公开(公告)号：CN114207586A

公开(公告)日：2022-03-18

申请号：CN202080055732.4

申请日：2020-06-10

Applicant: 微软技术许可有限责任公司

Inventor： J·德玛尔科 ,  B·M·舒尔茨 ,  F·J·史密斯四世 ,  H·R·普拉帕卡 ,  M·埃伊根 ,  A·T·郭

IPC: G06F9/455 ,  G06F16/13 ,  G06F16/14 ,  G06F16/172 ,  G06F16/176

Abstract: 本文公开了用于容器部署的动态映像合成的计算系统、设备和方法。一种示例技术包括从容器过程接收访问文件的请求。响应于接收到该请求，该技术包括查询与容器过程相对应的映射表，以定位与请求的文件的文件标识符相对应的条目。该条目还包括标识存储设备上的文件位置的数据，其中根据文件位置能够访问请求的文件。该技术还包括根据通过映射表中的定位的条目中的数据标识的文件位置来取回请求的文件的副本，并且将取回请求的文件的取回的副本提供给容器过程，从而允许容器过程访问请求的文件。

公开(公告)号：CN110612512A

公开(公告)日：2019-12-24

申请号：CN201880028459.9

申请日：2018-04-26

Applicant: 微软技术许可有限责任公司

Inventor： B·M·舒尔茨 ,  金舒曼 ,  D·J·林斯利 ,  C·G·杰弗里斯 ,  G·维斯瓦纳坦 ,  S·D·安德森 ,  F·J·史密斯 ,  H·R·普拉帕卡 ,  周剑明 ,  M·S·晨切弗 ,  D·B·普罗伯特

IPC: G06F9/455 ,  G06F21/62 ,  G06F9/445

Abstract: 提供了用于保护访客运行时环境(GRE)的设施。安全策略规范可以与GRE相关联。GRE的安全策略可以特定于GRE，并且还可以包括从较高级别(诸如主机操作环境)继承的安全策略。GRE的安全策略为可以在GRE的执行范围内执行的活动规定了限制和/或许可。GRE的安全策略可以限制GRE的访客软件在GRE内可以执行的操作。限制/许可可以应用于诸如文件、配置数据等对象。安全规范可以应用于在GRE内发起的执行。GRE的安全规范可以限制/允许可执行对象在GRE内的加载和执行。对象的可执行性或可访问性可以取决于诸如GRE、主机系统、所请求的文件等的健康/完整性等因素。

公开(公告)号：CN109923522B

公开(公告)日：2023-09-22

申请号：CN201780068884.6

申请日：2017-11-07

Applicant: 微软技术许可有限责任公司

Inventor： B·M·舒尔茨 ,  F·J·史密斯 ,  D·瓦斯克斯·洛佩斯 ,  A·米什拉 ,  I·J·麦卡迪 ,  J·A·斯塔克斯 ,  J·D·埃伯索尔 ,  A·斯里瓦斯塔瓦 ,  H·R·普拉帕卡 ,  M·埃伊根 ,  S·E·本斯利 ,  G·维斯瓦南坦

IPC: G06F9/455 ,  G06F21/62 ,  G06F21/53

Abstract: 本文讨论匿名容器。在计算设备上运行的操作系统(在本文中也被称为在主机设备上运行的主机操作系统)通过激活与主机操作系统隔离的匿名容器来防止应用访问个人信息(例如，用户信息或公司信息)。为了创建和激活匿名容器，容器管理器匿名化主机操作系统的配置和设置数据，并将匿名配置和设置数据注入匿名容器。作为示例而非限制，这种匿名配置和设置数据可以包括应用数据、机器配置数据和用户设置数据。然后，主机操作系统允许应用在匿名容器中运行。

