यह पृष्ठ विंडोज़ ऑपरेटिंग सिस्टम के लिए विशिष्ट सुरक्षा संबंधी विचारों और सर्वोत्तम प्रथाओं का वर्णन करता है।
विंडोज़ पर, सीक्रेट्स (Secrets) का डेटा नोड के स्थानीय स्टोरेज (local storage) पर स्पष्ट पाठ (clear text) में लिखा जाता है (लिनक्स पर tmpfs / इन-मेमोरी फ़ाइल सिस्टम के उपयोग की तुलना में)। एक क्लस्टर ऑपरेटर के रूप में, आपको निम्नलिखित दोनों अतिरिक्त उपाय करने चाहिए:
विंडोज़ पॉड्स या कंटेनरों के लिए RunAsUsername निर्दिष्ट किया जा सकता है ताकि कंटेनर प्रक्रियाओं (processes) को विशिष्ट उपयोगकर्ता (user) के रूप में निष्पादित (execute) किया जा सके। यह लगभग RunAsUser के समतुल्य है।
विंडोज़ कंटेनर दो डिफ़ॉल्ट उपयोगकर्ता खाते प्रदान करते हैं, ContainerUser और ContainerAdministrator। इन दो उपयोगकर्ता खातों के बीच के अंतर को माइक्रोसॉफ्ट के Secure Windows containers दस्तावेज़ के भीतर When to use ContainerAdmin and ContainerUser user accounts में कवर किया गया है।
कंटेनर निर्माण (build) प्रक्रिया के दौरान स्थानीय उपयोगकर्ताओं (Local users) को कंटेनर छवियों (images) में जोड़ा जा सकता है।
ContainerUser के रूप में चलती हैंContainerAdministrator के रूप में चलती हैंविंडोज़ कंटेनर Group Managed Service Accounts का उपयोग करके सक्रिय निर्देशिका पहचानों (Active Directory identities) के रूप में भी चल सकते हैं।
लिनक्स-विशिष्ट पॉड सुरक्षा संदर्भ तंत्र (security context mechanisms) (जैसे SELinux, AppArmor, Seccomp, या कस्टम POSIX क्षमताएं) विंडोज़ नोड्स पर समर्थित नहीं हैं।
विशेषाधिकार प्राप्त कंटेनर (Privileged containers) विंडोज़ पर समर्थित नहीं हैं। इसके बजाय लिनक्स पर विशेषाधिकार प्राप्त कंटेनरों द्वारा किए जाने वाले कई कार्यों को करने के लिए विंडोज़ पर HostProcess containers का उपयोग किया जा सकता है।