公开(公告)号：CN110651269A

公开(公告)日：2020-01-03

申请号：CN201880033637.7

申请日：2018-04-24

Applicant: 微软技术许可有限责任公司

Inventor： C·G·杰弗里斯 ,  B·M·舒尔茨 ,  G·维斯瓦纳坦 ,  F·J·史密斯 ,  D·G·韦斯顿 ,  A·斯里瓦斯塔瓦 ,  L·T·陈 ,  H·R·普拉帕卡

IPC: G06F21/53 ,  G06F21/57

Abstract: 在计算设备上运行的主机操作系统监视在与主机操作系统隔离的容器中运行的应用对资源的访问。响应于检测到应用对资源的访问，将生成安全性事件，该安全性事件描述了由于访问资源而发生的恶意活动。分析该安全性事件以确定恶意活动的威胁等级。如果威胁等级不满足威胁等级阈值，则主机操作系统将允许应用继续访问资源并且其继续监视资源访问。当威胁等级满足威胁等级阈值时，操作系统将采取纠正动作以防止恶意活动传播到隔离的容器之外。通过使用安全性事件，在不使用在隔离的容器中运行反病毒软件所需的资源的情况下，保护主机操作系统免受内核级攻击。

公开(公告)号：CN109196505A

公开(公告)日：2019-01-11

申请号：CN201780033267.2

申请日：2017-05-25

Applicant: 微软技术许可有限责任公司

Inventor： N·N·帕伊 ,  C·G·杰弗里斯 ,  G·维斯瓦纳坦 ,  B·M·舒尔茨 ,  F·J·史密斯 ,  L·鲁瑟 ,  M·B·埃伯索尔 ,  G·迪亚兹奎利亚尔 ,  I·D·帕绍夫 ,  P·R·加德奥苏尔 ,  H·R·普拉帕卡 ,  V·M·拉奥

IPC: G06F21/53

Abstract: 在计算设备上运行的主机操作系统监测所述计算设备的网络通信，以识别由所述计算设备请求的网络资源。所述主机操作系统将所请求的网络资源与安全策略进行比较，以确定所请求的网络资源是否受信任。当识别出不受信任的网络资源时，所述主机操作系统使用本文中讨论的技术在与所述主机操作系统内核相隔离的容器内访问不受信任的网络资源。通过将对不受信任的网络资源的访问限制到隔离的容器，所述主机操作系统被保护免受可能由不受信任的网络资源引起的甚至内核级攻击或感染。

公开(公告)号：CN112219202B

公开(公告)日：2024-10-15

申请号：CN201980036022.4

申请日：2019-05-16

Applicant: 微软技术许可有限责任公司

Inventor： A·S·卡拉德米尔 ,  S·K·戈什 ,  A·斯里瓦斯塔瓦 ,  M·T·帕什尼亚克 ,  B·M·舒尔茨 ,  B·巴拉苏布拉曼延 ,  H·R·普拉帕卡 ,  T·S·苏甘迪 ,  M·D·库贾诺维茨 ,  G·维斯瓦纳坦

IPC: G06F21/12

Abstract: 本文公开了用于客户操作系统的存储器分配的技术。在一个实施例中，方法包括：在接收到在客户操作系统中启动应用的用户请求时，生成许可团块，该许可团块包含表示从主机存储中的许可信息的记录复制的产品密钥的数据。方法还包括将所生成的许可团块存储在客户操作系统可访问的随机存储器位置中。然后，客户操作系统可以查询许可团块，以获得启动该应用的准许，并且在客户操作系统中启动该应用，而无需具有针对客户操作系统的单独产品密钥。

公开(公告)号：CN115885261A

公开(公告)日：2023-03-31

申请号：CN202180040280.7

申请日：2021-04-06

Applicant: 微软技术许可有限责任公司

Inventor： A·T·郭 ,  F·J·史密斯四世 ,  J·斯塔克斯 ,  L·罗伊特 ,  D·托马斯 ,  H·R·普拉帕卡 ,  B·M·舒尔茨 ,  J·J·刘

