Microsoft ให้รายละเอียด SystemContainer ซึ่งเป็นเทคโนโลยีคอนเทนเนอร์แบบฮาร์ดแวร์ที่ติดตั้งใน Windows 10
4 นาที. อ่าน
เผยแพร่เมื่อ
แชร์บทความนี้
ปรับปรุงคู่มือนี้
อ่านหน้าการเปิดเผยข้อมูลของเราเพื่อดูว่าคุณจะช่วย MSPoweruser รักษาทีมบรรณาธิการได้อย่างไร อ่านเพิ่มเติม
ก่อนหน้า Windows 8 ความปลอดภัยของระบบปฏิบัติการเดสก์ท็อปสร้างขึ้นจากซอฟต์แวร์เกือบทั้งหมด ปัญหาของแนวทางดังกล่าวคือหากมัลแวร์หรือผู้โจมตีได้รับสิทธิ์เพียงพอ เข้าไประหว่างฮาร์ดแวร์และระบบปฏิบัติการ หรือพวกเขาสามารถจัดการเพื่อยุ่งเกี่ยวกับส่วนประกอบเฟิร์มแวร์ของอุปกรณ์ พวกเขาสามารถหาวิธีซ่อนจากแพลตฟอร์มและ การป้องกันที่เกี่ยวข้องกับความปลอดภัยที่เหลือของคุณ ในการแก้ไขปัญหานี้ Microsoft จำเป็นต้องมีอุปกรณ์และแพลตฟอร์มที่ไว้วางใจได้ในการรูทฮาร์ดแวร์ที่ไม่เปลี่ยนรูป แทนที่จะเป็นเพียงซอฟต์แวร์ ซึ่งสามารถดัดแปลงแก้ไขได้
ด้วยอุปกรณ์ที่ได้รับการรับรอง Windows 8 Microsoft ใช้ประโยชน์จากรากของความไว้วางใจที่อิงกับฮาร์ดแวร์ด้วย Secure Boot ของ Universal Extensible Firmware Interface (UEFI) ขณะนี้ ด้วย Windows 10 พวกเขากำลังนำสิ่งนี้ไปสู่อีกระดับโดยทำให้แน่ใจว่าห่วงโซ่แห่งความไว้วางใจนี้สามารถตรวจสอบได้โดยใช้ส่วนประกอบความปลอดภัยพื้นฐานของฮาร์ดแวร์ร่วมกัน เช่น Trusted Platform Module (TPM) และบริการบนคลาวด์ ( Device Health Attestation (DHA)) ที่สามารถใช้ตรวจสอบและรับรองความสมบูรณ์ที่แท้จริงของอุปกรณ์ได้จากระยะไกล
ในการปรับใช้การรักษาความปลอดภัยระดับนี้ในอุปกรณ์หลายพันล้านเครื่องทั่วโลก Microsoft กำลังทำงานร่วมกับ OEM และผู้จำหน่ายชิปอย่าง Intel พวกเขากำลังเผยแพร่การอัปเดตเฟิร์มแวร์ปกติสำหรับ UEFI การล็อกการกำหนดค่า UEFI การเปิดใช้งานการป้องกันหน่วยความจำ UEFI (NX) การเรียกใช้เครื่องมือลดช่องโหว่ที่สำคัญ และทำให้ระบบปฏิบัติการของแพลตฟอร์มและเคอร์เนล SystemContainer แข็งตัว (เช่น WSMT) จากช่องโหว่ที่เกี่ยวข้องกับ SMM ที่อาจเกิดขึ้น
