Microsoft розповідає про SystemContainer, апаратну технологію контейнера, вбудовану в Windows 10

До Windows 8 безпека операційної системи настільних комп’ютерів майже повністю була побудована на основі програмного забезпечення. Проблема такого підходу полягала в тому, що якщо зловмисне програмне забезпечення або зловмисник отримали достатні привілеї, могли потрапити між апаратним забезпеченням та операційною системою, або їм вдалося втрутитися в компоненти мікропрограми пристрою, вони також могли знайти способи сховатися від платформи та решту ваших засобів захисту. Щоб вирішити цю проблему, Microsoft знадобилася, щоб довіра пристроїв і платформ була вкорінена в незмінному апаратному забезпеченні, а не просто в програмному забезпеченні, яке можна підробити.

З пристроями, сертифікованими під Windows 8, Microsoft скористалася перевагами апаратної довіри за допомогою безпечного завантаження з універсальним розширюваним інтерфейсом мікропрограми (UEFI). Тепер з Windows 10 вони виводять це на новий рівень, переконавшись, що цей ланцюжок довіри також можна перевірити за допомогою комбінації компонентів безпеки апаратної бази, таких як модуль довіреної платформи (TPM) і хмарних служб ( Атестація стану пристрою (DHA)), яку можна використовувати для перевірки та віддаленого підтвердження справжньої цілісності пристрою.

Щоб запровадити цей рівень безпеки на мільярдах пристроїв по всьому світу, Microsoft співпрацює з OEM-виробниками та постачальниками мікросхем, такими як Intel. Вони випускають регулярні оновлення мікропрограми для UEFI, блокують конфігурації UEFI, вмикають захист пам’яті UEFI (NX), запускають ключові інструменти пом’якшення вразливостей та зміцнюють ОС платформи та ядра SystemContainer (наприклад: WSMT) від потенційних експлойтів, пов’язаних із SMM.

З Windows 8 Microsoft придумала концепцію сучасних програм (тепер додатків UWP), які працюють лише всередині AppContainer, і користувач буквально надає програмі доступ до ресурсів, як-от документ, за запитом. У випадку з додатками Win32, як тільки ви відкриваєте програму, вона може робити все, що має користувач (наприклад: відкривати будь-який файл; змінювати конфігурацію системи). Оскільки AppContainers призначені лише для додатків UWP, додатки Win32 залишаються проблемою. З Windows 10 Microsoft представляє нову апаратну технологію контейнера, яку ми називаємо SystemContainer. Він схожий на AppContainer, ізолює те, що працює в ньому, від решти системи та даних. Основна відмінність полягає в тому, що SystemContainer призначений для захисту найбільш чутливих частин системи – наприклад, для керування обліковими даними користувачів або забезпечення захисту Windows – від усього, включаючи саму операційну систему, яка, як ми повинні припустити, буде скомпрометована.

SystemContainer використовує апаратну ізоляцію та можливість безпеки на основі віртуалізації (VBS) Windows 10, щоб ізолювати процеси, що виконуються з ним, від усього іншого в системі. VBS використовує розширення віртуалізації на системному процесорі (наприклад, VT-X від Intel), щоб ізолювати адресний простір пам'яті між тим, що фактично є двома операційними системами, що працюють паралельно поверх Hyper-V. Перша операційна система – це та, яку ви завжди знали й використовуєте, а друга операційна система – це SystemContainer, який діє як безпечне середовище виконання, яке тихо працює за лаштунками. Оскільки SystemContainer використовує Hyper-V і той факт, що він не має мережі, досвіду користувача, спільної пам’яті чи сховища, середовище добре захищене від атак. Насправді, навіть якщо операційна система Windows повністю скомпрометована на рівні ядра (що дасть зловмиснику найвищий рівень привілеїв), процеси та дані в системному контейнері все одно можуть залишатися в безпеці.

Служби та дані в SystemContainer значно менше можуть бути скомпрометовані, оскільки поверхня атаки для цих компонентів значно зменшена. SystemContainer забезпечує функції безпеки, включаючи Credential, Device Guard, Virtual Trusted Platform Module (vTPM). Тепер Microsoft додає компоненти перевірки біометричних даних Windows Hello і біометричні дані користувача в SystemContainer за допомогою Anniversary Update, щоб забезпечити його безпеку. Microsoft також зазначила, що вони продовжуватимуть переміщувати деякі з найбільш чутливих системних служб Windows у SystemContainer.