats avsevärt. SystemContainer driver säkerhetsfunktioner inklusive Credential, Device Guard, Virtual Trusted Platform Module (vTPM). Microsoft lägger nu till Windows Hellos biometriska valideringskomponenter och användarens biometriska data i SystemContainer med Anniversary Update för att hålla den säker. Microsoft nämnde också att de kommer att fortsätta att flytta några av de mest känsliga Windows-systemtjänsterna till SystemContainer.