Izolarea aplicației Win32 este o capacitate de securitate ingenioasă pe care Microsoft a introdus-o luna trecută în Windows 11, așa funcționează.
La conferința anuală Build de luna trecută, Microsoft a anunțat capacitatea de a rulați aplicații Win32 izolat pe Windows 11. Compania nu a intrat în multe detalii în postarea sa inițială pe blog, dar a evidențiat opțiunea de a rula Win32 aplicații într-un mediu sandbox, astfel încât restul sistemului de operare să fie protejat împotriva potențialului rău intenționat software. Acum, a dezvăluit mai multe informații despre această capacitate specială, inclusiv despre modul în care funcționează și se încadrează în restul infrastructurii de securitate a Windows.
Vicepreședintele Microsoft pentru OS Security și Enterprise, David Weston, a scris un lung postare pe blog, explicând natura izolării aplicației Win32. Caracteristica este încă o altă opțiune de securitate sandbox, la fel ca Windows Sandbox și Microsoft Defender Application Guard, dar se bazează pe AppContainers, nu pe software bazat pe virtualizare, precum celelalte două măsuri de securitate. Pentru cei care nu știu, AppContainers servesc ca o modalitate de a controla execuția unui proces prin încapsularea acestuia și asigurându-se că rulează la niveluri foarte scăzute de privilegii și integritate.
Microsoft a recomandat cu tărie utilizarea Control inteligent al aplicațiilor (SAC) și izolarea aplicației Win32 în tandem, în timp ce vă securizează mediul Windows de aplicațiile neîncrezătoare care utilizează vulnerabilități de 0 zile. Fostul mecanism de securitate oprește atacurile instalând numai aplicații de încredere, în timp ce cel de-al doilea poate fi folosit pentru a rula aplicații într-un mediu izolat și securizat pentru a limita daune potențiale și pentru a proteja utilizatorul intimitate. Acest lucru se datorează faptului că o aplicație Win32 care rulează izolat nu are același nivel de privilegii ca și utilizatorul sistemului.
Firma de tehnologie Redmond a identificat mai multe obiective cheie ale izolării aplicației Win32. Pentru început, limitează impactul unei aplicații compromise, deoarece atacatorii au acces cu privilegii reduse la o parte a aplicației. sistem de operare și ar trebui să înlănțuiască un atac complex, în mai mulți pași, pentru a sparge sandbox-ul lor. Chiar dacă au succes, acest lucru oferă mai multe informații asupra procesului lor, ceea ce face mult mai rapidă implementarea și livrarea de corecții de atenuare.
Modul în care funcționează este că o aplicație este lansată mai întâi la niveluri scăzute de integritate prin AppContainer, ceea ce înseamnă că au acces la anumite API-uri Windows și nu pot executa cod rău intenționat care necesită privilegii mai mari niveluri. În pasul următor și final, principiile celui mai mic privilegiu sunt aplicate prin acordarea unei aplicații de acces autorizat la obiectele securizate Windows, ceea ce este echivalent cu implementarea unui Lista de control al accesului discreționar (DACL) pe Windows.
Un alt avantaj al izolării aplicației Win32 este efortul redus al dezvoltatorului, deoarece creatorii de aplicații pot folosi aplicația Profiler Capability (ACP) disponibil pe GitHub pentru a înțelege ce permisiuni au nevoie exact. Ei pot activa ACP și își pot rula aplicația într-un „mod de învățare” în izolarea aplicației Win32 pentru a obține jurnalele despre capabilitățile suplimentare de care au nevoie pentru a rula software-ul lor. ACP este alimentat de backend-ul stratului de date Windows Performance Analyzer (WPA) și jurnalele de urmărire a evenimentelor (ETL). Informațiile din jurnalele generate de acest proces pot fi pur și simplu adăugate la fișierul manifest al pachetului unei aplicații.
În cele din urmă, izolarea aplicației Win32 își propune să ofere o experiență perfectă pentru utilizator. Izolarea aplicației Win32 facilitează acest lucru, solicitând aplicațiilor să folosească capacitatea „isolatedWin32-promptForAccess” pentru a solicita utilizatorului în cazul în care necesită acces la datele lor, cum ar fi bibliotecile .NET și registrul protejat chei. Solicitarea ar trebui să fie semnificativă pentru utilizatorul de la care se obține consimțământul. Odată ce accesul la o resursă este acordat, iată ce se întâmplă în continuare:
Când utilizatorul acordă consimțământul pentru un anumit fișier pentru aplicația izolată, aplicația izolată interfață cu Windows Sistem de fișiere de intermediere (BFS) și oferă acces la fișiere printr-un driver de mini-filtru. BFS deschide pur și simplu fișierul și servește ca interfață între aplicația izolată și BFS.
Virtualizarea fișierelor și a registrului vă ajută să vă asigurați că aplicațiile continuă să funcționeze în timp ce nu actualizează fișierul de bază sau registrul. Acest lucru minimizează, de asemenea, orice frecare în experiența utilizatorului, menținând în același timp compatibilitatea aplicațiilor. Spațiile de nume protejate sunt create pentru a permite accesul numai la aplicație și nu necesită consimțământul utilizatorului. De exemplu, se poate acorda acces la un folder care are o proprietate cunoscută numai de aplicația Win32 și necesară pentru compatibilitatea aplicației.
Microsoft a subliniat că pentru a avea paritate caracteristică între izolat și neizolat Aplicațiile Win32, primele pot interacționa cu sistemul de fișiere și alte API-uri Windows utilizând Windows BFS. Mai mult, intrările din manifestul aplicației asigură, de asemenea, că aplicația poate interacționa în siguranță cu elemente Windows, cum ar fi notificările shell și pictogramele din bara de sistem. Puteți aflați mai multe despre inițiativa de pe GitHub aici.