公开(公告)号：CN110612512B

公开(公告)日：2023-05-02

申请号：CN201880028459.9

申请日：2018-04-26

Applicant: 微软技术许可有限责任公司

Inventor： B·M·舒尔茨 ,  金舒曼 ,  D·J·林斯利 ,  C·G·杰弗里斯 ,  G·维斯瓦纳坦 ,  S·D·安德森 ,  F·J·史密斯 ,  H·R·普拉帕卡 ,  周剑明 ,  M·S·晨切弗 ,  D·B·普罗伯特

IPC: G06F9/455 ,  G06F21/62 ,  G06F9/445

Abstract: 提供了用于保护访客运行时环境(GRE)的设施。安全策略规范可以与GRE相关联。GRE的安全策略可以特定于GRE，并且还可以包括从较高级别(诸如主机操作环境)继承的安全策略。GRE的安全策略为可以在GRE的执行范围内执行的活动规定了限制和/或许可。GRE的安全策略可以限制GRE的访客软件在GRE内可以执行的操作。限制/许可可以应用于诸如文件、配置数据等对象。安全规范可以应用于在GRE内发起的执行。GRE的安全规范可以限制/允许可执行对象在GRE内的加载和执行。对象的可执行性或可访问性可以取决于诸如GRE、主机系统、所请求的文件等的健康/完整性等因素。

公开(公告)号：CN115836278A

公开(公告)日：2023-03-21

申请号：CN202180048680.2

申请日：2021-04-26

Applicant: 微软技术许可有限责任公司

Inventor： M·C·伦克 ,  B·M·舒尔茨 ,  Y·巴克 ,  V·沙玛 ,  A·A·坦基 ,  H·R·普拉帕卡

IPC: G06F8/65

Abstract: 使用考虑冷补丁和热补丁的混合的评估来制定合规动作，包括基于软件组件的打补丁状态来识别定义合规条件的策略。确定软件组件的打补丁状态，包括识别适用于软件组件的(多个)冷补丁二进制文件和(多个)热补丁二进制文件的证据，以及使用该证据来确定(多个)热补丁二进制文件是否已被应用于软件组件的实例被加载到其中的存储器映像。基于策略并且基于软件组件的打补丁状态，针对合规条件制定合规动作。合规动作包括生成健康报告或健康证明、发起打补丁动作、发起执行控制动作，等等。

公开(公告)号：CN110651269B

公开(公告)日：2023-09-05

申请号：CN201880033637.7

申请日：2018-04-24

Applicant: 微软技术许可有限责任公司

Inventor： C·G·杰弗里斯 ,  B·M·舒尔茨 ,  G·维斯瓦纳坦 ,  F·J·史密斯 ,  D·G·韦斯顿 ,  A·斯里瓦斯塔瓦 ,  L·T·陈 ,  H·R·普拉帕卡

IPC: G06F21/53 ,  G06F21/57

Abstract: 在计算设备上运行的主机操作系统监视在与主机操作系统隔离的容器中运行的应用对资源的访问。响应于检测到应用对资源的访问，将生成安全性事件，该安全性事件描述了由于访问资源而发生的恶意活动。分析该安全性事件以确定恶意活动的威胁等级。如果威胁等级不满足威胁等级阈值，则主机操作系统将允许应用继续访问资源并且其继续监视资源访问。当威胁等级满足威胁等级阈值时，操作系统将采取纠正动作以防止恶意活动传播到隔离的容器之外。通过使用安全性事件，在不使用在隔离的容器中运行反病毒软件所需的资源的情况下，保护主机操作系统免受内核级攻击。

公开(公告)号：CN110168504B

公开(公告)日：2023-06-30

申请号：CN201780082640.3

申请日：2017-12-28

Applicant: 微软技术许可有限责任公司

Inventor： H·R·普拉帕卡 ,  M·S·晨切弗 ,  B·M·舒尔茨 ,  J·D·维斯瓦尔 ,  F·J·史密斯 ,  J·A·斯塔克斯 ,  R·O·沃尔科特 ,  M·B·埃伯索尔

