عزل تطبيق Win32 هو قدرة أمان رائعة قدمتها Microsoft في Windows 11 الشهر الماضي ، وهذه هي الطريقة التي تعمل بها.
في مؤتمر Build السنوي الشهر الماضي ، أعلنت Microsoft عن قدرتها على قم بتشغيل تطبيقات Win32 بمعزل عن نظام التشغيل Windows 11. لم تدخل الشركة في الكثير من التفاصيل في منشور المدونة الأولي الخاص بها ، لكنها أبرزت خيار تشغيل Win32 التطبيقات في بيئة وضع الحماية بحيث يكون باقي نظام التشغيل آمنًا من البرامج الضارة المحتملة برمجة. الآن ، كشفت عن مزيد من المعلومات حول هذه الإمكانية المحددة ، بما في ذلك كيفية عملها وتناسبها مع بقية البنية التحتية الأمنية لنظام Windows.
كتب نائب رئيس مايكروسوفت لأمن أنظمة التشغيل والمؤسسة ديفيد ويستون فترة طويلة مشاركة مدونة، موضحًا طبيعة عزل تطبيق Win32. الميزة هي خيار أمان آخر مثل الحماية Windows Sandbox و Microsoft Defender Application Guard ، ولكنه يعتمد على AppContainers ، وليس البرامج القائمة على الظاهرية مثل التدابير الأمنية الأخرى. بالنسبة لأولئك غير المدركين ، تعمل AppContainers كطريقة للتحكم في تنفيذ العملية من خلال تغليفها والتأكد من أنها تعمل بمستويات امتياز وسلامة منخفضة للغاية.
أوصت Microsoft بشدة باستخدام التحكم في التطبيقات الذكية (SAC) وعزل تطبيق Win32 جنبًا إلى جنب أثناء تأمين بيئة Windows الخاصة بك من التطبيقات غير الموثوق بها التي تستخدم ثغرات أمنية لمدة 0 يومًا. توقف آلية الأمان السابقة الهجمات عن طريق تثبيت التطبيقات الموثوقة فقط بينما يمكن أن تكون الأخيرة تستخدم لتشغيل التطبيقات في بيئة معزولة وآمنة للحد من الأضرار المحتملة وحماية المستخدم خصوصية. وذلك لأن تطبيق Win32 الذي يتم تشغيله بمعزل عن الآخرين لا يمتلك نفس مستوى الامتياز مثل مستخدم النظام.
حددت شركة Redmond للتكنولوجيا عدة أهداف رئيسية لعزل تطبيق Win32. بالنسبة للمبتدئين ، فإنه يحد من التأثير من التطبيق المخترق لأن المهاجمين لديهم امتيازات منخفضة للوصول إلى جزء من نظام التشغيل ، وسيحتاجون إلى سلسلة هجوم معقد متعدد الخطوات لاختراق صندوق الحماية الخاص بهم. حتى إذا كانت ناجحة ، فإن هذا يعطي مزيدًا من المعلومات حول عمليتها أيضًا ، مما يجعلها أسرع بكثير في تنفيذ تصحيحات التخفيف وتقديمها.
الطريقة التي يعمل بها هذا هي أنه يتم تشغيل التطبيق لأول مرة بمستويات تكامل منخفضة من خلال AppContainer ، مما يعني أن لديهم حق الوصول إلى واجهات برمجة تطبيقات Windows ولا يمكنهم تنفيذ تعليمات برمجية ضارة تتطلب امتيازات أعلى المستويات. في الخطوة التالية والأخيرة ، يتم فرض مبادئ الامتياز الأقل من خلال منح التطبيق حق الوصول المصرح به إلى كائنات Windows القابلة للتأمين ، وهو ما يعادل تنفيذ قائمة التحكم بالوصول الاختيارية (DACL) على نظام التشغيل Windows.
ميزة أخرى لعزل تطبيق Win32 هي تقليل جهد المطور حيث يمكن لمنشئي التطبيقات الاستفادة من ملف تعريف قدرة التطبيق (ACP) متوفر على GitHub لفهم الأذونات التي يحتاجون إليها بالضبط. يمكنهم تمكين ACP وتشغيل تطبيقهم في "وضع التعلم" في عزل تطبيق Win32 للحصول على سجلات حول الإمكانات الإضافية التي يحتاجونها لتشغيل برامجهم. يتم تشغيل ACP بواسطة الواجهة الخلفية لطبقة بيانات Windows Performance Analyzer (WPA) وسجلات تتبع الأحداث (ETLs). يمكن ببساطة إضافة المعلومات من السجلات التي تم إنشاؤها بواسطة هذه العملية إلى ملف بيان حزمة التطبيق.
أخيرًا ، يهدف عزل تطبيق Win32 إلى تقديم تجربة مستخدم سلسة. يعمل عزل تطبيق Win32 على تسهيل ذلك من خلال مطالبة التطبيقات باستخدام إمكانية "منعزلةوين 32 موجهًا لوصولاً" لمطالبة المستخدم في حالة طلب الوصول إلى بياناته مثل مكتبات .NET والسجل المحمي مفاتيح. يجب أن يكون الموجه مفيدًا للمستخدم الذي يتم الحصول على الموافقة منه. بمجرد منح الوصول إلى المورد ، هذا ما يحدث بعد ذلك:
عندما يمنح المستخدم الموافقة على ملف معين للتطبيق المعزول ، فإن واجهات التطبيق المعزولة مع Windows نظام ملفات السمسرة (BFS) ويمنح الوصول إلى الملفات عبر برنامج تشغيل مرشح صغير. يفتح BFS الملف ببساطة ويعمل كواجهة بين التطبيق المعزول و BFS.
تساعد المحاكاة الافتراضية للملفات والتسجيل على ضمان استمرار التطبيقات في العمل أثناء عدم تحديث الملف الأساسي أو السجل. هذا يقلل أيضًا من أي احتكاك في تجربة المستخدم مع الحفاظ على توافق التطبيقات. يتم إنشاء مساحات الأسماء المحمية للسماح بالوصول إلى التطبيق فقط ولا تتطلب موافقة المستخدم. على سبيل المثال ، يمكن منح الوصول إلى مجلد يحتوي على خاصية معروفة فقط لتطبيق Win32 والمطلوبة لتوافق التطبيق.
أكدت Microsoft أنه من أجل الحصول على تكافؤ في الميزات بين المعزولة وغير المعزولة تطبيقات Win32 ، يمكن للأول التفاعل مع نظام الملفات وواجهات برمجة تطبيقات Windows الأخرى من خلال الاستفادة من Windows BFS. علاوة على ذلك ، تضمن الإدخالات في بيان التطبيق أيضًا أن التطبيق يمكن أن يتفاعل بأمان مع عناصر Windows مثل إشعارات shell والرموز في علبة النظام. أنت تستطيع تعرف على المزيد حول المبادرة على GitHub هنا.