Изолација Вин32 апликације је одлична безбедносна могућност коју је Мицрософт увео у Виндовс 11 прошлог месеца, овако функционише.
На својој годишњој Буилд конференцији прошлог месеца, Мицрософт је најавио могућност да покрените Вин32 апликације у изолацији на Виндовс 11. Компанија није улазила у много детаља у свом почетном посту на блогу, али је истакла опцију покретања Вин32 апликације у сандбок окружењу тако да је остатак оперативног система заштићен од потенцијално злонамерног софтвер. Сада је открио више информација о овој специфичној могућности, укључујући како функционише и како се уклапа у остатак безбедносне инфраструктуре Виндовс-а.
Потпредседник Мицрософт-а за безбедност ОС и предузећа Дејвид Вестон написао је подужу блог пост, објашњавајући природу изолације Вин32 апликације. Ова функција је још једна сигурносна опција сандбок-а, баш као Виндовс Сандбок и Мицрософт Дефендер Апплицатион Гуард, али је заснован на АппЦонтаинерс, а не софтверу заснованом на виртуелизацији као друге две мере безбедности. За оне који нису свесни, АппЦонтаинерс служе као начин за контролу извршења процеса тако што га инкапсулирају и обезбеђују да он ради на веома ниским нивоима привилегија и интегритета.
Мицрософт је топло препоручио коришћење Смарт Апп Цонтрол (САЦ) и Вин32 изолација апликација у тандему, истовремено обезбеђујући ваше Виндовс окружење од непоузданих апликација које користе 0-дневне рањивости. Први сигурносни механизам зауставља нападе инсталирањем само поузданих апликација, док други може бити користи се за покретање апликација у изолованом и безбедном окружењу како би се ограничила потенцијална штета и заштитио корисник приватност. То је зато што Вин32 апликација која ради у изолацији нема исти ниво привилегија као корисник система.
Технолошка фирма из Редмонда идентификовала је неколико кључних циљева изолације Вин32 апликација. За почетак, ограничава утицај компромитоване апликације јер нападачи имају приступ са ниским привилегијама делу оперативни систем, и они би морали да уланчају сложен напад у више корака како би пробили своје сандбок. Чак и ако су успешни, ово такође даје бољи увид у њихов процес, што га чини много бржим за имплементацију и испоруку закрпа за ублажавање.
Начин на који ово функционише је да се апликација прво покреће на ниским нивоима интегритета преко АппЦонтаинер-а, што значи да имају приступ одабраним Виндовс АПИ-јима и да не могу да изврше злонамерни код који захтева веће привилегије нивоа. У следећем и последњем кораку, принципи најмањих привилегија се примењују тако што се апликацији даје овлашћени приступ Виндовс заштићеним објектима, што је еквивалентно имплементацији Листа дискреционе контроле приступа (ДАЦЛ) на Виндовс-у.
Још једна предност Вин32 изолације апликација је смањен напор програмера јер креатори апликација могу да искористе Апплицатион Цапабилити Профилер (АЦП) доступно на ГитХуб-у да би разумели које су им дозволе тачно потребне. Они могу омогућити АЦП и покренути своју апликацију у „режиму учења“ у изолацији Вин32 апликације како би добили евиденцију о додатним могућностима које су им потребне за покретање свог софтвера. АЦП покреће позадина слоја података Виндовс Перформанце Анализер (ВПА) и евиденције праћења догађаја (ЕТЛ). Информације из евиденције генерисане овим процесом могу се једноставно додати у датотеку манифеста пакета апликације.
Коначно, изолација Вин32 апликације има за циљ да понуди беспрекорно корисничко искуство. Изолација Вин32 апликације ово олакшава тако што захтева од апликација да користе могућност „исолатедВин32-промптФорАццесс“ да затражи од корисника у случају да им је потребан приступ својим подацима као што су .НЕТ библиотеке и заштићени регистар кључеви. Упозорење треба да има смисла за корисника од кога се добија сагласност. Када се приступ ресурсу одобри, следеће се дешава:
Када корисник да сагласност за одређену датотеку за изоловану апликацију, изолована апликација се повезује са Виндовс-ом Систем датотека за посредовање (БФС) и одобрава приступ датотекама преко драјвера мини филтера. БФС једноставно отвара датотеку и служи као интерфејс између изоловане апликације и БФС-а.
Виртуелизација датотека и регистра помаже да се осигура да апликације наставе да раде док не ажурирају основну датотеку или регистар. Ово такође минимизира сва трења у корисничком искуству док одржава компатибилност апликација. Заштићени простори имена су креирани да би омогућили приступ само апликацији и не захтевају сагласност корисника. На пример, може се одобрити приступ фасцикли која има својство познато само апликацији Вин32 и потребно за компатибилност апликације.
Мицрософт је то нагласио да би имао паритет карактеристика између изолованих и неизолованих Вин32 апликације, прве могу да комуницирају са системом датотека и другим Виндовс АПИ-јима користећи Виндовс БФС. Штавише, уноси у манифест апликације такође осигуравају да апликација може безбедно да комуницира са Виндовс елементима као што су обавештења о шкољки и иконе у системској палети. Можете сазнајте више о иницијативи на ГитХуб-у овде.