Win32-sovellusten eristäminen on näppärä tietoturvaominaisuus, jonka Microsoft esitteli Windows 11:ssä viime kuussa. Näin se toimii.
Vuosittaisessa Build-konferenssissaan viime kuussa Microsoft ilmoitti pystyvänsä ajaa Win32-sovelluksia erillään Windows 11:ssä. Yritys ei mennyt paljon yksityiskohtiin alkuperäisessä blogikirjoituksessaan, mutta se korosti vaihtoehtoa käyttää Win32:ta. sovelluksia hiekkalaatikkoympäristössä, jotta muu käyttöjärjestelmä on suojattu mahdollisilta haitallisilta vaikutuksilta ohjelmisto. Nyt se on paljastanut enemmän tietoa tästä ominaisuudesta, mukaan lukien kuinka se toimii ja sopii muuhun Windowsin suojausinfrastruktuuriin.
Microsoftin OS Securityn ja Enterprisen varapresidentti David Weston on kirjoittanut pitkän puheen blogipostaus, joka selittää Win32-sovellusten eristämisen luonteen. Ominaisuus on jälleen yksi hiekkalaatikon suojausvaihtoehto Windowsin hiekkalaatikko ja Microsoft Defender Application Guard, mutta se perustuu AppContainereihin, ei virtualisointipohjaisiin ohjelmistoihin, kuten kaksi muuta turvatoimea. Niille, jotka eivät tiedä, AppContainers toimii tapana hallita prosessin suorittamista kapseloimalla se ja varmistamalla, että se toimii erittäin alhaisilla käyttöoikeus- ja eheystasoilla.
Microsoft on erittäin suositellut sen käyttöä Smart App Control (SAC) ja Win32-sovellusten eristäminen samanaikaisesti samalla kun suojaat Windows-ympäristösi ei-luotettavilta sovelluksilta, jotka käyttävät 0 päivän haavoittuvuuksia. Edellinen suojausmekanismi pysäyttää hyökkäykset asentamalla vain luotettavia sovelluksia, kun taas jälkimmäinen voi olla käytetään sovellusten suorittamiseen eristetyssä ja suojatussa ympäristössä mahdollisten vahinkojen rajoittamiseksi ja käyttäjän suojaamiseksi yksityisyyttä. Tämä johtuu siitä, että erillään toimivalla Win32-sovelluksella ei ole samaa käyttöoikeustasoa kuin järjestelmän käyttäjällä.
Redmondin teknologiayritys on tunnistanut useita Win32-sovellusten eristämisen keskeisiä tavoitteita. Ensinnäkin se rajoittaa vaarantuneen sovelluksen vaikutusta, koska hyökkääjillä on vähäiset käyttöoikeudet osaan käyttöjärjestelmä, ja heidän olisi ketjutettava monimutkainen, monivaiheinen hyökkäys murtautuakseen hiekkalaatikonsa läpi. Vaikka ne menestyisivätkin, tämä antaa enemmän tietoa myös heidän prosessistaan, mikä nopeuttaa lieventävien korjaustiedostojen käyttöönottoa ja toimittamista.
Tämä toimii siten, että sovellus käynnistetään ensin alhaisella eheystasolla AppContainerin kautta, mikä tarkoittaa että heillä on pääsy tiettyihin Windows-sovellusliittymiin eivätkä he voi suorittaa haitallista koodia, joka vaatii korkeampia oikeuksia tasot. Seuraavassa ja viimeisessä vaiheessa vähiten etuoikeuksien periaate pannaan täytäntöön antamalla sovellukselle valtuutettu pääsy Windowsin suojattaviin objekteihin, mikä vastaa Harkinnanvarainen käyttöoikeusluettelo (DACL) Windowsissa.
Toinen Win32-sovellusten eristämisen etu on vähemmän kehittäjien työtä, koska sovellusten luojat voivat hyödyntää Application Capability Profiler -sovellusta. (ACP) saatavilla GitHubissa ymmärtääkseen, mitä lupia he tarkalleen tarvitsevat. He voivat ottaa ACP: n käyttöön ja suorittaa sovelluksensa "oppimistilassa" Win32-sovelluseristyksessä saadakseen lokit ohjelmistonsa suorittamiseen tarvittavista lisäominaisuuksista. ACP: tä käyttävät Windows Performance Analyzer (WPA) -tietokerroksen taustaohjelma ja tapahtuman jäljityslokit (ETL). Tämän prosessin luomien lokien tiedot voidaan yksinkertaisesti lisätä sovelluksen paketin luettelotiedostoon.
Lopuksi Win32-sovelluseristyksen tavoitteena on tarjota saumaton käyttökokemus. Win32-sovellusten eristäminen helpottaa tätä vaatimalla sovelluksia käyttämään "isolatedWin32-promptForAccess"-ominaisuutta. pyytää käyttäjää, jos hän tarvitsee pääsyn tietoihinsa, kuten .NET-kirjastoihin ja suojattuun rekisteriin avaimet. Kehotteen tulee olla merkityksellinen käyttäjälle, jolta suostumus hankitaan. Kun resurssin käyttöoikeus on myönnetty, tapahtuu seuraavaksi:
Kun käyttäjä antaa suostumuksensa tietylle tiedostolle eristetylle sovellukselle, eristetty sovellus liitetään Windowsiin Välitystiedostojärjestelmä (BFS) ja antaa pääsyn tiedostoihin minisuodatinohjaimen kautta. BFS yksinkertaisesti avaa tiedoston ja toimii rajapintana eristetyn sovelluksen ja BFS: n välillä.
Tiedostojen ja rekisterin virtualisointi auttaa varmistamaan, että sovellukset jatkavat toimintaansa, vaikka ne eivät päivitä perustiedostoa tai rekisteriä. Tämä myös minimoi käyttökokemuksen kitkan säilyttäen samalla sovellusten yhteensopivuuden. Suojatut nimitilat luodaan sallimaan pääsy vain sovellukseen eivätkä vaadi käyttäjän suostumusta. Esimerkiksi pääsy kansioon, jonka ominaisuus on vain Win32-sovelluksen tiedossa ja joka tarvitaan sovellusten yhteensopivuuden kannalta, voidaan myöntää.
Microsoft on korostanut, että eristetyn ja eristämättömän ominaisuuspariteetti on Win32-sovellukset, edellinen voi olla vuorovaikutuksessa tiedostojärjestelmän ja muiden Windows-sovellusliittymien kanssa hyödyntämällä Windowsia BFS. Lisäksi sovelluksen luettelossa olevat merkinnät varmistavat myös, että sovellus voi turvallisesti olla vuorovaikutuksessa Windows-elementtien, kuten shell-ilmoitusten ja ilmaisinalueen kuvakkeiden kanssa. Sinä pystyt Lue lisää aloitteesta GitHubissa täältä.