SystemContainer - новая аппаратная технология безопасности в Windows 10

2016-07-01 7852 комментарии
Microsoft раскрывает подробности новой аппаратной технологии SystemContainer, встроенной в Windows 10 для защиты самых чувствительных системных зон и обеспечения безопасности операционной системы

До Windows 8 безопасность десктопной операционной системы была построена на уровне программного обеспечения. Основная проблема подхода заключалась в том, что, если вредоносная программа или злоумышленник получали повышенные привилегии, они могли обосноваться между аппаратными средствами и операционной системой, взаимодействуя со встроенными программами устройств и компонентов компьютера. Таким образом, они могли скрыться от платформы и других связанных с безопасностью защит.

SystemContainer - новая аппаратная технология безопасности в Windows 10

Для исправления данной проблемы Microsoft нужна была специализированная платформа доверия, чтобы укорениться в аппаратных компонентах, а не только на уязвимом уровне программного обеспечения.

В Windows 8 Microsoft реализовала безопасную загрузку Universal Extensible Firmware Interface (UEFI) для того, чтобы получить преимущества аппаратной системы доверия. В Windows 10 работа в этой области была продолжена путем внедрения комбинации аппаратных компонентов безопасности, в частности Trusted Platform Module (TRM) и облачных сервисов (Device Health Attestation (DHA)), которые могут быть использованы в том числе для проверки истинной целостности устройства.

Для того, чтобы реализовать данный уровень безопасности на миллионах устройств по всему миру, Microsoft работает с производителями компьютерного оборудования, в, например, чипов Intel. Они регулярно выпускают обновления для UEFI, блокируют конфигурационные файлы UEFI, включают защиту памяти UEFI, запускают инструменты устранения уязвимостей и усиливают защиту платформы системы и ядра SystemContainer от эксплойтов режима системного управления.

SystemContainer - новая аппаратная технология безопасности в Windows 10

В Windows 8 Microsoft реализовала концепцию универсальных приложений, которые работают только внутри контейнера AppContainer, и пользователь в буквальном смысле предоставляет доступ к ресурсам по требованию. В случае с приложениями Win32 после открытия приложения, они могут совершать любые действия в рамках привилегий пользователя (открывать файлы, изменять настройки системы). Так как AppContainer предназначен только для универсальных приложений, программы Win32 продолжали представлять проблему. В Windows 10 Microsoft представила новую аппаратную технологию под названием SystemContainer. Она схожа с AppContainer по принципу работы - она изолирует запущенные программы от системы и остальных данных. Основное различие заключается в том, SystemContainer разработана для защиты самых чувствительных системных зон, например, учетных записей и обеспечения линии обороны в первую очередь для самой операционной системы Windows.

SystemContainer использует аппаратную изоляцию и защитную технологию виртуализации Virtualization Based Security (VBS) для изолирования запущенных процессов от других системных зон. VBS использует расширения виртуализации процессора (VT-X) для отделения адресуемых пространств памяти - таким образом две виртуальные операционные системы работают параллельно с помощью Hyper-V. Первая операционная система - обычная пользовательская ОС, а вторая - SystemContainer, которая представляет собой среду исполнения программ, которая тихо работает на втором плане. SystemContainer полагается на Hyper-V и не имеет доступа к сети, поэтому пользовательское взаимодействие, общая память и хранилища становятся надежно защищены от атак. На самом деле, даже если операционная система Windows полностью взломана на уровне ядра (что предоставляет злоумышленнику наивысшие привилегии), процессы и данные в пределах SystemContainer останутся в безопасности.

Службы и данные в пределах SystemContainer имеют гораздо меньше рисков быть взломанными из-за значительного сокращения поверхности атаки. SystemContainer включает защитные функции: Credential, Device Guard, Virtual Trusted Platform Module (vTPM). Microsoft также добавляет биометрические функции Windows Hello в SystemContainer в рамках Anniversary Update для усиления безопасности. Microsoft отметила, чтобы будет продолжена работа по переносу важных системных зон в SystemContainer.
 

© .
Комментарии и отзывы

Нашли ошибку?

Новое на сайте