Win32 ऐप आइसोलेशन एक बेहतरीन सुरक्षा क्षमता है जिसे Microsoft ने पिछले महीने Windows 11 में पेश किया था, यह इस तरह काम करता है।
पिछले महीने अपने वार्षिक बिल्ड सम्मेलन में, माइक्रोसॉफ्ट ने इसकी क्षमता की घोषणा की Windows 11 पर Win32 ऐप्स को आइसोलेशन में चलाएँ. कंपनी ने अपने शुरुआती ब्लॉग पोस्ट में बहुत अधिक विवरण नहीं दिया, लेकिन इसने Win32 चलाने के विकल्प पर प्रकाश डाला सैंडबॉक्स वातावरण में ऐप्स ताकि शेष ऑपरेटिंग सिस्टम संभावित रूप से दुर्भावनापूर्ण से सुरक्षित रहे सॉफ़्टवेयर। अब, इसने इस विशेष क्षमता के बारे में अधिक जानकारी का खुलासा किया है, जिसमें यह भी शामिल है कि यह कैसे काम करती है और विंडोज के बाकी सुरक्षा ढांचे में कैसे फिट बैठती है।
माइक्रोसॉफ्ट के ओएस सिक्योरिटी और एंटरप्राइज के उपाध्यक्ष डेविड वेस्टन ने एक लंबी बात लिखी है ब्लॉग भेजा, Win32 ऐप आइसोलेशन की प्रकृति को समझाते हुए। यह सुविधा सैंडबॉक्स सुरक्षा विकल्प की तरह ही एक और है विंडोज़ सैंडबॉक्स और माइक्रोसॉफ्ट डिफ़ेंडर एप्लीकेशन गार्ड, लेकिन यह अन्य दो सुरक्षा उपायों की तरह वर्चुअलाइजेशन-आधारित सॉफ़्टवेयर पर नहीं, बल्कि AppContainers पर आधारित है। अनजान लोगों के लिए, AppContainers किसी प्रक्रिया के निष्पादन को नियंत्रित करने के तरीके के रूप में कार्य करता है और यह सुनिश्चित करता है कि यह बहुत कम विशेषाधिकार और अखंडता स्तर पर चलता है।
माइक्रोसॉफ्ट ने इसका उपयोग करने की पुरजोर अनुशंसा की है स्मार्ट ऐप कंट्रोल (एसएसी) और Win32 ऐप अलगाव आपके विंडोज़ वातावरण को 0-दिन की कमजोरियों का उपयोग करने वाले अविश्वसनीय ऐप्स से सुरक्षित करते हुए। पूर्व सुरक्षा तंत्र केवल विश्वसनीय ऐप्स इंस्टॉल करके हमलों को रोकता है जबकि बाद वाला हो सकता है संभावित क्षति को सीमित करने और उपयोगकर्ता की सुरक्षा के लिए एक अलग और सुरक्षित वातावरण में ऐप्स चलाने के लिए उपयोग किया जाता है गोपनीयता। ऐसा इसलिए है क्योंकि आइसोलेशन में चलने वाले Win32 ऐप में सिस्टम के उपयोगकर्ता के समान विशेषाधिकार स्तर नहीं होता है।
रेडमंड टेक फर्म ने Win32 ऐप आइसोलेशन के कई प्रमुख लक्ष्यों की पहचान की है। शुरुआत के लिए, यह एक समझौता किए गए ऐप से प्रभाव को सीमित करता है क्योंकि हमलावरों के पास इसके एक हिस्से तक कम विशेषाधिकार प्राप्त पहुंच होती है ऑपरेटिंग सिस्टम, और उन्हें अपने सैंडबॉक्स को तोड़ने के लिए एक जटिल, बहु-चरणीय हमले की श्रृंखला की आवश्यकता होगी। भले ही वे सफल हों, इससे उनकी प्रक्रिया के बारे में अधिक जानकारी मिलती है, जिससे शमन पैच को लागू करना और वितरित करना बहुत तेज़ हो जाता है।
यह जिस तरह से काम करता है वह यह है कि किसी ऐप को सबसे पहले AppContainer के माध्यम से कम अखंडता स्तर पर लॉन्च किया जाता है, जिसका अर्थ है कि उनके पास चुनिंदा विंडोज एपीआई तक पहुंच है और वे दुर्भावनापूर्ण कोड निष्पादित नहीं कर सकते हैं जिसके लिए उच्च विशेषाधिकार की आवश्यकता होती है स्तर. अगले और अंतिम चरण में, ऐप को विंडोज़ सुरक्षित वस्तुओं तक अधिकृत पहुंच देकर कम से कम विशेषाधिकार के सिद्धांतों को लागू किया जाता है, जो एक को लागू करने के बराबर है विवेकाधीन पहुंच नियंत्रण सूची (डीएसीएल) विंडोज़ पर.
