Izolácia aplikácie Win32 je šikovná bezpečnostná funkcia, ktorú Microsoft minulý mesiac predstavil vo Windowse 11, takto to funguje.
Na svojej výročnej konferencii Build minulý mesiac spoločnosť Microsoft oznámila možnosť spúšťajte aplikácie Win32 izolovane v systéme Windows 11. Spoločnosť vo svojom úvodnom blogovom príspevku nezašla do detailov, ale zdôraznila možnosť spustiť Win32 aplikácie v prostredí karantény, aby bol zvyšok operačného systému zabezpečený pred potenciálne škodlivými účinkami softvér. Teraz odhalila viac informácií o tejto konkrétnej schopnosti, vrátane toho, ako funguje a ako zapadá do zvyšku bezpečnostnej infraštruktúry systému Windows.
Viceprezident spoločnosti Microsoft pre bezpečnosť OS a Enterprise David Weston napísal dlho príspevok v blogu, vysvetľuje podstatu izolácie aplikácie Win32. Táto funkcia je ďalšou rovnakou možnosťou zabezpečenia sandboxu Windows Sandbox a Microsoft Defender Application Guard, ale je založený na AppContainers, nie na softvéri založenom na virtualizácii ako ostatné dve bezpečnostné opatrenia. Pre tých, ktorí to nevedia, AppContainers slúžia ako spôsob kontroly vykonávania procesu jeho zapuzdrením a zabezpečením, že beží na veľmi nízkych úrovniach privilégií a integrity.
Spoločnosť Microsoft dôrazne odporúča použiť Smart App Control (SAC) a izoláciu aplikácií Win32 v tandeme pri zabezpečení vášho prostredia Windows pred nedôveryhodnými aplikáciami, ktoré využívajú nulové zraniteľnosti. Prvý bezpečnostný mechanizmus zastavuje útoky inštaláciou iba dôveryhodných aplikácií, zatiaľ čo druhý môže byť Používa sa na spúšťanie aplikácií v izolovanom a bezpečnom prostredí, aby sa obmedzili potenciálne škody a chránili sa používatelia súkromia. Dôvodom je, že aplikácia Win32 spustená izolovane nemá rovnakú úroveň privilégií ako používateľ systému.
Redmondská technologická firma identifikovala niekoľko kľúčových cieľov izolácie aplikácií Win32. Na začiatok obmedzuje vplyv napadnutej aplikácie, pretože útočníci majú k častiam prístup s nízkymi právami operačný systém a museli by zreťaziť zložitý, viackrokový útok, aby prelomili ich pieskovisko. Aj keď sú úspešné, poskytuje to lepší prehľad aj o ich procese, vďaka čomu je oveľa rýchlejšie implementovať a dodávať záplaty na zmiernenie.
Funguje to tak, že aplikácia sa najprv spustí na nízkej úrovni integrity cez AppContainer, čo znamená že majú prístup k vybraným Windows API a nemôžu spustiť škodlivý kód, ktorý vyžaduje vyššie oprávnenia úrovne. V ďalšom a poslednom kroku sa presadzujú princípy najmenších privilégií poskytnutím autorizovaného prístupu aplikácii k zabezpečeným objektom Windows, čo je ekvivalentné implementácii Discretionary Access Control List (DACL) v systéme Windows.
Ďalšou výhodou izolácie aplikácií Win32 je znížené úsilie vývojárov, pretože tvorcovia aplikácií môžu využiť profiler schopnosti aplikácie (ACP) k dispozícii na GitHub aby pochopili, aké povolenia presne potrebujú. Môžu povoliť ACP a spustiť svoju aplikáciu v „režime učenia“ v izolácii aplikácie Win32, aby získali záznamy o ďalších možnostiach, ktoré potrebujú na spustenie svojho softvéru. ACP využíva backend dátovej vrstvy Windows Performance Analyzer (WPA) a protokoly sledovania udalostí (ETL). Informácie z protokolov generovaných týmto procesom možno jednoducho pridať do súboru manifestu balíka aplikácie.
Nakoniec, izolácia aplikácie Win32 má za cieľ ponúknuť bezproblémovú používateľskú skúsenosť. Izolácia aplikácie Win32 to uľahčuje tým, že vyžaduje, aby aplikácie používali funkciu „isolatedWin32-promptForAccess“ upozorniť používateľa v prípade, že požaduje prístup k svojim údajom, ako sú knižnice .NET a chránený register kľúče. Výzva by mala byť zmysluplná pre používateľa, od ktorého sa získava súhlas. Po udelení prístupu k zdroju sa stane toto:
Keď používateľ udelí súhlas s konkrétnym súborom pre izolovanú aplikáciu, izolovaná aplikácia sa prepojí so systémom Windows Systém súborov sprostredkovania (BFS) a poskytuje prístup k súborom prostredníctvom ovládača mini filtra. BFS jednoducho otvorí súbor a slúži ako rozhranie medzi izolovanou aplikáciou a BFS.
Virtualizácia súborov a registrov pomáha zaistiť, aby aplikácie naďalej fungovali bez aktualizácie základného súboru alebo registra. To tiež minimalizuje akékoľvek trenie používateľského prostredia pri zachovaní kompatibility aplikácií. Chránené menné priestory sú vytvorené tak, aby umožňovali prístup iba k aplikácii a nevyžadovali súhlas používateľa. Napríklad môže byť udelený prístup k priečinku, ktorý má vlastnosť, ktorú pozná iba aplikácia Win32 a vyžaduje sa pre kompatibilitu aplikácie.
Microsoft zdôraznil, že s cieľom dosiahnuť paritu funkcií medzi izolovanými a neizolovanými Aplikácie Win32, prvé môžu interagovať so systémom súborov a ďalšími rozhraniami Windows API využívaním systému Windows BFS. Okrem toho položky v manifeste aplikácie tiež zaisťujú, že aplikácia môže bezpečne interagovať s prvkami systému Windows, ako sú upozornenia prostredia a ikony v systémovej lište. Môžeš viac informácií o iniciatíve na GitHub nájdete tu.