A Win32 alkalmazás elkülönítése egy remek biztonsági képesség, amelyet a Microsoft a múlt hónapban mutatott be a Windows 11 rendszerben, így működik.
A múlt hónapban tartott éves Build konferenciáján a Microsoft bejelentette, hogy képes futtassa a Win32 alkalmazásokat elkülönítve Windows 11 rendszeren. A cég kezdeti blogbejegyzésében nem ment bele sok részletbe, de kiemelte a Win32 futtatásának lehetőségét. alkalmazásokat homokozó környezetben, így az operációs rendszer többi része biztonságban van az esetleges rosszindulatú programok ellen szoftver. Most több információt tárt fel erről a különleges képességről, beleértve azt is, hogyan működik, és hogyan illeszkedik a Windows többi biztonsági infrastruktúrájába.
David Weston, a Microsoft operációs rendszer-biztonsági és vállalati alelnöke hosszú írást írt blog bejegyzés, amely elmagyarázza a Win32-alkalmazások elkülönítésének természetét. Ez a funkció egy újabb sandbox biztonsági lehetőség, mint Windows Sandbox és a Microsoft Defender Application Guard, de ez AppContainersen alapul, nem virtualizáció alapú szoftvereken, mint a másik két biztonsági intézkedés. Azok számára, akik nem tudnak róla, az AppContainerek a folyamat végrehajtásának vezérlésére szolgálnak azáltal, hogy beágyazzák azt, és biztosítják, hogy nagyon alacsony jogosultsági és integritási szinten fusson.
A Microsoft erősen javasolta a használatát Smart App Control (SAC) és a Win32 alkalmazások elszigetelése párhuzamosan, miközben megvédi Windows környezetét a nem megbízható alkalmazásoktól, amelyek 0 napos sebezhetőséget használnak. Az előbbi biztonsági mechanizmus megállítja a támadásokat azáltal, hogy csak megbízható alkalmazásokat telepít, míg az utóbbi lehet az alkalmazások elszigetelt és biztonságos környezetben való futtatására szolgál a lehetséges károk korlátozása és a felhasználó védelme érdekében magánélet. Ennek az az oka, hogy az elszigetelten futó Win32 alkalmazás nem rendelkezik a rendszer felhasználójával azonos jogosultsági szinttel.
A redmondi technológiai cég több kulcsfontosságú célt is azonosított a Win32 alkalmazások elkülönítésével kapcsolatban. Kezdetben korlátozza a feltört alkalmazások hatását, mivel a támadók alacsony jogosultságokkal rendelkeznek az alkalmazás egy részéhez. operációs rendszert, és összetett, többlépcsős támadást kellene leláncolniuk ahhoz, hogy áttörjenek a homokozón. Még ha sikeresek is, ez nagyobb betekintést ad a folyamatukba, és sokkal gyorsabbá teszi a mérséklő javítások bevezetését és szállítását.
Ez úgy működik, hogy egy alkalmazást először alacsony integritási szinten indítanak el az AppContaineren keresztül, ami azt jelenti hogy hozzáférnek bizonyos Windows API-khoz, és nem tudnak olyan rosszindulatú kódot futtatni, amely magasabb jogosultságokat igényel szinteket. A következő és egyben utolsó lépésben a legkevesebb jogosultság elvét érvényesítjük oly módon, hogy egy alkalmazásnak hozzáférést biztosítunk a Windows biztonságos objektumaihoz, ami egyenértékű egy Diszkrecionális hozzáférés-vezérlési lista (DACL) Windows rendszeren.
A Win32-alkalmazások elkülönítésének másik előnye a kevesebb fejlesztői erőfeszítés, mivel az alkalmazáskészítők kihasználhatják az Application Capability Profiler funkciót. (ACP) elérhető a GitHubon hogy pontosan milyen engedélyekre van szükségük. Engedélyezhetik az ACP-t, és "tanulási módban" futtathatják az alkalmazásukat a Win32-alkalmazások elkülönítésében, hogy naplókat kapjanak a szoftverük futtatásához szükséges további képességekről. Az ACP-t a Windows Performance Analyzer (WPA) adatréteg-háttérrendszere és az eseménykövetési naplók (ETL) működtetik. A folyamat által generált naplókból származó információk egyszerűen hozzáadhatók egy alkalmazás csomagjegyzékfájljához.
Végül a Win32-alkalmazások elkülönítésének célja, hogy zökkenőmentes felhasználói élményt nyújtson. A Win32 alkalmazás elkülönítése megkönnyíti ezt azáltal, hogy megköveteli az alkalmazásoktól az "isolatedWin32-promptForAccess" képesség használatát figyelmezteti a felhasználót arra az esetre, ha hozzá kell férnie az adataihoz, például a .NET-könyvtárakhoz és a védett rendszerleíró adatbázishoz kulcsok. A felszólításnak értelmesnek kell lennie a felhasználó számára, akitől a hozzájárulást kérik. Az erőforráshoz való hozzáférés megadása után a következő történik:
Amikor a felhasználó beleegyezését adja egy adott fájlhoz az elkülönített alkalmazáshoz, az elkülönített alkalmazás csatlakozik a Windowshoz Közvetítési fájlrendszer (BFS), és hozzáférést biztosít a fájlokhoz egy mini szűrő-illesztőprogramon keresztül. A BFS egyszerűen megnyitja a fájlt, és interfészként szolgál az elkülönített alkalmazás és a BFS között.
A fájl- és beállításjegyzék-virtualizáció biztosítja, hogy az alkalmazások továbbra is működjenek, miközben nem frissítik az alapfájlt vagy a beállításjegyzéket. Ez minimálisra csökkenti a felhasználói élmény súrlódásait, miközben fenntartja az alkalmazás-kompatibilitást. A védett névterek csak az alkalmazáshoz való hozzáférést biztosítják, és nem igényelnek felhasználói hozzájárulást. Például hozzáférést lehet adni egy olyan mappához, amelynek csak a Win32 alkalmazás által ismert tulajdonsága van, és amely szükséges az alkalmazás-kompatibilitáshoz.
A Microsoft hangsúlyozta, hogy az izolált és az el nem szigetelt jellemzőparitás érdekében A Win32 alkalmazások, az előbbi a Windows kihasználásával kölcsönhatásba léphet a fájlrendszerrel és más Windows API-kkal BFS. Ezenkívül az alkalmazás jegyzékének bejegyzései azt is biztosítják, hogy az alkalmazás biztonságosan tudjon kommunikálni a Windows elemeivel, például a shell-értesítésekkel és a tálcán lévő ikonokkal. tudsz itt tudhat meg többet a kezdeményezésről a GitHubon.