Win32 ऐप आइसोलेशन का एक अन्य लाभ डेवलपर प्रयास को कम करना है क्योंकि ऐप निर्माता एप्लिकेशन क्षमता प्रोफाइलर का लाभ उठा सकते हैं (एसीपी) GitHub पर उपलब्ध है यह समझने के लिए कि उन्हें वास्तव में किन अनुमतियों की आवश्यकता है। वे ACP को सक्षम कर सकते हैं और अपने सॉफ़्टवेयर को चलाने के लिए आवश्यक अतिरिक्त क्षमताओं के बारे में लॉग प्राप्त करने के लिए Win32 ऐप आइसोलेशन में अपने ऐप को "लर्न-मोड" में चला सकते हैं। एसीपी विंडोज परफॉर्मेंस एनालाइजर (डब्ल्यूपीए) डेटा लेयर बैकएंड और इवेंट ट्रेस लॉग्स (ईटीएल) द्वारा संचालित है। इस प्रक्रिया द्वारा उत्पन्न लॉग की जानकारी को किसी एप्लिकेशन के पैकेज मेनिफेस्ट फ़ाइल में आसानी से जोड़ा जा सकता है।
अंत में, Win32 ऐप आइसोलेशन का लक्ष्य एक सहज उपयोगकर्ता अनुभव प्रदान करना है। Win32 ऐप आइसोलेशन ऐप्स को "isolatedWin32-promptForAccess" क्षमता का उपयोग करने की आवश्यकता के द्वारा इसे सुविधाजनक बनाता है यदि उपयोगकर्ता को अपने डेटा जैसे .NET लाइब्रेरी और संरक्षित रजिस्ट्री तक पहुंच की आवश्यकता होती है तो उसे संकेत देने के लिए चांबियाँ। संकेत उस उपयोगकर्ता के लिए सार्थक होना चाहिए जिससे सहमति प्राप्त की जा रही है। एक बार जब किसी संसाधन तक पहुंच प्रदान कर दी जाती है, तो आगे क्या होता है:
जब उपयोगकर्ता पृथक एप्लिकेशन के लिए किसी विशिष्ट फ़ाइल के लिए सहमति देता है, तो पृथक एप्लिकेशन विंडोज़ के साथ इंटरफेस करता है ब्रोकरिंग फ़ाइल सिस्टम (बीएफएस) और एक मिनी फिल्टर ड्राइवर के माध्यम से फाइलों तक पहुंच प्रदान करता है। बीएफएस बस फ़ाइल खोलता है और पृथक एप्लिकेशन और बीएफएस के बीच इंटरफेस के रूप में कार्य करता है।
फ़ाइल और रजिस्ट्री वर्चुअलाइजेशन यह सुनिश्चित करने में मदद करता है कि आधार फ़ाइल या रजिस्ट्री को अपडेट किए बिना भी ऐप्स काम करना जारी रखें। यह एप्लिकेशन संगतता बनाए रखते हुए किसी भी उपयोगकर्ता अनुभव घर्षण को भी कम करता है। संरक्षित नामस्थान केवल ऐप तक पहुंच की अनुमति देने के लिए बनाए गए हैं और इसके लिए उपयोगकर्ता की सहमति की आवश्यकता नहीं है। उदाहरण के लिए, उस फ़ोल्डर तक पहुंच प्रदान की जा सकती है जिसमें ऐसी संपत्ति है जो केवल Win32 ऐप को ज्ञात है और ऐप संगतता के लिए आवश्यक है।
माइक्रोसॉफ्ट ने पृथक और गैर-पृथक के बीच फीचर समानता रखने पर जोर दिया है Win32 ऐप्स, पूर्व विंडोज़ का लाभ उठाकर फ़ाइल सिस्टम और अन्य विंडोज़ एपीआई के साथ इंटरैक्ट कर सकते हैं बीएफएस. इसके अलावा, एप्लिकेशन के मेनिफ़ेस्ट में प्रविष्टियाँ यह भी सुनिश्चित करती हैं कि ऐप सिस्टम ट्रे में शेल नोटिफिकेशन और आइकन जैसे विंडोज़ तत्वों के साथ सुरक्षित रूप से इंटरैक्ट कर सकता है। तुम कर सकते हो GitHub पर पहल के बारे में यहां और जानें.