Win32 アプリ分離は、Microsoft が先月 Windows 11 に導入した気の利いたセキュリティ機能です。これがその仕組みです。
先月開催された年次 Build カンファレンスで、Microsoft は次の機能を発表しました。 Windows 11 上で Win32 アプリを分離して実行する. 同社は最初のブログ投稿では詳細には触れなかったが、Win32 を実行するオプションを強調していた アプリをサンドボックス環境に配置し、オペレーティング システムの残りの部分を潜在的な悪意から保護します。 ソフトウェア。 今回、この特定の機能がどのように動作し、Windows の残りのセキュリティ インフラストラクチャにどのように適合するかなど、この機能に関する詳細情報が明らかになりました。
Microsoft の OS セキュリティおよびエンタープライズ担当副社長 David Weston 氏は、長文の記事を執筆しました。 ブログ投稿、Win32 アプリ分離の性質について説明します。 この機能は、同様のサンドボックス セキュリティ オプションのもう 1 つです。 Windows サンドボックス と Microsoft Defender Application Guard ですが、他の 2 つのセキュリティ対策のような仮想化ベースのソフトウェアではなく、AppContainers に基づいています。 ご存じない方のために説明すると、AppContainers は、プロセスをカプセル化し、非常に低い特権レベルと整合性レベルでプロセスが実行されるようにすることで、プロセスの実行を制御する方法として機能します。
Microsoft は、使用することを強く推奨しています。 スマート アプリ コントロール (SAC) Win32 アプリの分離を並行して実行しながら、ゼロデイ脆弱性を悪用する信頼できないアプリから Windows 環境を保護します。 前者のセキュリティ メカニズムは信頼できるアプリのみをインストールすることで攻撃を阻止しますが、後者は 潜在的な損害を制限し、ユーザーを保護するために、隔離された安全な環境でアプリを実行するために使用されます。 プライバシー。 これは、分離して実行されている Win32 アプリがシステムのユーザーと同じ特権レベルを持たないためです。
レドモンドのテクノロジー企業は、Win32 アプリの分離に関するいくつかの重要な目標を特定しました。 まず、攻撃者が一部のアプリケーションに対して低い権限でアクセスできるため、侵害されたアプリケーションによる影響が制限されます。 サンドボックスを突破するには、複雑な複数段階の攻撃を連鎖させる必要があります。 たとえ成功したとしても、これによりプロセスについてもより多くの洞察が得られ、緩和パッチの実装と配信がより迅速になります。
これがどのように機能するかというと、アプリはまず AppContainer を通じて低い整合性レベルで起動されます。つまり、 選択された Windows API にアクセスでき、より高い権限を必要とする悪意のあるコードを実行できないこと レベル。 次の最後のステップでは、Windows のセキュリティ保護可能なオブジェクトへのアクセス許可をアプリに与えることで、最小特権の原則が適用されます。これは、 随意アクセス制御リスト (DACL) Windows 上で。
Win32 アプリ分離のもう 1 つの利点は、アプリ作成者がアプリケーション機能プロファイラーを活用できるため、開発者の労力が軽減されることです。 (ACP) GitHub で入手可能 正確にどのような権限が必要かを理解するためです。 ACP を有効にし、Win32 アプリ分離の「学習モード」でアプリを実行して、ソフトウェアの実行に必要な追加機能に関するログを取得できます。 ACP は、Windows パフォーマンス アナライザー (WPA) データ レイヤー バックエンドとイベント トレース ログ (ETL) を利用しています。 このプロセスによって生成されたログの情報は、アプリケーションのパッケージ マニフェスト ファイルに簡単に追加できます。
最後に、Win32 アプリの分離は、シームレスなユーザー エクスペリエンスを提供することを目的としています。 Win32 アプリの分離は、アプリに「isoulatedWin32-promptForAccess」機能の使用を要求することでこれを容易にします。 .NET ライブラリや保護されたレジストリなどのデータへのアクセスが必要な場合にユーザーにプロンプトを表示する キー。 プロンプトは、同意を得るユーザーにとって意味のあるものでなければなりません。 リソースへのアクセスが許可されると、次のことが起こります。
ユーザーが分離されたアプリケーションの特定のファイルに同意すると、分離されたアプリケーションは Windows とインターフェイスします。 ブローカリング ファイル システム (BFS) を使用し、ミニ フィルター ドライバーを介してファイルへのアクセスを許可します。 BFS は単にファイルを開き、分離されたアプリケーションと BFS 間のインターフェイスとして機能します。
ファイルとレジストリの仮想化により、基本ファイルやレジストリを更新しなくてもアプリが動作し続けることが保証されます。 これにより、アプリケーションの互換性を維持しながら、ユーザー エクスペリエンスの摩擦も最小限に抑えられます。 保護された名前空間は、アプリへのアクセスのみを許可するために作成され、ユーザーの同意は必要ありません。 たとえば、Win32 アプリのみが認識し、アプリの互換性に必要なプロパティを持つフォルダーへのアクセスを許可できます。
Microsoft は、分離されたものと分離されていないものの間で機能の同等性を持たせるために、次のことを強調しました。 Win32 アプリ。前者は Windows を利用してファイル システムや他の Windows API と対話できます。 BFS。 さらに、アプリケーションのマニフェスト内のエントリにより、アプリケーションがシェル通知やシステム トレイのアイコンなどの Windows 要素と安全に対話できるようになります。 あなたはできる GitHub での取り組みの詳細については、こちらをご覧ください.