IPC: G06F9/54

Abstract: 本文描述了在虚拟环境中分发和管理服务。在一个或多个实现中，服务分发和管理模型被实现，其中系统服务和应用无缝地跨多个容器被分发，该多个容器各自实现不同的运行时环境。在一个或多个实现中，用于在计算设备的主机操作系统中分发对服务的访问的系统包括：主机操作系统，该主机操作系统被配置为实现主机运行时环境；以及，一个或多个服务，该一个或多个服务由主机操作系统实现。该系统还包括：服务控制管理器，该服务控制管理器被配置为实现被实现在客户端运行时环境中的服务的客户端存根与被实现在与第一客户端运行时环境分离的服务运行时环境中的服务的服务提供者之间的通信。

公开(公告)号：CN108885558B

公开(公告)日：2023-01-17

申请号：CN201780022011.1

申请日：2017-03-24

Applicant: 微软技术许可有限责任公司

Inventor： G·王 ,  H·R·普拉帕卡 ,  E·布鲁斯坦

IPC: G06F9/48 ,  G06F9/54

Abstract: 合并来自外部事件的触发器。各实施例包括接收多个触发器，每个触发器与一外部事件的发生相关联。被定义为对时间严格的第一触发器被调度以用于激发。被标识为机会主义的第二触发器与多个触发器中的其他触发器合并。合并包括确定与第二触发器相关联的基于应用的工作负载的重要性，确定与激发第二触发器相关的系统状态，以及基于工作负载的重要性和系统状态来确定用于激发第二触发器的条件。合并还包括标识用于激发第二触发器的条件与用于激发多个触发器中的其他触发器的条件一致，并且调度第二触发器以用于与多个触发器中的其他触发器一起激发。各实施例还包括随后与多个触发器中的其他触发器一起激发第二触发器。

公开(公告)号：CN114830085A

公开(公告)日：2022-07-29

申请号：CN202080087240.3

申请日：2020-11-11

Applicant: 微软技术许可有限责任公司

Inventor： A·里钦 ,  M·S·晨切弗 ,  F·J·史密斯四世 ,  B·M·舒尔茨 ,  H·R·普拉帕卡

IPC: G06F9/455 ,  G06F9/4401

Abstract: 分层复合引导设备和相应的分层复合文件系统可以由引导管理器实现。指向分层复合引导设备和文件系统的请求可以从由分层复合引导设备和文件系统封装的主要设备和文件系统获得服务。主要设备和文件系统可以对应于容器环境中的虚拟化文件系统，从而使容器环境中的变化能够影响容器环境中操作系统引导的早期阶段。如果这种请求不能从主要层得到服务，则复合设备和文件系统可以包括对应于容器主机连接和主机文件系统的次要层，如果容器环境中没有改变，则提供对现有数据的回退，从而使引导能够以传统方式进行。

公开(公告)号：CN114080592A

公开(公告)日：2022-02-22

申请号：CN202080049909.X

申请日：2020-06-08

Applicant: 微软技术许可有限责任公司

Inventor： M·C·伦科 ,  T·J·斯塔尔克 ,  B·M·舒尔茨 ,  G·维斯瓦纳坦 ,  F·J·史密斯 ,  D·C·托马斯 ,  H·R·普拉帕卡 ,  A·T·郭

IPC: G06F9/455 ,  G06F21/60

Abstract: 存储器在基于容器的存储器包围区中被分区和隔离。基于容器的存储器包围区具有可证明的安全保证。在从容器图像供应基于容器的存储器包围区期间，容器中到包围区的存储器地址的声称的链接被修改以可验证地链接到主机的实际存储器地址，诸如分区的存储器包围区。在一些实例中，基于来自类似容器的一个或多个早先容器证明报告的早先证明并且无需容器和针对每个新证明请求的远程证明服务之间的端到端证明，包围区证明报告可以被验证而无需向远程证明服务发送对应的证明请求。