Win32-app-isolatie is een handige beveiligingsmogelijkheid die Microsoft vorige maand in Windows 11 heeft geïntroduceerd, zo werkt het.
Tijdens de jaarlijkse Build-conferentie vorige maand kondigde Microsoft de mogelijkheid aan voer Win32-apps afzonderlijk uit op Windows 11. Het bedrijf ging niet in op veel details in zijn eerste blogpost, maar benadrukte de optie om Win32 uit te voeren apps in een sandbox-omgeving zodat de rest van het besturingssysteem beveiligd is tegen mogelijk schadelijke software software. Nu heeft het meer informatie onthuld over deze specifieke mogelijkheid, inclusief hoe het werkt en past in de rest van de beveiligingsinfrastructuur van Windows.
Microsoft's vice-president van OS Security en Enterprise David Weston heeft een lange tekst geschreven blogpost, waarin de aard van Win32-app-isolatie wordt uitgelegd. De functie is nog een andere sandbox-beveiligingsoptie, net als Windows-sandbox en Microsoft Defender Application Guard, maar het is gebaseerd op AppContainers, niet op virtualisatie gebaseerde software zoals de andere twee beveiligingsmaatregelen. Voor degenen die het niet weten, dienen AppContainers als een manier om de uitvoering van een proces te controleren door het in te kapselen en ervoor te zorgen dat het op zeer lage privilege- en integriteitsniveaus draait.
Microsoft raadt het gebruik ten zeerste aan Slimme app-bediening (SAC) en Win32-app-isolatie tegelijk terwijl uw Windows-omgeving wordt beveiligd tegen niet-vertrouwde apps die gebruik maken van 0-day-kwetsbaarheden. Het eerstgenoemde beveiligingsmechanisme houdt aanvallen tegen door alleen vertrouwde apps te installeren, terwijl dat laatste wel kan gebruikt om apps in een geïsoleerde en veilige omgeving uit te voeren om mogelijke schade te beperken en de gebruiker te beschermen privacy. Dit komt doordat een Win32-app die geïsoleerd wordt uitgevoerd niet hetzelfde bevoegdheidsniveau heeft als de gebruiker van het systeem.
Het technologiebedrijf Redmond heeft verschillende hoofddoelen van Win32-app-isolatie geïdentificeerd. Om te beginnen beperkt het de impact van een gecompromitteerde app, aangezien aanvallers beperkte toegang hebben tot een deel van de besturingssysteem, en ze zouden een complexe, uit meerdere stappen bestaande aanval moeten aaneensluiten om door hun sandbox te breken. Zelfs als ze succesvol zijn, geeft dit ook meer inzicht in hun proces, waardoor het veel sneller wordt om mitigatiepatches te implementeren en af te leveren.
De manier waarop dit werkt, is dat een app eerst wordt gelanceerd met een laag integriteitsniveau via AppContainer, wat betekent dat ze toegang hebben tot geselecteerde Windows-API's en geen kwaadaardige code kunnen uitvoeren waarvoor hogere bevoegdheden vereist zijn niveaus. In de volgende en laatste stap worden de principes van de minste bevoegdheden afgedwongen door een app geautoriseerde toegang te geven tot door Windows beveiligbare objecten, wat gelijk staat aan het implementeren van een Discretionaire toegangscontrolelijst (DACL) op Windows.
Een ander voordeel van Win32-app-isolatie is een verminderde inspanning van de ontwikkelaar, aangezien app-makers gebruik kunnen maken van de Application Capability Profiler (ACP) beschikbaar op GitHub om te begrijpen welke machtigingen ze precies nodig hebben. Ze kunnen ACP inschakelen en hun app uitvoeren in een "leermodus" in Win32 app-isolatie om logboeken te krijgen over de extra mogelijkheden die ze nodig hebben om hun software uit te voeren. ACP wordt mogelijk gemaakt door de Windows Performance Analyzer (WPA) data layer backend en Event Trace Logs (ETL's). De informatie uit de logboeken die door dit proces worden gegenereerd, kan eenvoudig worden toegevoegd aan het pakketmanifestbestand van een toepassing.
Ten slotte is Win32-app-isolatie bedoeld om een naadloze gebruikerservaring te bieden. Win32-app-isolatie maakt dit mogelijk door apps te verplichten de "isolatedWin32-promptForAccess"-mogelijkheid te gebruiken om de gebruiker te vragen of ze toegang nodig hebben tot hun gegevens, zoals .NET-bibliotheken en beschermd register sleutels. De prompt moet betekenisvol zijn voor de gebruiker van wie toestemming wordt verkregen. Zodra toegang tot een bron is verleend, gebeurt het volgende:
Wanneer de gebruiker toestemming geeft voor een specifiek bestand voor de geïsoleerde applicatie, wordt de geïsoleerde applicatie gekoppeld aan Windows Tussenhandel bestandssysteem (BFS) en verleent toegang tot de bestanden via een minifilterstuurprogramma. BFS opent eenvoudig het bestand en dient als interface tussen de geïsoleerde applicatie en BFS.
Bestands- en registervirtualisatie helpt ervoor te zorgen dat apps blijven werken zonder het basisbestand of register bij te werken. Dit minimaliseert ook de wrijving van de gebruikerservaring terwijl de compatibiliteit van de applicatie behouden blijft. Er worden beveiligde naamruimten gemaakt om alleen toegang tot de app toe te staan en er is geen toestemming van de gebruiker voor nodig. Er kan bijvoorbeeld toegang worden verleend tot een map met een eigenschap die alleen bekend is bij de Win32-app en vereist is voor app-compatibiliteit.
Microsoft heeft benadrukt dat om functiepariteit tussen geïsoleerd en niet-geïsoleerd te hebben Win32-apps, de eerste kan communiceren met het bestandssysteem en andere Windows-API's door gebruik te maken van Windows BFS. Bovendien zorgen vermeldingen in het manifest van de toepassing er ook voor dat de app veilig kan communiceren met Windows-elementen zoals shell-meldingen en pictogrammen in het systeemvak. Jij kan lees hier meer over het initiatief op GitHub.