微軟詳細介紹了 SystemContainer，這是一種內置於 Windows 10 中的基於硬件的容器技術

在 Windows 8 之前，桌面操作系統的安全性幾乎完全由軟件構建。 這種方法的問題在於，如果惡意軟件或攻擊者獲得了足夠的權限，可以進入硬件和操作系統之間，或者他們設法篡改設備的固件組件，他們還可以找到隱藏平台的方法並其餘與安全相關的防禦措施。 為了解決這個問題，微軟需要設備和平台信任植根於不可變的硬件，而不僅僅是可以被篡改的軟件。

對於 Windows 8 認證的設備，Microsoft 利用基於硬件的信任根和通用可擴展固件接口 (UEFI) 安全啟動。 現在，在 Windows 10 中，他們通過確保也可以使用基於硬件的安全組件（例如受信任的平台模塊 (TPM) 和基於雲的服務）的組合來驗證此信任鏈，從而將其提升到一個新的水平（設備健康證明 (DHA)），可用於審查和遠程證明設備的真實完整性。

為了在全球數十億台設備中實施這種級別的安全性，微軟正在與 OEM 和英特爾等芯片供應商合作。 他們正在為 UEFI 發布定期固件更新，鎖定 UEFI 配置，啟用 UEFI 內存保護 (NX)，運行關鍵漏洞緩解工具，並強化平台操作系統和 SystemContainer 內核（例如：WSMT）以防止潛在的 SMM 相關漏洞。

在 Windows 8 中，微軟提出了僅在 AppContainer 內運行的現代應用程序（現在是 UWP 應用程序）的概念，並且用戶可以根據需要為應用程序提供對資源（如文檔）的訪問權限。 對於 Win32 應用程序，一旦打開應用程序，它就可以執行用戶有權執行的任何操作（例如：打開任何文件；更改系統配置）。 由於 AppContainers 僅適用於 UWP 應用程序，因此 Win32 應用程序仍然是一個挑戰。 在 Windows 10 中，微軟帶來了一種新的基於硬件的容器技術，我們稱之為 SystemContainer。 它類似於 AppContainer，將其中運行的內容與系統和數據的其餘部分隔離開來。 主要區別在於，SystemContainer 旨在保護系統最敏感的部分——比如管理用戶憑據或為 Windows 提供防禦的那些部分——遠離一切，包括操作系統本身，我們不得不假設這些部分會受到損害。

SystemContainer 使用基於硬件的隔離和 Windows 10 的基於虛擬化的安全 (VBS) 功能將使用它運行的進程與系統上的其他所有進程隔離開來。 VBS 使用系統處理器（例如：Intel 的 VT-X）上的虛擬化擴展來隔離在 Hyper-V 之上並行運行的實際上是兩個操作系統之間的可尋址內存空間。 操作系統一是您一直都知道和使用的操作系統，而操作系統二是 SystemContainer，它充當安全的執行環境，在幕後默默運行。 由於 SystemContainer 使用 Hyper-V 並且它沒有網絡、用戶體驗、共享內存或存儲，因此環境可以很好地抵禦攻擊。 事實上，即使 Windows 操作系統在內核級別被完全破壞（這將給予攻擊者最高級別的特權），SystemContainer 中的進程和數據仍然可以保持安全。

SystemContainer 中的服務和數據受到威脅的可能性大大降低，因為這些組件的攻擊面已大大減少。 SystemContainer 支持安全功能，包括 Credential、Device Guard、虛擬可信平台模塊 (vTPM)。 微軟現在正在通過週年更新將 Windows Hello 的生物特徵驗證組件和用戶的生物特徵數據添加到 SystemContainer 中，以確保其安全。 微軟還提到，他們會繼續將一些最敏感的 Windows 系統服務移到 SystemContainer 中。