Isolasi aplikasi Win32 adalah kemampuan keamanan yang bagus yang diperkenalkan Microsoft di Windows 11 bulan lalu, begitulah cara kerjanya.
Pada konferensi Build tahunannya bulan lalu, Microsoft mengumumkan kemampuannya jalankan aplikasi Win32 secara terpisah di Windows 11. Perusahaan tidak merinci banyak dalam posting blog awalnya, tetapi menyoroti opsi untuk menjalankan Win32 aplikasi di lingkungan kotak pasir sehingga sistem operasi lainnya aman dari potensi bahaya perangkat lunak. Sekarang, telah terungkap lebih banyak informasi tentang kemampuan khusus ini, termasuk cara kerjanya dan cocok dengan infrastruktur keamanan Windows lainnya.
Wakil Presiden Keamanan OS dan Perusahaan Microsoft David Weston telah menulis panjang lebar posting blog, menjelaskan sifat isolasi aplikasi Win32. Fitur ini adalah opsi keamanan kotak pasir lainnya Kotak Pasir Windows dan Microsoft Defender Application Guard, tetapi didasarkan pada AppContainers, bukan perangkat lunak berbasis virtualisasi seperti dua langkah keamanan lainnya. Bagi mereka yang tidak sadar, AppContainers berfungsi sebagai cara untuk mengontrol eksekusi suatu proses dengan mengenkapsulasi dan memastikan bahwa itu berjalan pada tingkat hak istimewa dan integritas yang sangat rendah.
Microsoft sangat merekomendasikan penggunaan Kontrol Aplikasi Cerdas (SAC) dan isolasi aplikasi Win32 bersamaan sambil mengamankan lingkungan Windows Anda dari aplikasi tidak tepercaya yang memanfaatkan kerentanan 0 hari. Mekanisme keamanan sebelumnya menghentikan serangan dengan menginstal hanya aplikasi tepercaya sementara yang terakhir bisa digunakan untuk menjalankan aplikasi di lingkungan yang terisolasi dan aman untuk membatasi potensi kerusakan dan melindungi pengguna pribadi. Ini karena aplikasi Win32 yang berjalan secara terpisah tidak memiliki tingkat hak istimewa yang sama dengan pengguna sistem.
Perusahaan teknologi Redmond telah mengidentifikasi beberapa tujuan utama isolasi aplikasi Win32. Sebagai permulaan, ini membatasi dampak dari aplikasi yang disusupi karena penyerang memiliki akses istimewa yang rendah ke sebagian dari sistem operasi, dan mereka perlu merangkai serangan multi-langkah yang kompleks untuk menerobos kotak pasir mereka. Bahkan jika mereka berhasil, ini juga memberikan lebih banyak wawasan tentang proses mereka, membuatnya lebih cepat untuk menerapkan dan memberikan tambalan mitigasi.
Cara kerjanya adalah aplikasi pertama kali diluncurkan pada tingkat integritas rendah melalui AppContainer, yang artinya bahwa mereka memiliki akses untuk memilih API Windows dan tidak dapat menjalankan kode berbahaya yang memerlukan hak istimewa lebih tinggi tingkat. Pada langkah berikutnya dan terakhir, prinsip hak istimewa paling rendah diterapkan dengan memberikan aplikasi akses resmi ke objek aman Windows, yang setara dengan mengimplementasikan Daftar Kontrol Akses Bebas (DACL) di Windows.
Keuntungan lain dari isolasi aplikasi Win32 adalah berkurangnya upaya pengembang karena pembuat aplikasi dapat memanfaatkan Application Capability Profiler (ACP) tersedia di GitHub untuk memahami izin apa yang sebenarnya mereka butuhkan. Mereka dapat mengaktifkan ACP dan menjalankan aplikasi mereka dalam "mode belajar" dalam isolasi aplikasi Win32 untuk mendapatkan log tentang kemampuan tambahan yang mereka perlukan untuk menjalankan perangkat lunak mereka. ACP didukung oleh backend lapisan data Windows Performance Analyzer (WPA) dan Event Trace Logs (ETLs). Informasi dari log yang dihasilkan oleh proses ini dapat dengan mudah ditambahkan ke file manifes paket aplikasi.
Akhirnya, isolasi aplikasi Win32 bertujuan untuk menawarkan pengalaman pengguna yang mulus. Isolasi aplikasi Win32 memfasilitasi ini dengan mengharuskan aplikasi menggunakan kemampuan "isolatedWin32-promptForAccess" untuk meminta pengguna jika mereka memerlukan akses ke data mereka seperti perpustakaan .NET dan registri yang dilindungi kunci. Prompt harus berarti bagi pengguna yang persetujuannya diperoleh. Setelah akses ke sumber daya diberikan, inilah yang terjadi selanjutnya:
Saat pengguna memberikan izin ke file tertentu untuk aplikasi yang diisolasi, aplikasi yang diisolasi akan berinteraksi dengan Windows Sistem File Pialang (BFS) dan memberikan akses ke file melalui driver filter mini. BFS cukup membuka file dan berfungsi sebagai antarmuka antara aplikasi yang terisolasi dan BFS.
Virtualisasi file dan registri membantu memastikan bahwa aplikasi terus bekerja tanpa memperbarui file dasar atau registri. Ini juga meminimalkan gesekan pengalaman pengguna dengan tetap menjaga kompatibilitas aplikasi. Ruang nama yang dilindungi dibuat untuk mengizinkan akses hanya ke aplikasi dan tidak memerlukan persetujuan pengguna. Misalnya, akses ke folder yang memiliki properti yang hanya diketahui oleh aplikasi Win32 dan diperlukan untuk kompatibilitas aplikasi dapat diberikan.
Microsoft telah menekankan bahwa untuk memiliki fitur paritas antara terisolasi dan non-terisolasi Aplikasi Win32, yang pertama dapat berinteraksi dengan sistem file dan API Windows lainnya dengan memanfaatkan Windows BFS. Selain itu, entri dalam manifes aplikasi juga memastikan bahwa aplikasi dapat berinteraksi dengan aman dengan elemen Windows seperti pemberitahuan shell dan ikon di baki sistem. Kamu bisa pelajari lebih lanjut tentang inisiatif di GitHub di sini.