公开(公告)号：CN109923522B

公开(公告)日：2023-09-22

申请号：CN201780068884.6

申请日：2017-11-07

Applicant: 微软技术许可有限责任公司

Inventor： B·M·舒尔茨 ,  F·J·史密斯 ,  D·瓦斯克斯·洛佩斯 ,  A·米什拉 ,  I·J·麦卡迪 ,  J·A·斯塔克斯 ,  J·D·埃伯索尔 ,  A·斯里瓦斯塔瓦 ,  H·R·普拉帕卡 ,  M·埃伊根 ,  S·E·本斯利 ,  G·维斯瓦南坦

IPC: G06F9/455 ,  G06F21/62 ,  G06F21/53

Abstract: 本文讨论匿名容器。在计算设备上运行的操作系统(在本文中也被称为在主机设备上运行的主机操作系统)通过激活与主机操作系统隔离的匿名容器来防止应用访问个人信息(例如，用户信息或公司信息)。为了创建和激活匿名容器，容器管理器匿名化主机操作系统的配置和设置数据，并将匿名配置和设置数据注入匿名容器。作为示例而非限制，这种匿名配置和设置数据可以包括应用数据、机器配置数据和用户设置数据。然后，主机操作系统允许应用在匿名容器中运行。

公开(公告)号：CN110612512B

公开(公告)日：2023-05-02

申请号：CN201880028459.9

申请日：2018-04-26

Applicant: 微软技术许可有限责任公司

Inventor： B·M·舒尔茨 ,  金舒曼 ,  D·J·林斯利 ,  C·G·杰弗里斯 ,  G·维斯瓦纳坦 ,  S·D·安德森 ,  F·J·史密斯 ,  H·R·普拉帕卡 ,  周剑明 ,  M·S·晨切弗 ,  D·B·普罗伯特

IPC: G06F9/455 ,  G06F21/62 ,  G06F9/445

Abstract: 提供了用于保护访客运行时环境(GRE)的设施。安全策略规范可以与GRE相关联。GRE的安全策略可以特定于GRE，并且还可以包括从较高级别(诸如主机操作环境)继承的安全策略。GRE的安全策略为可以在GRE的执行范围内执行的活动规定了限制和/或许可。GRE的安全策略可以限制GRE的访客软件在GRE内可以执行的操作。限制/许可可以应用于诸如文件、配置数据等对象。安全规范可以应用于在GRE内发起的执行。GRE的安全规范可以限制/允许可执行对象在GRE内的加载和执行。对象的可执行性或可访问性可以取决于诸如GRE、主机系统、所请求的文件等的健康/完整性等因素。

公开(公告)号：CN109196505B

公开(公告)日：2022-04-19

申请号：CN201780033267.2

申请日：2017-05-25

Applicant: 微软技术许可有限责任公司

Inventor： N·N·帕伊 ,  C·G·杰弗里斯 ,  G·维斯瓦纳坦 ,  B·M·舒尔茨 ,  F·J·史密斯 ,  L·鲁瑟 ,  M·B·埃伯索尔 ,  G·迪亚兹奎利亚尔 ,  I·D·帕绍夫 ,  P·R·加德奥苏尔 ,  H·R·普拉帕卡 ,  V·M·拉奥

IPC: G06F21/53

Abstract: 在计算设备上运行的主机操作系统监测所述计算设备的网络通信，以识别由所述计算设备请求的网络资源。所述主机操作系统将所请求的网络资源与安全策略进行比较，以确定所请求的网络资源是否受信任。当识别出不受信任的网络资源时，所述主机操作系统使用本文中讨论的技术在与所述主机操作系统内核相隔离的容器内访问不受信任的网络资源。通过将对不受信任的网络资源的访问限制到隔离的容器，所述主机操作系统被保护免受可能由不受信任的网络资源引起的甚至内核级攻击或感染。