IPC: G06F9/455 ,  G06F21/53

Abstract: 细粒度可选择的部分特权容器虚拟计算环境提供了载体，通过该载体可以将涉及修改主机计算环境的特定方面的进程传递给主机计算环境并在其上执行，同时维持在主机计算环境的其余方面和部分特权的容器计算环境之间有利的和期望的保护和隔离。这样的部分特权是基于直接或间接描述的如下动作来提供的：允许由在部分特权容器虚拟计算环境中执行的进程在主机计算环境上进行的动作和不允许的动作。主机计算环境操作系统的各方面(诸如，内核)被扩展为对接到以容器为中心的机制以接收如下的信息，该信息关于内核可以允许或拒绝哪些动作，即使尝试这样的动作的进程本来具有足够的特权。

公开(公告)号：CN109196505B

公开(公告)日：2022-04-19

申请号：CN201780033267.2

申请日：2017-05-25

Applicant: 微软技术许可有限责任公司

Inventor： N·N·帕伊 ,  C·G·杰弗里斯 ,  G·维斯瓦纳坦 ,  B·M·舒尔茨 ,  F·J·史密斯 ,  L·鲁瑟 ,  M·B·埃伯索尔 ,  G·迪亚兹奎利亚尔 ,  I·D·帕绍夫 ,  P·R·加德奥苏尔 ,  H·R·普拉帕卡 ,  V·M·拉奥

IPC: G06F21/53

Abstract: 在计算设备上运行的主机操作系统监测所述计算设备的网络通信，以识别由所述计算设备请求的网络资源。所述主机操作系统将所请求的网络资源与安全策略进行比较，以确定所请求的网络资源是否受信任。当识别出不受信任的网络资源时，所述主机操作系统使用本文中讨论的技术在与所述主机操作系统内核相隔离的容器内访问不受信任的网络资源。通过将对不受信任的网络资源的访问限制到隔离的容器，所述主机操作系统被保护免受可能由不受信任的网络资源引起的甚至内核级攻击或感染。

公开(公告)号：CN112219202A

公开(公告)日：2021-01-12

申请号：CN201980036022.4

申请日：2019-05-16

Applicant: 微软技术许可有限责任公司

Inventor： A·S·卡拉德米尔 ,  S·K·戈什 ,  A·斯里瓦斯塔瓦 ,  M·T·帕什尼亚克 ,  B·M·舒尔茨 ,  B·巴拉苏布拉曼延 ,  H·R·普拉帕卡 ,  T·S·苏甘迪 ,  M·D·库贾诺维茨 ,  G·维斯瓦纳坦

IPC: G06F21/12

Abstract: 本文公开了用于客户操作系统的存储器分配的技术。在一个实施例中，方法包括：在接收到在客户操作系统中启动应用的用户请求时，生成许可团块，该许可团块包含表示从主机存储中的许可信息的记录复制的产品密钥的数据。方法还包括将所生成的许可团块存储在客户操作系统可访问的随机存储器位置中。然后，客户操作系统可以查询许可团块，以获得启动该应用的准许，并且在客户操作系统中启动该应用，而无需具有针对客户操作系统的单独产品密钥。

公开(公告)号：CN110546637A

公开(公告)日：2019-12-06

申请号：CN201880026983.2

申请日：2018-04-06

Applicant: 微软技术许可有限责任公司

Inventor： K·T·布雷迪 ,  J·C·戈唐 ,  B·M·舒尔茨 ,  A·哈杰 ,  M·K·奥卢格巴德 ,  H·R·普拉帕卡 ,  P·M·博扎 ,  F·J·史密斯 ,  M·埃伊根

