Izolace aplikací Win32 je šikovná bezpečnostní funkce, kterou Microsoft minulý měsíc představil ve Windows 11, takto to funguje.
Na své výroční konferenci Build minulý měsíc Microsoft oznámil možnost spouštějte aplikace Win32 v izolaci v systému Windows 11. Společnost ve svém prvním příspěvku na blogu nezašla do mnoha podrobností, ale zdůraznila možnost spustit Win32 aplikace v prostředí izolovaného prostoru, aby byl zbytek operačního systému zabezpečen před potenciálně škodlivými nástroji software. Nyní odhalila více informací o této konkrétní schopnosti, včetně toho, jak funguje a jak zapadá do zbytku bezpečnostní infrastruktury Windows.
Viceprezident společnosti Microsoft pro bezpečnost OS a Enterprise David Weston napsal dlouhý článek blogový příspěvek, vysvětlující podstatu izolace aplikací Win32. Tato funkce je další podobnou možností zabezpečení sandboxu Windows Sandbox a Microsoft Defender Application Guard, ale je založen na AppContainers, nikoli na softwaru založeném na virtualizaci, jako jsou další dvě bezpečnostní opatření. Pro ty, kteří to nevědí, AppContainers slouží jako způsob, jak řídit provádění procesu tím, že jej zapouzdří a zajistí, že běží na velmi nízké úrovni oprávnění a integrity.
Společnost Microsoft důrazně doporučuje používat Smart App Control (SAC) a izolace aplikací Win32 v tandemu při zabezpečení vašeho prostředí Windows před nedůvěryhodnými aplikacemi, které využívají 0denní zranitelnosti. První bezpečnostní mechanismus zastavuje útoky instalací pouze důvěryhodných aplikací, zatímco druhý může být používá se ke spouštění aplikací v izolovaném a zabezpečeném prostředí, aby se omezilo možné poškození a chránilo uživatele Soukromí. Důvodem je, že aplikace Win32 běžící izolovaně nemá stejnou úroveň oprávnění jako uživatel systému.
Redmondská technická firma identifikovala několik klíčových cílů izolace aplikací Win32. Pro začátek omezuje dopad kompromitované aplikace, protože útočníci mají k části aplikace nízká oprávnění operační systém a museli by zřetězit složitý, vícestupňový útok, aby prolomili jejich sandbox. I když jsou úspěšní, poskytuje to také lepší vhled do jejich procesu, takže je mnohem rychlejší implementovat a dodávat zmírňující opravy.
Funguje to tak, že aplikace je nejprve spuštěna na nízké úrovni integrity prostřednictvím AppContainer, což znamená že mají přístup k vybraným Windows API a nemohou spustit škodlivý kód, který vyžaduje vyšší oprávnění úrovně. V dalším a posledním kroku jsou zásady nejmenších oprávnění vynuceny tím, že aplikaci poskytnete autorizovaný přístup k zabezpečeným objektům Windows, což je ekvivalentní implementaci Seznam řízení přístupu (DACL) na Windows.
Další výhodou izolace aplikací Win32 je snížené úsilí vývojáře, protože tvůrci aplikací mohou využít Profiler schopností aplikací (ACP) k dispozici na GitHubu aby pochopili, jaká oprávnění přesně potřebují. Mohou povolit ACP a spouštět svou aplikaci v „režimu učení“ v izolaci aplikace Win32, aby získali protokoly o dalších možnostech, které potřebují ke spuštění svého softwaru. ACP využívá backend datové vrstvy Windows Performance Analyzer (WPA) a protokoly trasování událostí (ETL). Informace z protokolů generovaných tímto procesem lze jednoduše přidat do souboru manifestu balíčku aplikace.
A konečně, izolace aplikací Win32 má za cíl nabídnout bezproblémový uživatelský zážitek. Izolace aplikace Win32 to usnadňuje tím, že vyžaduje, aby aplikace používaly funkci „isolatedWin32-promptForAccess“ vyzve uživatele v případě, že požaduje přístup ke svým datům, jako jsou knihovny .NET a chráněný registr klíče. Výzva by měla být smysluplná pro uživatele, od kterého se získává souhlas. Po udělení přístupu ke zdroji se stane následující:
Když uživatel udělí souhlas s konkrétním souborem pro izolovanou aplikaci, izolovaná aplikace se propojí se systémem Windows Systém souborů zprostředkování (BFS) a uděluje přístup k souborům prostřednictvím ovladače minifiltru. BFS jednoduše otevře soubor a slouží jako rozhraní mezi izolovanou aplikací a BFS.
Virtualizace souborů a registru pomáhá zajistit, aby aplikace nadále fungovaly, aniž by se aktualizoval základní soubor nebo registr. To také minimalizuje jakékoli tření uživatelského dojmu při zachování kompatibility aplikací. Chráněné jmenné prostory jsou vytvořeny tak, aby umožňovaly přístup pouze k aplikaci a nevyžadovaly souhlas uživatele. Lze například udělit přístup ke složce, která má vlastnost, kterou zná pouze aplikace Win32 a která je vyžadována pro kompatibilitu aplikace.
Microsoft zdůraznil, že v zájmu dosažení parity funkcí mezi izolovanými a neizolovanými Aplikace Win32, první mohou interagovat se systémem souborů a dalšími rozhraními Windows API využitím systému Windows BFS. Kromě toho položky v manifestu aplikace také zajišťují, že aplikace může bezpečně pracovat s prvky Windows, jako jsou oznámení prostředí a ikony v systémové liště. Můžeš více o iniciativě na GitHubu se dozvíte zde.