Win32 uygulama yalıtımı, Microsoft'un geçen ay Windows 11'de tanıttığı şık bir güvenlik özelliğidir, bu şekilde çalışır.
Geçen ay düzenlenen yıllık Build konferansında Microsoft, Win32 uygulamalarını Windows 11'de tek başına çalıştırın. Şirket, ilk blog gönderisinde çok fazla ayrıntıya girmedi, ancak Win32'yi çalıştırma seçeneğinin altını çizdi. uygulamalar, işletim sisteminin geri kalanının potansiyel olarak kötü amaçlı yazılımlardan korunmasını sağlamak için bir korumalı alan ortamında yazılım. Şimdi, nasıl çalıştığı ve Windows'un güvenlik altyapısının geri kalanına nasıl uyduğu da dahil olmak üzere bu özel yetenek hakkında daha fazla bilgi ortaya çıkardı.
Microsoft'un İşletim Sistemi Güvenliği ve İşletmeden Sorumlu Başkan Yardımcısı David Weston, uzun bir yazı kaleme aldı. Blog yazısı, Win32 uygulama yalıtımının doğasını açıklıyor. Bu özellik, aynı şekilde başka bir sanal alan güvenlik seçeneğidir. Windows Korumalı Alanı ve Microsoft Defender Application Guard, ancak diğer iki güvenlik önlemi gibi sanallaştırma tabanlı yazılımları değil, AppContainers'ı temel alır. Farkında olmayanlar için AppContainer'lar, bir işlemi kapsülleyerek ve çok düşük ayrıcalık ve bütünlük düzeylerinde çalışmasını sağlayarak yürütmeyi kontrol etmenin bir yolu olarak hizmet eder.
Microsoft, kullanmanızı şiddetle tavsiye etti Akıllı Uygulama Kontrolü (SAC) ve Windows ortamınızı 0 günlük güvenlik açıklarından yararlanan güvenilmeyen uygulamalardan korurken, birlikte Win32 uygulama izolasyonu. Önceki güvenlik mekanizması, yalnızca güvenilir uygulamaları yükleyerek saldırıları durdururken, ikincisi potansiyel hasarı sınırlamak ve kullanıcıyı korumak için uygulamaları yalıtılmış ve güvenli bir ortamda çalıştırmak için kullanılır mahremiyet. Bunun nedeni, yalıtılmış olarak çalışan bir Win32 uygulamasının sistem kullanıcısı ile aynı ayrıcalık düzeyine sahip olmamasıdır.
Redmond teknoloji firması, Win32 uygulama izolasyonunun birkaç temel hedefini belirlemiştir. Yeni başlayanlar için, saldırganların uygulamanın bir kısmına düşük ayrıcalık erişimi olduğundan, güvenliği ihlal edilmiş bir uygulamanın etkisini sınırlar. işletim sistemi ve korumalı alanlarını aşmak için karmaşık, çok adımlı bir saldırıyı zincirleme yapmaları gerekecek. Başarılı olsalar bile bu, süreçlerine ilişkin daha fazla içgörü sağlar ve hafifletme yamalarının uygulanmasını ve sunulmasını çok daha hızlı hale getirir.
Bunun çalışma şekli, bir uygulamanın ilk önce AppContainer aracılığıyla düşük bütünlük düzeylerinde başlatılmasıdır; belirli Windows API'lerine erişimleri olduğunu ve daha yüksek ayrıcalık gerektiren kötü amaçlı kod çalıştıramadıklarını seviyeler. Bir sonraki ve son adımda, bir uygulamanın Windows güvenli hale getirilebilir nesnelerine yetkili erişimi verilerek en az ayrıcalık ilkeleri uygulanır; bu, bir uygulamaya eşdeğerdir. İsteğe Bağlı Erişim Kontrol Listesi (DACL) Windows'ta.
Win32 uygulama yalıtımının diğer bir avantajı, uygulama oluşturucuların Uygulama Kapasitesi Profili Oluşturucusundan yararlanabilmesi nedeniyle geliştirici çabasının azalmasıdır. (ACP) GitHub'da mevcuttur tam olarak hangi izinlere ihtiyaç duyduklarını anlamak için. ACP'yi etkinleştirebilir ve uygulamalarını Win32 uygulama izolasyonunda bir "öğrenme modunda" çalıştırarak yazılımlarını çalıştırmak için ihtiyaç duydukları ek yetenekler hakkında günlükler alabilirler. ACP, Windows Performance Analyzer (WPA) veri katmanı arka ucu ve Olay İzleme Günlükleri (ETL'ler) tarafından desteklenmektedir. Bu işlem tarafından oluşturulan günlüklerden gelen bilgiler, bir uygulamanın paket bildirim dosyasına kolayca eklenebilir.
Son olarak, Win32 uygulama izolasyonu, sorunsuz bir kullanıcı deneyimi sunmayı amaçlar. Win32 uygulama yalıtımı, uygulamaların "isolatedWin32-promptForAccess" özelliğini kullanmasını gerektirerek bunu kolaylaştırır .NET kitaplıkları ve korumalı kayıt defteri gibi verilerine erişmeleri gerektiğinde kullanıcıyı uyarmak için anahtarlar. Bilgi istemi, onayının alındığı kullanıcı için anlamlı olmalıdır. Bir kaynağa erişim verildiğinde, bundan sonra olacaklar:
Kullanıcı, izole edilmiş uygulama için belirli bir dosyaya izin verdiğinde, izole edilmiş uygulama Windows ile arabirim oluşturur. Broker Dosya Sistemi (BFS) ve bir mini filtre sürücüsü aracılığıyla dosyalara erişim izni verir. BFS, dosyayı açar ve yalıtılmış uygulama ile BFS arasında arabirim görevi görür.
Dosya ve kayıt defteri sanallaştırması, uygulamaların temel dosyayı veya kayıt defterini güncellemeden çalışmaya devam etmesini sağlamaya yardımcı olur. Bu aynı zamanda uygulama uyumluluğunu korurken herhangi bir kullanıcı deneyimi sürtüşmesini en aza indirir. Korumalı ad alanları, yalnızca uygulamaya erişime izin verecek şekilde oluşturulur ve kullanıcı izni gerektirmez. Örneğin, yalnızca Win32 uygulaması tarafından bilinen ve uygulama uyumluluğu için gerekli olan bir özelliğe sahip bir klasöre erişim izni verilebilir.
Microsoft, izole edilmiş ve izole edilmemiş arasında özellik eşliğine sahip olmak için bunu vurgulamıştır. Win32 uygulamaları, Windows'tan yararlanarak dosya sistemi ve diğer Windows API'leri ile etkileşim kurabilir. BFS. Ayrıca, uygulamanın manifest dosyasındaki girişler, uygulamanın kabuk bildirimleri ve sistem tepsisindeki simgeler gibi Windows öğeleriyle güvenli bir şekilde etkileşim kurabilmesini de sağlar. Yapabilirsiniz GitHub'daki girişim hakkında buradan daha fazla bilgi edinin.