ด้วย Windows 8 Microsoft ได้คิดค้นแนวคิดของแอพที่ทันสมัย (ตอนนี้คือแอพ UWP) ซึ่งทำงานภายใน AppContainer เท่านั้นและผู้ใช้ให้แอพเข้าถึงทรัพยากรเช่นเอกสารได้ตามต้องการ ในกรณีของแอป Win32 เมื่อคุณเปิดแอปขึ้นมา จะสามารถทำทุกอย่างที่ผู้ใช้มีสิทธิ์ทำ (เช่น เปิดไฟล์ใดๆ ก็ได้ เปลี่ยนการกำหนดค่าระบบ) เนื่องจาก AppContainers มีไว้สำหรับแอป UWP เท่านั้น แอป Win32 จึงเป็นความท้าทาย ด้วย Windows 10 Microsoft กำลังนำเทคโนโลยีคอนเทนเนอร์ที่ใช้ฮาร์ดแวร์ใหม่ที่เราเรียกว่า SystemContainer คล้ายกับ AppContainer ซึ่งแยกสิ่งที่กำลังทำงานอยู่ภายในออกจากส่วนที่เหลือของระบบและข้อมูล ข้อแตกต่างที่สำคัญคือ SystemContainer ได้รับการออกแบบมาเพื่อปกป้องส่วนที่ละเอียดอ่อนที่สุดของระบบ – เช่นเดียวกับที่จัดการข้อมูลรับรองผู้ใช้หรือให้การป้องกันกับ Windows – ห่างจากทุกสิ่งรวมถึงระบบปฏิบัติการซึ่งเราต้องถือว่าจะถูกบุกรุก
SystemContainer ใช้การแยกตามฮาร์ดแวร์และความสามารถ Virtualization Based Security (VBS) ของ Windows 10 เพื่อแยกกระบวนการที่ทำงานด้วยออกจากสิ่งอื่นในระบบ VBS ใช้ส่วนขยายการจำลองเสมือนบนโปรเซสเซอร์ของระบบ (เช่น VT-X ของ Intel) เพื่อแยกพื้นที่หน่วยความจำที่สามารถระบุตำแหน่งได้ระหว่างระบบปฏิบัติการสองระบบที่มีประสิทธิภาพที่ทำงานขนานกันบน Hyper-V ระบบปฏิบัติการที่หนึ่งคือระบบที่คุณรู้จักและใช้งานมาโดยตลอด และระบบปฏิบัติการที่สองคือ SystemContainer ซึ่งทำหน้าที่เป็นสภาพแวดล้อมในการดำเนินการที่ปลอดภัยซึ่งทำงานอยู่เบื้องหลังอย่างเงียบๆ เนื่องจากการใช้ Hyper-V ของ SystemContainer และความจริงที่ว่าไม่มีเครือข่าย ประสบการณ์ผู้ใช้ หน่วยความจำที่ใช้ร่วมกัน หรือที่เก็บข้อมูล สภาพแวดล้อมจึงปลอดภัยจากการโจมตี ในความเป็นจริง แม้ว่าระบบปฏิบัติการ Windows จะถูกบุกรุกโดยสมบูรณ์ที่ระดับเคอร์เนล (ซึ่งจะทำให้ผู้โจมตีได้รับสิทธิ์สูงสุด) กระบวนการและข้อมูลภายใน SystemContainer ยังคงปลอดภัย
บริการและข้อมูลภายใน SystemContainer มีโอกาสถูกบุกรุกน้อยลงอย่างมาก เนื่องจากพื้นผิวการโจมตีสำหรับส่วนประกอบเหล่านี้ลดลงอย่างมาก SystemContainer สนับสนุนคุณลักษณะด้านความปลอดภัย ได้แก่ Credential, Device Guard, Virtual Trusted Platform Module (vTPM) Microsoft กำลังเพิ่มองค์ประกอบการตรวจสอบไบโอเมตริกซ์ของ Windows Hello และข้อมูลไบโอเมตริกซ์ของผู้ใช้ลงใน SystemContainer ด้วยการอัปเดตในโอกาสวันครบรอบเพื่อให้มีความปลอดภัย Microsoft ยังกล่าวด้วยว่าพวกเขาจะย้ายบริการระบบ Windows ที่ละเอียดอ่อนที่สุดไปยัง SystemContainer ต่อไป
