Microsoft giới thiệu chi tiết về SystemContainer, một công nghệ vùng chứa dựa trên phần cứng được tích hợp trong Windows 10

Trước Windows 8, bảo mật hệ điều hành máy tính để bàn được xây dựng gần như hoàn toàn từ phần mềm. Vấn đề với cách tiếp cận đó là nếu phần mềm độc hại hoặc kẻ tấn công có đủ đặc quyền, có thể xâm nhập giữa phần cứng và hệ điều hành hoặc họ cố gắng giả mạo các thành phần phần sụn của thiết bị, họ cũng có thể tìm cách ẩn khỏi nền tảng và phần còn lại của các biện pháp phòng thủ liên quan đến bảo mật của bạn. Để khắc phục sự cố này, Microsoft cần thiết bị và nền tảng tin cậy được bắt nguồn từ phần cứng bất biến thay vì chỉ phần mềm, có thể bị giả mạo.

Với các thiết bị được chứng nhận Windows 8, Microsoft đã tận dụng lợi thế của sự tin cậy gốc rễ dựa trên phần cứng với Khởi động bảo mật Universal Extensible Firmware Interface (UEFI). Giờ đây, với Windows 10, họ đang đưa điều này lên cấp độ tiếp theo bằng cách đảm bảo rằng chuỗi tin cậy này cũng có thể được xác minh bằng cách sử dụng kết hợp các thành phần bảo mật cơ sở phần cứng, chẳng hạn như Mô-đun nền tảng đáng tin cậy (TPM) và các dịch vụ dựa trên đám mây ( Chứng nhận sức khỏe thiết bị (DHA)) có thể được sử dụng để kiểm tra và chứng thực từ xa về tính toàn vẹn thực sự của thiết bị.

Để triển khai mức độ bảo mật này trên hàng tỷ thiết bị trên khắp thế giới, Microsoft đang làm việc với các OEM và nhà cung cấp chip như Intel. Họ đang phát hành các bản cập nhật chương trình cơ sở thường xuyên cho UEFI, khóa cấu hình UEFI, cho phép bảo vệ bộ nhớ UEFI (NX), chạy các công cụ giảm thiểu lỗ hổng bảo mật chính và củng cố hệ điều hành nền tảng và nhân SystemContainer (ví dụ: WSMT) khỏi các khai thác tiềm năng liên quan đến SMM.

Với Windows 8, Microsoft đã đưa ra khái niệm về các ứng dụng hiện đại (bây giờ là ứng dụng UWP) chỉ chạy bên trong AppContainer và người dùng thực sự cấp cho ứng dụng quyền truy cập vào các tài nguyên, chẳng hạn như tài liệu, theo yêu cầu. Trong trường hợp của các ứng dụng Win32, khi bạn mở ứng dụng, nó có thể làm bất cứ điều gì mà người dùng có quyền làm (ví dụ: mở bất kỳ tệp nào; thay đổi cấu hình hệ thống). Vì AppContainers chỉ dành cho các ứng dụng UWP nên các ứng dụng Win32 vẫn là một thách thức. Với Windows 10, Microsoft đang mang đến một công nghệ vùng chứa dựa trên phần cứng mới mà chúng tôi gọi là SystemContainer. Nó tương tự như một AppContainer, cô lập những gì đang chạy bên trong nó khỏi phần còn lại của hệ thống và dữ liệu. Sự khác biệt chính là SystemContainer được thiết kế để bảo vệ các phần nhạy cảm nhất của hệ thống - như những phần quản lý thông tin đăng nhập của người dùng hoặc cung cấp khả năng bảo vệ cho Windows - tránh xa mọi thứ, bao gồm cả bản thân hệ điều hành mà chúng ta phải cho rằng sẽ bị xâm phạm.

SystemContainer sử dụng khả năng cách ly dựa trên phần cứng và khả năng Bảo mật dựa trên ảo hóa (VBS) của Windows 10 để cô lập các quy trình đang chạy với nó khỏi mọi thứ khác trên hệ thống. VBS sử dụng các tiện ích mở rộng ảo hóa trên bộ xử lý của hệ thống (ví dụ: VT-X của Intel) để cô lập các không gian bộ nhớ có thể định địa chỉ giữa hai hệ điều hành đang chạy song song trên Hyper-V. Hệ điều hành một là hệ điều hành mà bạn luôn biết và sử dụng, và hệ điều hành hai là SystemContainer, hoạt động như một môi trường thực thi an toàn, chạy âm thầm theo từng cảnh. Do việc sử dụng Hyper-V của SystemContainer và thực tế là nó không có mạng, trải nghiệm người dùng, bộ nhớ dùng chung hoặc bộ lưu trữ, nên môi trường được bảo mật tốt để chống lại các cuộc tấn công. Trên thực tế, ngay cả khi hệ điều hành Windows bị xâm phạm hoàn toàn ở cấp nhân (điều này sẽ cấp cho kẻ tấn công mức đặc quyền cao nhất), các quy trình và dữ liệu trong SystemContainer vẫn có thể được bảo mật.

Các dịch vụ và dữ liệu trong SystemContainer ít có khả năng bị xâm phạm hơn đáng kể, vì bề mặt tấn công đối với các thành phần này đã giảm đáng kể. SystemContainer cung cấp các tính năng bảo mật bao gồm Thông tin đăng nhập, Bảo vệ thiết bị, Mô-đun nền tảng đáng tin cậy ảo (vTPM). Microsoft hiện đang thêm các thành phần xác thực sinh trắc học của Windows Hello và dữ liệu sinh trắc học của người dùng vào SystemContainer với Bản cập nhật Anniversary để giữ an toàn cho nó. Microsoft cũng đề cập rằng họ sẽ tiếp tục chuyển một số dịch vụ hệ thống Windows nhạy cảm nhất vào SystemContainer.