Win32 app-isolering är en snygg säkerhetsfunktion som Microsoft introducerade i Windows 11 förra månaden, så här fungerar det.
Vid sin årliga Build-konferens förra månaden tillkännagav Microsoft möjligheten att kör Win32-appar isolerat på Windows 11. Företaget gick inte in på så mycket detaljer i sitt första blogginlägg, men det lyfte fram alternativet att köra Win32 appar i en sandlådemiljö så att resten av operativsystemet är skyddat från potentiellt skadligt programvara. Nu har den avslöjat mer information om just denna funktion, inklusive hur den fungerar och passar in i resten av säkerhetsinfrastrukturen i Windows.
Microsofts vicepresident för OS-säkerhet och Enterprise David Weston har skrivit en lång blogginlägg, som förklarar karaktären av Win32-appisolering. Funktionen är ännu ett sandlådesäkerhetsalternativ precis som Windows sandlåda och Microsoft Defender Application Guard, men den är baserad på AppContainers, inte virtualiseringsbaserad programvara som de andra två säkerhetsåtgärderna. För de omedvetna fungerar AppContainers som ett sätt att kontrollera exekveringen av en process genom att kapsla in den och säkerställa att den körs på mycket låga privilegie- och integritetsnivåer.
Microsoft har starkt rekommenderat att använda Smart App Control (SAC) och Win32-appisolering samtidigt samtidigt som du skyddar din Windows-miljö från opålitliga appar som använder 0-dagars sårbarheter. Den förra säkerhetsmekanismen stoppar attacker genom att endast installera betrodda appar medan den senare kan vara det används för att köra appar i en isolerad och säker miljö för att begränsa potentiell skada och skydda användaren Integritet. Detta beror på att en Win32-app som körs isolerat inte har samma behörighetsnivå som användaren av systemet.
Teknikföretaget Redmond har identifierat flera nyckelmål för Win32-appisolering. Till att börja med begränsar det påverkan från en komprometterad app eftersom angripare har låg behörighet till en del av operativsystem, och de skulle behöva kedja en komplex attack i flera steg för att bryta igenom sin sandlåda. Även om de är framgångsrika, ger detta mer insikt i deras process också, vilket gör det mycket snabbare att implementera och leverera mildrande patchar.
Sättet som detta fungerar är att en app först lanseras på låga integritetsnivåer genom AppContainer, vilket innebär att de har tillgång till utvalda Windows API: er och inte kan köra skadlig kod som kräver högre behörighet nivåer. I nästa och sista steg upprätthålls principerna för minsta privilegium genom att ge en app auktoriserad åtkomst till Windows-säkerhetsbara objekt, vilket motsvarar att implementera en Diskretionär åtkomstkontrolllista (DACL) på Windows.
En annan fördel med Win32-appisolering är minskad ansträngning för utvecklare eftersom appskapare kan utnyttja Application Capability Profiler (ACP) tillgänglig på GitHub för att förstå vilka behörigheter de behöver. De kan aktivera ACP och köra sin app i ett "inlärningsläge" i Win32-appisolering för att få loggar om de ytterligare funktioner de behöver för att köra sin programvara. ACP drivs av Windows Performance Analyzer (WPA) datalager backend och Event Trace Logs (ETLs). Informationen från loggarna som genereras av denna process kan helt enkelt läggas till i ett programs paketmanifestfil.
Slutligen syftar Win32-appisolering till att erbjuda en sömlös användarupplevelse. Win32-appisolering underlättar detta genom att kräva att appar använder kapaciteten "isolatedWin32-promptForAccess" för att fråga användaren om de behöver åtkomst till sina data såsom .NET-bibliotek och skyddat register nycklar. Uppmaningen bör vara meningsfull för användaren från vilken samtycke erhålls. När åtkomst till en resurs har beviljats händer följande:
När användaren ger samtycke till en specifik fil för den isolerade applikationen, gränssnitts den isolerade applikationen med Windows Förmedling av filsystem (BFS) och ger åtkomst till filerna via en minifilterdrivrutin. BFS öppnar helt enkelt filen och fungerar som gränssnittet mellan den isolerade applikationen och BFS.
Fil- och registervirtualisering hjälper till att säkerställa att appar fortsätter att fungera utan att basfilen eller registret uppdateras. Detta minimerar också friktion för användarupplevelsen samtidigt som applikationskompatibiliteten bibehålls. Skyddade namnområden skapas för att endast tillåta åtkomst till appen och kräver inte användarens samtycke. Till exempel kan åtkomst till en mapp som har en egenskap som endast är känd för Win32-appen och som krävs för appkompatibilitet beviljas.
Microsoft har betonat att för att ha funktionen paritet mellan isolerade och icke-isolerade Win32-appar, de förra kan interagera med filsystemet och andra Windows API: er genom att utnyttja Windows BFS. Dessutom säkerställer poster i applikationens manifest också att appen säkert kan interagera med Windows-element som skalmeddelanden och ikoner i systemfältet. Du kan läs mer om initiativet på GitHub här.