Win32 lietotņu izolācija ir lieliska drošības iespēja, ko Microsoft pagājušajā mēnesī ieviesa operētājsistēmā Windows 11. Šādi tā darbojas.
Savā ikgadējā Build konferencē pagājušajā mēnesī Microsoft paziņoja par iespēju palaidiet Win32 programmas atsevišķi operētājsistēmā Windows 11. Uzņēmums savā sākotnējā emuāra ierakstā neiedziļinājās daudz detaļās, taču tas uzsvēra iespēju palaist Win32 lietotnes smilškastes vidē, lai pārējā operētājsistēma būtu aizsargāta pret potenciāli ļaunprātīgu izmantošanu programmatūra. Tagad tas ir atklājis vairāk informācijas par šo konkrēto iespēju, tostarp to, kā tā darbojas un iekļaujas pārējā Windows drošības infrastruktūrā.
Microsoft OS drošības un uzņēmējdarbības viceprezidents Deivids Vestons ir rakstījis garu rakstu emuāra ieraksts, izskaidrojot Win32 lietotņu izolācijas būtību. Šī funkcija ir vēl viena smilškastes drošības opcija Windows smilšu kaste un Microsoft Defender Application Guard, taču tas ir balstīts uz AppContainers, nevis uz virtualizāciju balstītu programmatūru, piemēram, abiem pārējiem drošības pasākumiem. Tiem, kas to nezina, AppContainers kalpo kā veids, kā kontrolēt procesa izpildi, to iekapsulējot un nodrošinot, ka tas darbojas ļoti zemā privilēģiju un integritātes līmenī.
Microsoft ir stingri ieteicis izmantot Smart App Control (SAC) un Win32 lietotņu izolēšana tandēmā, vienlaikus aizsargājot jūsu Windows vidi no neuzticamām lietotnēm, kas izmanto 0 dienu ievainojamības. Iepriekšējais drošības mehānisms aptur uzbrukumus, instalējot tikai uzticamas lietotnes, bet pēdējais var būt izmanto, lai palaistu lietotnes izolētā un drošā vidē, lai ierobežotu iespējamos bojājumus un aizsargātu lietotāju privātumu. Tas ir tāpēc, ka Win32 lietotnei, kas darbojas atsevišķi, nav tāds pats privilēģiju līmenis kā sistēmas lietotājam.
Redmondas tehnoloģiju uzņēmums ir noteicis vairākus galvenos Win32 lietotņu izolācijas mērķus. Sākumā tas ierobežo apdraudētas lietotnes ietekmi, jo uzbrucējiem ir zemas privilēģijas piekļuve daļai operētājsistēmu, un viņiem būs jāapvieno sarežģīts, daudzpakāpju uzbrukums, lai izlauztos cauri savai smilšu kastei. Pat ja tie ir veiksmīgi, tas sniedz plašāku ieskatu arī to procesā, padarot to daudz ātrāku ieviešanu un mazināšanas ielāpu piegādi.
Tas darbojas tādā veidā, ka lietotne vispirms tiek palaista zemā integritātes līmenī, izmantojot AppContainer, kas nozīmē ka viņiem ir piekļuve atsevišķām Windows API un viņi nevar izpildīt ļaunprātīgu kodu, kam nepieciešamas augstākas privilēģijas līmeņi. Nākamajā un pēdējā solī tiek īstenoti mazāko privilēģiju principi, piešķirot lietojumprogrammai autorizētu piekļuvi Windows drošiem objektiem, kas ir līdzvērtīga Diskrecionārais piekļuves kontroles saraksts (DACL) operētājsistēmā Windows.
Vēl viena Win32 lietotņu izolācijas priekšrocība ir samazinātas izstrādātāju pūles, jo lietotņu veidotāji var izmantot lietojumprogrammu iespēju profilētāju. (ĀKK) ir pieejams vietnē GitHub lai saprastu, kādas atļaujas viņiem tieši vajadzīgas. Viņi var iespējot ACP un palaist savu lietotni "mācīšanās režīmā" Win32 lietotņu izolācijā, lai iegūtu žurnālus par papildu iespējām, kas nepieciešamas programmatūras palaišanai. ACP nodrošina Windows veiktspējas analizatora (WPA) datu slāņa aizmugursistēma un notikumu izsekošanas žurnāli (ETL). Informāciju no šī procesa ģenerētajiem žurnāliem var vienkārši pievienot lietojumprogrammas pakotnes manifesta failam.
Visbeidzot, Win32 lietotņu izolācijas mērķis ir piedāvāt nevainojamu lietotāja pieredzi. Win32 lietotņu izolācija to atvieglo, pieprasot lietotnēm izmantot "isolatedWin32-promptForAccess" iespēju lai brīdinātu lietotāju, ja viņam ir nepieciešama piekļuve saviem datiem, piemēram, .NET bibliotēkām un aizsargātajam reģistram atslēgas. Uzvednei ir jābūt jēgpilnai lietotājam, no kura tiek iegūta piekrišana. Kad piekļuve resursam ir piešķirta, notiek tālāk norādītais.
Kad lietotājs piešķir piekrišanu konkrētam failam izolētajai lietojumprogrammai, izolētā lietojumprogramma saskaras ar Windows Starpniecības failu sistēma (BFS) un nodrošina piekļuvi failiem, izmantojot mini filtra draiveri. BFS vienkārši atver failu un kalpo kā saskarne starp izolēto lietojumprogrammu un BFS.
Failu un reģistra virtualizācija palīdz nodrošināt, ka programmas turpina darboties, vienlaikus neatjauninot bāzes failu vai reģistru. Tas arī samazina jebkādu lietotāja pieredzes berzi, vienlaikus saglabājot lietojumprogrammu saderību. Aizsargātas nosaukumvietas tiek izveidotas, lai atļautu piekļuvi tikai lietotnei, un nav nepieciešama lietotāja piekrišana. Piemēram, var piešķirt piekļuvi mapei, kuras rekvizīts ir zināms tikai Win32 lietotnei un ir nepieciešams lietotņu saderībai.
Microsoft ir uzsvēris, ka, lai būtu funkciju paritāte starp izolētu un neizolētu Win32 lietotnes, pirmās var mijiedarboties ar failu sistēmu un citām Windows API, izmantojot Windows BFS. Turklāt ieraksti lietojumprogrammas manifestā arī nodrošina, ka lietotne var droši mijiedarboties ar Windows elementiem, piemēram, čaulas paziņojumiem un ikonām sistēmas teknē. Jūs varat Uzziniet vairāk par iniciatīvu vietnē GitHub šeit.