Die Win32-App-Isolation ist eine raffinierte Sicherheitsfunktion, die Microsoft letzten Monat in Windows 11 eingeführt hat. So funktioniert sie.
Auf seiner jährlichen Build-Konferenz im letzten Monat kündigte Microsoft die Möglichkeit dazu an Führen Sie Win32-Apps isoliert unter Windows 11 aus. Das Unternehmen ging in seinem ersten Blog-Beitrag nicht sehr ins Detail, hob jedoch die Option hervor, Win32 auszuführen Apps in einer Sandbox-Umgebung, sodass der Rest des Betriebssystems vor potenziell schädlichen Angriffen geschützt ist Software. Jetzt wurden weitere Informationen zu dieser speziellen Funktion veröffentlicht, einschließlich ihrer Funktionsweise und ihrer Integration in die restliche Sicherheitsinfrastruktur von Windows.
David Weston, Vizepräsident für Betriebssystemsicherheit und Unternehmen bei Microsoft, hat eine ausführliche Stellungnahme verfasst Blogeintrag, in dem die Natur der Win32-App-Isolation erläutert wird. Die Funktion ist eine weitere Sandbox-Sicherheitsoption Windows-Sandbox
Microsoft hat die Verwendung dringend empfohlen Smart App Control (SAC) und Win32-App-Isolierung gleichzeitig und schützen gleichzeitig Ihre Windows-Umgebung vor nicht vertrauenswürdigen Apps, die 0-Day-Schwachstellen ausnutzen. Der erste Sicherheitsmechanismus stoppt Angriffe, indem er nur vertrauenswürdige Apps installiert, während der zweite Sicherheitsmechanismus dies kann Wird verwendet, um Apps in einer isolierten und sicheren Umgebung auszuführen, um potenzielle Schäden zu begrenzen und den Benutzer zu schützen Privatsphäre. Dies liegt daran, dass eine isoliert ausgeführte Win32-App nicht über die gleiche Berechtigungsstufe verfügt wie der Benutzer des Systems.
Das Redmonder Technologieunternehmen hat mehrere Hauptziele der Win32-App-Isolierung identifiziert. Erstens begrenzt es die Auswirkungen einer kompromittierten App, da Angreifer nur über geringe Zugriffsrechte auf einen Teil der App verfügen Betriebssystem, und sie müssten einen komplexen, mehrstufigen Angriff verketten, um ihre Sandbox zu durchbrechen. Selbst wenn sie erfolgreich sind, erhalten sie dadurch auch einen besseren Einblick in ihren Prozess, wodurch die Implementierung und Bereitstellung von Abhilfe-Patches viel schneller erfolgt.
Dies funktioniert so, dass eine App zunächst über AppContainer mit niedrigen Integritätsstufen gestartet wird, d. h dass sie Zugriff auf ausgewählte Windows-APIs haben und keinen Schadcode ausführen können, der höhere Berechtigungen erfordert Ebenen. Im nächsten und letzten Schritt werden die Grundsätze der geringsten Rechte durchgesetzt, indem einer App autorisierter Zugriff auf sicherungsfähige Windows-Objekte gewährt wird, was der Implementierung von a entspricht Diskretionäre Zugriffskontrollliste (DACL) unter Windows.
Ein weiterer Vorteil der Win32-App-Isolierung ist der geringere Entwickleraufwand, da App-Ersteller den Application Capability Profiler nutzen können (ACP) verfügbar auf GitHub um zu verstehen, welche Berechtigungen sie genau benötigen. Sie können ACP aktivieren und ihre App in einem „Lernmodus“ in der Win32-App-Isolation ausführen, um Protokolle über die zusätzlichen Funktionen zu erhalten, die sie zum Ausführen ihrer Software benötigen. ACP wird durch das Datenschicht-Backend von Windows Performance Analyzer (WPA) und Event Trace Logs (ETLs) unterstützt. Die Informationen aus den durch diesen Prozess generierten Protokollen können einfach zur Paketmanifestdatei einer Anwendung hinzugefügt werden.
Schließlich zielt die Win32-App-Isolierung darauf ab, ein nahtloses Benutzererlebnis zu bieten. Die Win32-App-Isolierung erleichtert dies, indem Apps die Verwendung der Funktion „isolatedWin32-promptForAccess“ erfordern um den Benutzer aufzufordern, falls er Zugriff auf seine Daten wie .NET-Bibliotheken und die geschützte Registrierung benötigt Schlüssel. Die Aufforderung sollte für den Benutzer, von dem die Einwilligung eingeholt wird, von Bedeutung sein. Sobald der Zugriff auf eine Ressource gewährt wurde, geschieht Folgendes:
Wenn der Benutzer einer bestimmten Datei für die isolierte Anwendung zustimmt, stellt die isolierte Anwendung eine Schnittstelle zu Windows her Brokering-Dateisystem (BFS) und gewährt über einen Mini-Filtertreiber Zugriff auf die Dateien. BFS öffnet einfach die Datei und dient als Schnittstelle zwischen der isolierten Anwendung und BFS.
Durch die Datei- und Registrierungsvirtualisierung wird sichergestellt, dass Apps weiterhin funktionieren, ohne dass die Basisdatei oder Registrierung aktualisiert wird. Dies minimiert auch Reibungsverluste bei der Benutzererfahrung und sorgt gleichzeitig für die Anwendungskompatibilität. Geschützte Namespaces werden erstellt, um nur den Zugriff auf die App zu ermöglichen und erfordern keine Zustimmung des Benutzers. Beispielsweise kann Zugriff auf einen Ordner gewährt werden, der über eine Eigenschaft verfügt, die nur der Win32-App bekannt ist und für die App-Kompatibilität erforderlich ist.
Microsoft hat dies betont, um eine Funktionsparität zwischen isolierten und nicht isolierten Funktionen zu gewährleisten Bei Win32-Apps können Erstere mithilfe von Windows mit dem Dateisystem und anderen Windows-APIs interagieren BFS. Darüber hinaus stellen Einträge im Manifest der Anwendung auch sicher, dass die App sicher mit Windows-Elementen wie Shell-Benachrichtigungen und Symbolen in der Taskleiste interagieren kann. Du kannst Erfahren Sie hier mehr über die Initiative auf GitHub.