公开(公告)号：CN110546637A

公开(公告)日：2019-12-06

申请号：CN201880026983.2

申请日：2018-04-06

Applicant: 微软技术许可有限责任公司

Inventor： K·T·布雷迪 ,  J·C·戈唐 ,  B·M·舒尔茨 ,  A·哈杰 ,  M·K·奥卢格巴德 ,  H·R·普拉帕卡 ,  P·M·博扎 ,  F·J·史密斯 ,  M·埃伊根

IPC: G06F21/31 ,  G06F21/62 ,  G06F9/455

Abstract: 包括隔离的计算会话的容器与项目相关联。因为容器将用于项目的数据、应用等保持在一起，所以与容器相关联的一个或多个用户可以跨多个使用会话来访问容器。容器可以包括要求用户认证以访问的多个层。

公开(公告)号：CN110168504A

公开(公告)日：2019-08-23

申请号：CN201780082640.3

申请日：2017-12-28

Applicant: 微软技术许可有限责任公司

Inventor： H·R·普拉帕卡 ,  M·S·晨切弗 ,  B·M·舒尔茨 ,  J·D·维斯瓦尔 ,  F·J·史密斯 ,  J·A·斯塔克斯 ,  R·O·沃尔科特 ,  M·B·埃伯索尔

IPC: G06F9/54

Abstract: 本文描述了在虚拟环境中分发和管理服务。在一个或多个实现中，服务分发和管理模型被实现，其中系统服务和应用无缝地跨多个容器被分发，该多个容器各自实现不同的运行时环境。在一个或多个实现中，用于在计算设备的主机操作系统中分发对服务的访问的系统包括：主机操作系统，该主机操作系统被配置为实现主机运行时环境；以及，一个或多个服务，该一个或多个服务由主机操作系统实现。该系统还包括：服务控制管理器，该服务控制管理器被配置为实现被实现在客户端运行时环境中的服务的客户端存根与被实现在与第一客户端运行时环境分离的服务运行时环境中的服务的服务提供者之间的通信。

公开(公告)号：CN109923522A

公开(公告)日：2019-06-21

申请号：CN201780068884.6

申请日：2017-11-07

Applicant: 微软技术许可有限责任公司

Inventor： B·M·舒尔茨 ,  F·J·史密斯 ,  D·瓦斯克斯·洛佩斯 ,  A·米什拉 ,  I·J·麦卡迪 ,  J·A·斯塔克斯 ,  J·D·埃伯索尔 ,  A·斯里瓦斯塔瓦 ,  H·R·普拉帕卡 ,  M·埃伊根 ,  S·E·本斯利 ,  G·维斯瓦南坦

IPC: G06F9/455 ,  G06F21/62 ,  G06F21/53

Abstract: 本文讨论匿名容器。在计算设备上运行的操作系统(在本文中也被称为在主机设备上运行的主机操作系统)通过激活与主机操作系统隔离的匿名容器来防止应用访问个人信息(例如，用户信息或公司信息)。为了创建和激活匿名容器，容器管理器匿名化主机操作系统的配置和设置数据，并将匿名配置和设置数据注入匿名容器。作为示例而非限制，这种匿名配置和设置数据可以包括应用数据、机器配置数据和用户设置数据。然后，主机操作系统允许应用在匿名容器中运行。

公开(公告)号：CN110612512A

公开(公告)日：2019-12-24

申请号：CN201880028459.9

申请日：2018-04-26

Applicant: 微软技术许可有限责任公司

Inventor： B·M·舒尔茨 ,  金舒曼 ,  D·J·林斯利 ,  C·G·杰弗里斯 ,  G·维斯瓦纳坦 ,  S·D·安德森 ,  F·J·史密斯 ,  H·R·普拉帕卡 ,  周剑明 ,  M·S·晨切弗 ,  D·B·普罗伯特

IPC: G06F9/455 ,  G06F21/62 ,  G06F9/445

Abstract: 提供了用于保护访客运行时环境(GRE)的设施。安全策略规范可以与GRE相关联。GRE的安全策略可以特定于GRE，并且还可以包括从较高级别(诸如主机操作环境)继承的安全策略。GRE的安全策略为可以在GRE的执行范围内执行的活动规定了限制和/或许可。GRE的安全策略可以限制GRE的访客软件在GRE内可以执行的操作。限制/许可可以应用于诸如文件、配置数据等对象。安全规范可以应用于在GRE内发起的执行。GRE的安全规范可以限制/允许可执行对象在GRE内的加载和执行。对象的可执行性或可访问性可以取决于诸如GRE、主机系统、所请求的文件等的健康/完整性等因素。

