微软详细介绍了 SystemContainer，这是一种内置于 Windows 10 中的基于硬件的容器技术

在 Windows 8 之前，桌面操作系统的安全性几乎完全由软件构建。 这种方法的问题在于，如果恶意软件或攻击者获得了足够的权限，可以进入硬件和操作系统之间，或者他们设法篡改设备的固件组件，他们还可以找到隐藏平台的方法并其余与安全相关的防御措施。 为了解决这个问题，微软需要设备和平台信任植根于不可变的硬件，而不仅仅是可以被篡改的软件。

对于 Windows 8 认证的设备，Microsoft 利用基于硬件的信任根和通用可扩展固件接口 (UEFI) 安全启动。 现在，在 Windows 10 中，他们通过确保也可以使用基于硬件的安全组件（例如受信任的平台模块 (TPM) 和基于云的服务）的组合来验证此信任链，从而将其提升到一个新的水平（设备健康证明 (DHA)），可用于审查和远程证明设备的真实完整性。

为了在全球数十亿台设备中实施这种级别的安全性，微软正在与 OEM 和英特尔等芯片供应商合作。 他们正在为 UEFI 发布定期固件更新，锁定 UEFI 配置，启用 UEFI 内存保护 (NX)，运行关键漏洞缓解工具，并强化平台操作系统和 SystemContainer 内核（例如：WSMT）以防止潜在的 SMM 相关漏洞。

在 Windows 8 中，微软提出了仅在 AppContainer 内运行的现代应用程序（现在是 UWP 应用程序）的概念，并且用户可以根据需要为应用程序提供对资源（如文档）的访问权限。 对于 Win32 应用程序，一旦打开应用程序，它就可以执行用户有权执行的任何操作（例如：打开任何文件；更改系统配置）。 由于 AppContainers 仅适用于 UWP 应用程序，因此 Win32 应用程序仍然是一个挑战。 在 Windows 10 中，微软带来了一种新的基于硬件的容器技术，我们称之为 SystemContainer。 它类似于 AppContainer，将其中运行的内容与系统和数据的其余部分隔离开来。 主要区别在于，SystemContainer 旨在保护系统最敏感的部分——比如管理用户凭据或为 Windows 提供防御的那些部分——远离一切，包括操作系统本身，我们不得不假设这些部分会受到损害。

SystemContainer 使用基于硬件的隔离和 Windows 10 的基于虚拟化的安全 (VBS) 功能将使用它运行的进程与系统上的其他所有进程隔离开来。 VBS 使用系统处理器（例如：Intel 的 VT-X）上的虚拟化扩展来隔离在 Hyper-V 之上并行运行的实际上是两个操作系统之间的可寻址内存空间。 操作系统一是您一直都知道和使用的操作系统，而操作系统二是 SystemContainer，它充当安全的执行环境，在幕后默默运行。 由于 SystemContainer 使用 Hyper-V 并且它没有网络、用户体验、共享内存或存储，因此环境可以很好地抵御攻击。 事实上，即使 Windows 操作系统在内核级别被完全破坏（这将给予攻击者最高级别的特权），SystemContainer 中的进程和数据仍然可以保持安全。

SystemContainer 中的服务和数据受到威胁的可能性大大降低，因为这些组件的攻击面已大大减少。 SystemContainer 支持安全功能，包括 Credential、Device Guard、虚拟可信平台模块 (vTPM)。 微软现在正在通过周年更新将 Windows Hello 的生物特征验证组件和用户的生物特征数据添加到 SystemContainer 中，以确保其安全。 微软还提到，他们会继续将一些最敏感的 Windows 系统服务移到 SystemContainer 中。