Microsoft, Windows 10'da yerleşik donanım tabanlı bir kapsayıcı teknolojisi olan SystemContainer'ı ayrıntılarıyla anlatıyor

Windows 8'den önce, masaüstü işletim sistemi güvenliği neredeyse tamamen yazılımdan oluşuyordu. Bu yaklaşımla ilgili sorun, kötü amaçlı yazılım veya saldırganın yeterli ayrıcalık kazanması, donanım ile işletim sistemi arasına girmesi veya cihazın donanım yazılımı bileşenlerini değiştirmeyi başarması durumunda, platformdan saklanmanın yollarını da bulabilecek olmalarıydı. güvenlikle ilgili savunmalarınızın geri kalanı. Bu sorunu çözmek için Microsoft'un, yalnızca kurcalanabilen yazılımdan ziyade değişmez donanımda kök salmış cihaz ve platform güvenine ihtiyacı vardı.

Windows 8 sertifikalı cihazlarla Microsoft, Evrensel Genişletilebilir Ürün Yazılımı Arabirimi (UEFI) Güvenli Önyükleme ile donanım tabanlı bir güven kökünden yararlandı. Şimdi, Windows 10 ile, bu güven zincirinin Güvenilir Platform Modülü (TPM) ve bulut tabanlı hizmetler ( Cihazın gerçek bütünlüğünü incelemek ve uzaktan doğrulamak için kullanılabilen Cihaz Sağlığı Onayı (DHA))

Microsoft, bu güvenlik düzeyini dünya çapında milyarlarca cihazda uygulamak için OEM'ler ve Intel gibi yonga satıcılarıyla birlikte çalışıyor. UEFI için düzenli ürün yazılımı güncellemeleri yayınlıyorlar, UEFI yapılandırmalarını kilitliyorlar, UEFI bellek korumasını (NX) etkinleştiriyorlar, önemli güvenlik açığı azaltma araçlarını çalıştırıyorlar ve platform işletim sistemini ve SystemContainer çekirdeklerini (örneğin: WSMT) olası SMM ile ilgili açıklardan korumayı sağlıyorlar.

Windows 8 ile Microsoft, yalnızca AppContainer içinde çalışan modern uygulamalar (şimdi UWP uygulamaları) kavramını ortaya çıkardı ve kullanıcı, talep üzerine uygulamaya tam anlamıyla bir belge gibi kaynaklara erişim sağlıyor. Win32 uygulamaları söz konusu olduğunda, uygulamayı açtığınızda, kullanıcının yapma ayrıcalıklarına sahip olduğu her şeyi yapabilir (örneğin: herhangi bir dosyayı açın; sistem yapılandırmasını değiştirin). AppContainer'lar yalnızca UWP uygulamaları için olduğundan, Win32 uygulamaları bir zorluk olarak kaldı. Windows 10 ile Microsoft, SystemContainer adını verdiğimiz yeni bir donanım tabanlı kapsayıcı teknolojisi getiriyor. Bir AppContainer'a benzer, içinde çalışmakta olanı sistemin geri kalanından ve verilerden yalıtır. Temel fark, SystemContainer'ın, sistemin en hassas kısımlarını (kullanıcı kimlik bilgilerini yöneten veya Windows'a savunma sağlayanlar gibi) korumak için tasarlanmış olmasıdır.

SystemContainer, kendisiyle çalışan işlemleri sistemdeki diğer her şeyden yalıtmak için donanım tabanlı izolasyon ve Windows 10'un Sanallaştırma Tabanlı Güvenlik (VBS) özelliğini kullanır. VBS, Hyper-V üzerinde paralel olarak çalışan iki işletim sistemi arasındaki adreslenebilir bellek alanlarını izole etmek için sistemin işlemcisindeki sanallaştırma uzantılarını (örneğin: Intel'in VT-X'i) kullanır. İşletim sistemi bir, her zaman bildiğiniz ve kullandığınız sistemdir ve ikinci işletim sistemi, sahne arkasında sessizce çalışan güvenli yürütme ortamı olarak işlev gören SystemContainer'dır. SystemContainer'ın Hyper-V kullanması ve ağ, kullanıcı deneyimi, paylaşılan bellek veya depolamaya sahip olmaması nedeniyle, ortam saldırılara karşı iyi bir şekilde korunur. Aslında, Windows işletim sisteminin güvenliği çekirdek düzeyinde tamamen ihlal edilmiş olsa bile (ki bu, saldırgana en yüksek düzeyde ayrıcalık sağlar), SystemContainer içindeki işlemler ve veriler yine de güvende kalabilir.

SystemContainer içindeki hizmetler ve veriler, bu bileşenlerin saldırı yüzeyi önemli ölçüde azaltıldığından, tehlikeye atılma olasılığı önemli ölçüde daha düşüktür. SystemContainer, Kimlik Bilgisi, Cihaz Koruması, Sanal Güvenilir Platform Modülü (vTPM) dahil olmak üzere güvenlik özelliklerine güç sağlar. Microsoft şimdi Windows Hello'nun biyometrik doğrulama bileşenlerini ve kullanıcının biyometrik verilerini, güvenli tutmak için Yıldönümü Güncellemesi ile SystemContainer'a ekliyor. Microsoft ayrıca en hassas Windows sistem hizmetlerinden bazılarını SystemContainer'a taşımaya devam edeceklerini belirtti.