IPC: G06F21/31 ,  G06F21/62 ,  G06F9/455

Abstract: 包括隔离的计算会话的容器与项目相关联。因为容器将用于项目的数据、应用等保持在一起，所以与容器相关联的一个或多个用户可以跨多个使用会话来访问容器。容器可以包括要求用户认证以访问的多个层。

公开(公告)号：CN110168504A

公开(公告)日：2019-08-23

申请号：CN201780082640.3

申请日：2017-12-28

Applicant: 微软技术许可有限责任公司

Inventor： H·R·普拉帕卡 ,  M·S·晨切弗 ,  B·M·舒尔茨 ,  J·D·维斯瓦尔 ,  F·J·史密斯 ,  J·A·斯塔克斯 ,  R·O·沃尔科特 ,  M·B·埃伯索尔

IPC: G06F9/54

Abstract: 本文描述了在虚拟环境中分发和管理服务。在一个或多个实现中，服务分发和管理模型被实现，其中系统服务和应用无缝地跨多个容器被分发，该多个容器各自实现不同的运行时环境。在一个或多个实现中，用于在计算设备的主机操作系统中分发对服务的访问的系统包括：主机操作系统，该主机操作系统被配置为实现主机运行时环境；以及，一个或多个服务，该一个或多个服务由主机操作系统实现。该系统还包括：服务控制管理器，该服务控制管理器被配置为实现被实现在客户端运行时环境中的服务的客户端存根与被实现在与第一客户端运行时环境分离的服务运行时环境中的服务的服务提供者之间的通信。

公开(公告)号：CN109923522A

公开(公告)日：2019-06-21

申请号：CN201780068884.6

申请日：2017-11-07

Applicant: 微软技术许可有限责任公司

Inventor： B·M·舒尔茨 ,  F·J·史密斯 ,  D·瓦斯克斯·洛佩斯 ,  A·米什拉 ,  I·J·麦卡迪 ,  J·A·斯塔克斯 ,  J·D·埃伯索尔 ,  A·斯里瓦斯塔瓦 ,  H·R·普拉帕卡 ,  M·埃伊根 ,  S·E·本斯利 ,  G·维斯瓦南坦

IPC: G06F9/455 ,  G06F21/62 ,  G06F21/53

Abstract: 本文讨论匿名容器。在计算设备上运行的操作系统(在本文中也被称为在主机设备上运行的主机操作系统)通过激活与主机操作系统隔离的匿名容器来防止应用访问个人信息(例如，用户信息或公司信息)。为了创建和激活匿名容器，容器管理器匿名化主机操作系统的配置和设置数据，并将匿名配置和设置数据注入匿名容器。作为示例而非限制，这种匿名配置和设置数据可以包括应用数据、机器配置数据和用户设置数据。然后，主机操作系统允许应用在匿名容器中运行。

公开(公告)号：CN114651253B

公开(公告)日：2025-03-28

申请号：CN202080077068.3

申请日：2020-10-23

Applicant: 微软技术许可有限责任公司

Inventor： T·S·苏甘迪 ,  A·T·郭 ,  B·巴拉苏布拉曼延 ,  A·辛格 ,  A·S·卡拉德米尔 ,  B·M·舒尔茨 ,  H·R·普拉帕卡 ,  G·舒巴姆 ,  C·托马斯 ,  C·E·P·拉米雷斯

IPC: G06F21/53 ,  G06F21/57 ,  G06F21/10

Abstract: 环境类型验证可以提供对正在其内执行环境类型验证的计算环境的防篡改验证。然后可以利用这样的信息来执行策略管理，这可以包括省略验证，以便促进从主机计算环境到容器虚拟计算环境中对策略的共享，诸如应用许可。环境类型验证可以执行多个检查，包括对计算环境的加密基础设施的验证、对该计算环境的代码完整性机制的验证、针对证明管理程序的功能性的存在的检查、针对预定系统驱动程序或其他类似的操作系统组件或功能性的存在与否的检查、针对资源管理堆栈的激活或去激活的检查、以及针对固件中的预定值的存在与否的检查。