До появления Windows 8 защита операционной системы практически полностью обеспечивалась сторонними программами. Проблема такого подхода заключалась в том, что вредоносные программы или внешние угрозы, получившие достаточный уровень доступа, могли пробраться в пространство между «железом» компьютера и ОС или осуществлять манипуляции с встроенным программным обеспечением машины. Таким образом нежелательные программы скрывались от защитного механизма компьютера. Чтобы решить эту проблему, Microsoft были необходимы устройство и платформа, имеющие иммунитет от подобного рода атак, что резко усилило бы защитный потенциал системы. С выходом Windows 8 компания стала использовать сертифицированные устройства безопасности с помощью Secure Boot. Теперь Windows 10 поможет Microsoft сделать следующий шаг в развитии безопасности системы.
Для этого устройства безопасности TPM и облачные сервисы DHA делают компонентами системы безопасности, интегрированной в саму машину. Чтобы обеспечить такой уровень безопасности для миллиардов устройств по всему миру, Microsoft работает вместе с производителями оборудования и поставщиками чипов, такими как Intel, сообщает 4pda.ru.
Ещё на этапе Windows 8 компания создала концепт современных приложений (сейчас известных как UWP-приложения), которые работают только в рамках AppContainer. Пользователь, при необходимости, предоставляет приложениям доступ к ресурсам, таким как документы. Приложения Win32 после запуска имели права, аналогичные правам пользователя. Они открывали любые файлы и изменяли конфигурации системы. Из-за того, что в AppContainer работают только UWP-приложения, проблема с приложениями Win32 оставалась неразрешённой. В Windows 10 добавили новую технологию, напоминающую AppContainer. Названная SystemContainer, эта технология также базируется на «железе» компьютера, и защищает самые чувствительные части системы от всего, в том числе даже от самой ОС, которая может оказаться заражённой.
SystemContainer использует как само устройство, так и работающую в Windows 10 безопасность VBS, чтобы изолировать свои процессы от всех остальных элементов системы. VBS использует расширения виртуализации на процессоре системы (например, Intel VT-X), чтобы изолировать пространство адресуемой памяти между теми задачами, которые две операционные системы в данный момент выполняют в параллели Hyper-V. Первая операционная система – та, что вы давно знаете и используете, а вторая – SystemContainer, который выполняет функции незаметного агента безопасности. Благодаря тому, что SystemContainer использует Hyper-V и отсутствию у него сетевого подключения, пользователь, общая память и окружение хорошо защищены от атак. По сути, даже если вся ОС Windows окажется взломана на уровне ядра, процессы и данные в SystemContainer останутся в безопасности.
Информация и сервисы внутри SystemContainer значительно лучше защищены от атак, поэтому в нём работают только самые важные функции системы. В SystemContainer уже работают Credential, Device Guard и Virtual Trusted Platform Module (vTPM), а в новом обновлении Microsoft также добавит туда компоненты биометрической валидации Windows Hello.