公开(公告)号：CN102959508B

公开(公告)日：2015-12-16

申请号：CN201180031317.6

申请日：2011-06-10

Applicant: 微软技术许可有限责任公司

Inventor： P·A·杜尔诺夫 ,  F·J·史密斯 ,  V·扣米内尼 ,  A·A·英吉尔 ,  M·M·科纳 ,  A·利希蒂

IPC: G06F9/44 ,  G06F15/16

CPC classification number: G06F9/45533 ,  G06F8/65

Abstract: 提供了用于向遍及数据中心传播的各节点部署更新的方法、系统和计算机可读介质。启动对驻留在各节点上的主控环境的更新通常调用一种用于形成与升级域有关的彼此独立的节点组的机制（例如，结构控制器），所述升级域被分配给各节点当前主控的承租者（例如，数据中心内运行的服务应用的程序组件）。更新域的约束由分别为服务应用建立的服务级协议来表达。形成该组涉及为成员资格标识独立节点，其中该组中没有任何两个成员主控被分配了不同更新域的相似的承租者（属于共同服务应用）。然而，将主控相似承租者的那些节点加入该组是可接受的，这些相似承租者各自被分配了相同的更新域。

公开(公告)号：CN110651269B

公开(公告)日：2023-09-05

申请号：CN201880033637.7

申请日：2018-04-24

Applicant: 微软技术许可有限责任公司

Inventor： C·G·杰弗里斯 ,  B·M·舒尔茨 ,  G·维斯瓦纳坦 ,  F·J·史密斯 ,  D·G·韦斯顿 ,  A·斯里瓦斯塔瓦 ,  L·T·陈 ,  H·R·普拉帕卡

IPC: G06F21/53 ,  G06F21/57

Abstract: 在计算设备上运行的主机操作系统监视在与主机操作系统隔离的容器中运行的应用对资源的访问。响应于检测到应用对资源的访问，将生成安全性事件，该安全性事件描述了由于访问资源而发生的恶意活动。分析该安全性事件以确定恶意活动的威胁等级。如果威胁等级不满足威胁等级阈值，则主机操作系统将允许应用继续访问资源并且其继续监视资源访问。当威胁等级满足威胁等级阈值时，操作系统将采取纠正动作以防止恶意活动传播到隔离的容器之外。通过使用安全性事件，在不使用在隔离的容器中运行反病毒软件所需的资源的情况下，保护主机操作系统免受内核级攻击。

公开(公告)号：CN110168504B

公开(公告)日：2023-06-30

申请号：CN201780082640.3

申请日：2017-12-28

Applicant: 微软技术许可有限责任公司

Inventor： H·R·普拉帕卡 ,  M·S·晨切弗 ,  B·M·舒尔茨 ,  J·D·维斯瓦尔 ,  F·J·史密斯 ,  J·A·斯塔克斯 ,  R·O·沃尔科特 ,  M·B·埃伯索尔

IPC: G06F9/54

Abstract: 本文描述了在虚拟环境中分发和管理服务。在一个或多个实现中，服务分发和管理模型被实现，其中系统服务和应用无缝地跨多个容器被分发，该多个容器各自实现不同的运行时环境。在一个或多个实现中，用于在计算设备的主机操作系统中分发对服务的访问的系统包括：主机操作系统，该主机操作系统被配置为实现主机运行时环境；以及，一个或多个服务，该一个或多个服务由主机操作系统实现。该系统还包括：服务控制管理器，该服务控制管理器被配置为实现被实现在客户端运行时环境中的服务的客户端存根与被实现在与第一客户端运行时环境分离的服务运行时环境中的服务的服务提供者之间的通信。