Win32 izolacija aplikacije izvrsna je sigurnosna mogućnost koju je Microsoft predstavio u sustavu Windows 11 prošlog mjeseca, evo kako funkcionira.
Na svojoj godišnjoj Build konferenciji prošlog mjeseca, Microsoft je najavio mogućnost da pokrenuti Win32 aplikacije u izolaciji na Windows 11. Tvrtka nije išla u puno detalja u svom početnom postu na blogu, ali je istaknula opciju pokretanja Win32 aplikacije u sandbox okruženju kako bi ostatak operativnog sustava bio siguran od potencijalno zlonamjernih softver. Sada je otkrio više informacija o ovoj posebnoj sposobnosti, uključujući kako funkcionira i uklapa se u ostatak sigurnosne infrastrukture sustava Windows.
Microsoftov potpredsjednik za sigurnost OS-a i poduzeća David Weston napisao je opsežan post na blogu, objašnjavajući prirodu izolacije Win32 aplikacije. Ova je značajka još jedna sigurnosna opcija sandboxa Windows Sandbox i Microsoft Defender Application Guard, ali se temelji na AppContainerima, a ne softveru temeljenom na virtualizaciji kao druge dvije sigurnosne mjere. Za one koji ne znaju, AppContaineri služe kao način kontrole izvršenja procesa tako što ga enkapsuliraju i osiguravaju da radi na vrlo niskim razinama privilegija i integriteta.
Microsoft snažno preporučuje korištenje Pametna kontrola aplikacije (SAC) i Win32 izolacija aplikacija u tandemu dok osiguravate svoje Windows okruženje od nepouzdanih aplikacija koje koriste 0-dnevne ranjivosti. Prvi sigurnosni mehanizam zaustavlja napade instaliranjem samo pouzdanih aplikacija, dok drugi to može učiniti koristi se za pokretanje aplikacija u izoliranom i sigurnom okruženju kako bi se ograničila potencijalna šteta i zaštitio korisnik privatnost. To je zato što Win32 aplikacija koja radi u izolaciji nema istu razinu povlastica kao korisnik sustava.
Tehnička tvrtka iz Redmonda identificirala je nekoliko ključnih ciljeva izolacije Win32 aplikacije. Za početak, ograničava utjecaj kompromitirane aplikacije budući da napadači imaju niske povlastice pristupa dijelu operativnom sustavu i morali bi ulančati složeni napad u više koraka kako bi probili svoje sandbox. Čak i ako su uspješni, to također daje bolji uvid u njihov proces, čineći mnogo bržim implementaciju i isporuku zakrpa za ublažavanje.
Način na koji ovo funkcionira je da se aplikacija prvo pokrene na niskim razinama integriteta putem AppContainera, što znači da imaju pristup odabranim Windows API-jima i da ne mogu izvršavati zlonamjerni kod koji zahtijeva veće privilegije razine. U sljedećem i posljednjem koraku, načela najmanje privilegije provode se davanjem ovlaštenog pristupa aplikaciji zaštićenim objektima sustava Windows, što je jednako implementaciji Popis diskrecijske kontrole pristupa (DACL) na Windowsima.
Još jedna prednost Win32 izolacije aplikacije je smanjeni trud razvojnih programera jer kreatori aplikacija mogu iskoristiti Application Capability Profiler (ACP) dostupan na GitHubu kako bi razumjeli koja su im dopuštenja točno potrebna. Mogu omogućiti ACP i pokrenuti svoju aplikaciju u "načinu učenja" u izolaciji aplikacije Win32 kako bi dobili zapise o dodatnim mogućnostima koje su im potrebne za pokretanje softvera. ACP pokreće pozadina podatkovnog sloja Windows Performance Analyzer (WPA) i zapisnici praćenja događaja (ETL). Informacije iz zapisa koje je generirao ovaj proces mogu se jednostavno dodati u datoteku manifesta paketa aplikacije.
Konačno, izolacija Win32 aplikacije ima za cilj ponuditi besprijekorno korisničko iskustvo. Win32 izolacija aplikacije to olakšava tako što od aplikacija zahtijeva da koriste mogućnost "isolatedWin32-promptForAccess" za obavještavanje korisnika u slučaju da im je potreban pristup njihovim podacima kao što su .NET knjižnice i zaštićeni registar ključevi. Upit bi trebao imati smisla za korisnika od kojeg se dobiva pristanak. Nakon što se odobri pristup resursu, sljedeće se događa:
Kada korisnik da pristanak na određenu datoteku za izoliranu aplikaciju, izolirana aplikacija povezuje se sa sustavom Windows Posrednički datotečni sustav (BFS) i omogućuje pristup datotekama putem upravljačkog programa mini filtera. BFS jednostavno otvara datoteku i služi kao sučelje između izolirane aplikacije i BFS-a.
Virtualizacija datoteka i registra pomaže osigurati da aplikacije nastave raditi bez ažuriranja osnovne datoteke ili registra. Ovo također smanjuje svako trenje korisničkog iskustva uz održavanje kompatibilnosti aplikacija. Zaštićeni imenski prostori stvoreni su kako bi omogućili pristup samo aplikaciji i ne zahtijevaju pristanak korisnika. Na primjer, može se odobriti pristup mapi koja ima svojstvo poznato samo aplikaciji Win32 i potrebno za kompatibilnost aplikacije.
Microsoft je naglasio da kako bi imao paritet značajki između izoliranih i neizoliranih Win32 aplikacije, prve mogu komunicirati sa sustavom datoteka i drugim Windows API-jima koristeći Windows BFS. Štoviše, unosi u manifestu aplikacije također osiguravaju da aplikacija može sigurno komunicirati s elementima sustava Windows kao što su obavijesti ljuske i ikone u traci sustava. Možeš saznajte više o inicijativi na GitHubu ovdje.