Win32 앱 격리는 지난 달 Microsoft가 Windows 11에서 도입한 멋진 보안 기능입니다. 이것이 작동 방식입니다.
지난달 연례 빌드 컨퍼런스에서 Microsoft는 다음 기능을 발표했습니다. Windows 11에서 독립적으로 Win32 앱 실행. 이 회사는 초기 블로그 게시물에서 많은 세부 정보를 다루지 않았지만 Win32를 실행할 수 있는 옵션을 강조했습니다. 운영 체제의 나머지 부분이 잠재적인 악성으로부터 보호되도록 샌드박스 환경의 앱 소프트웨어. 이제 Windows의 나머지 보안 인프라에 어떻게 작동하고 적용되는지를 포함하여 이 특정 기능에 대한 자세한 정보를 공개했습니다.
Microsoft의 OS 보안 및 엔터프라이즈 부사장인 David Weston은 블로그 게시물, Win32 앱 격리의 특성을 설명합니다. 이 기능은 다음과 같은 또 다른 샌드박스 보안 옵션입니다. 윈도우 샌드박스 및 Microsoft Defender Application Guard가 있지만 다른 두 가지 보안 조치와 같은 가상화 기반 소프트웨어가 아닌 AppContainers를 기반으로 합니다. 모르는 사람들을 위해 AppContainer는 프로세스를 캡슐화하고 프로세스가 매우 낮은 권한 및 무결성 수준에서 실행되도록 하여 프로세스 실행을 제어하는 방법으로 사용됩니다.
Microsoft는 다음을 사용할 것을 강력히 권장합니다. 스마트 앱 제어(SAC) 0-day 취약점을 활용하는 신뢰할 수 없는 앱으로부터 Windows 환경을 보호하는 동시에 Win32 앱 격리. 전자의 보안 메커니즘은 신뢰할 수 있는 앱만 설치하여 공격을 차단하는 반면 후자는 잠재적 손상을 제한하고 사용자를 보호하기 위해 격리되고 안전한 환경에서 앱을 실행하는 데 사용됩니다. 은둔. 이는 격리되어 실행되는 Win32 앱이 시스템 사용자와 동일한 권한 수준을 갖지 않기 때문입니다.
Redmond 기술 회사는 Win32 앱 격리의 몇 가지 주요 목표를 확인했습니다. 우선 공격자가 일부에 대한 액세스 권한이 낮기 때문에 손상된 앱의 영향을 제한합니다. 운영 체제이며 샌드박스를 뚫기 위해 복잡한 다단계 공격을 연결해야 합니다. 성공하더라도 프로세스에 대한 더 많은 통찰력을 제공하여 완화 패치를 구현하고 제공하는 것이 훨씬 빨라집니다.
이것이 작동하는 방식은 앱이 AppContainer를 통해 낮은 무결성 수준에서 먼저 시작된다는 것입니다. Windows API를 선택할 수 있으며 더 높은 권한이 필요한 악성 코드를 실행할 수 없습니다. 수준. 다음 및 마지막 단계에서 앱에 Windows 보안 개체에 대한 액세스 권한을 부여하여 최소 권한 원칙을 적용합니다. DACL(임의 액세스 제어 목록) 윈도우에서.
Win32 앱 격리의 또 다른 이점은 앱 제작자가 애플리케이션 기능 프로파일러를 활용할 수 있으므로 개발자의 노력이 줄어든다는 것입니다. (ACP) GitHub에서 사용 가능 정확히 필요한 권한을 이해합니다. ACP를 활성화하고 Win32 앱 격리의 "학습 모드"에서 앱을 실행하여 소프트웨어를 실행하는 데 필요한 추가 기능에 대한 로그를 얻을 수 있습니다. ACP는 WPA(Windows 성능 분석기) 데이터 계층 백엔드 및 ETL(이벤트 추적 로그)로 구동됩니다. 이 프로세스에서 생성된 로그의 정보는 애플리케이션의 패키지 매니페스트 파일에 간단히 추가할 수 있습니다.
마지막으로 Win32 앱 격리는 원활한 사용자 환경을 제공하는 것을 목표로 합니다. Win32 앱 격리는 앱이 "isolatedWin32-promptForAccess" 기능을 사용하도록 요구하여 이를 용이하게 합니다. .NET 라이브러리 및 보호된 레지스트리와 같은 데이터에 액세스해야 하는 경우 사용자에게 메시지를 표시합니다. 열쇠. 프롬프트는 동의를 얻고 있는 사용자에게 의미가 있어야 합니다. 리소스에 대한 액세스 권한이 부여되면 다음과 같이 진행됩니다.
사용자가 격리된 애플리케이션의 특정 파일에 동의하면 격리된 애플리케이션이 Windows와 인터페이스합니다. 파일 시스템 중개 (BFS) 미니 필터 드라이버를 통해 파일에 대한 액세스 권한을 부여합니다. BFS는 단순히 파일을 열고 격리된 애플리케이션과 BFS 간의 인터페이스 역할을 합니다.
파일 및 레지스트리 가상화는 기본 파일 또는 레지스트리를 업데이트하지 않는 동안 앱이 계속 작동하도록 합니다. 이것은 또한 애플리케이션 호환성을 유지하면서 사용자 경험 마찰을 최소화합니다. 보호된 네임스페이스는 앱에 대한 액세스만 허용하도록 생성되며 사용자 동의가 필요하지 않습니다. 예를 들어 Win32 앱에만 알려져 있고 앱 호환성에 필요한 속성이 있는 폴더에 대한 액세스 권한을 부여할 수 있습니다.
Microsoft는 격리된 것과 비격리된 것 사이의 기능 패리티를 갖기 위해 Win32 앱, 전자는 Windows를 활용하여 파일 시스템 및 기타 Windows API와 상호 작용할 수 있습니다. BFS. 또한 애플리케이션 매니페스트의 항목은 앱이 시스템 트레이의 셸 알림 및 아이콘과 같은 Windows 요소와 안전하게 상호 작용할 수 있도록 합니다. 당신은 할 수 있습니다 여기에서 GitHub의 이니셔티브에 대해 자세히 알아보세요..