Anwendungsisolation

• Gilt für::

  Windows 11

Win32-App-Isolation

Win32-App-Isolation ist ein Sicherheitsfeature, das als Standardisolationsstandard auf Windows-Clients konzipiert wurde. Es basiert auf AppContainer und bietet mehrere zusätzliche Sicherheitsfeatures, die der Windows-Plattform helfen, sich vor Angriffen zu schützen, die Sicherheitsrisiken in Anwendungen oder Bibliotheken von Drittanbietern nutzen. Um ihre Anwendungen zu isolieren, können Entwickler sie mithilfe von Visual Studio aktualisieren.

Die Win32-App-Isolation folgt einem zweistufigen Prozess:

• Im ersten Schritt wird die Win32-Anwendung als Prozess mit niedriger Integrität mithilfe von AppContainer gestartet, der von Windows als Sicherheitsgrenze erkannt wird. Der Prozess ist standardmäßig auf einen bestimmten Satz von Windows-APIs beschränkt und kann keinen Code in einen Prozess einfügen, der auf einer höheren Integritätsebene ausgeführt wird.
• Im zweiten Schritt werden die geringsten Berechtigungen erzwungen, indem autorisierten Zugriff auf sicherungsfähige Windows-Objekte gewährt wird. Dieser Zugriff wird durch Funktionen bestimmt, die dem Anwendungsmanifest über die MSIX-Paketerstellung hinzugefügt werden. Sicherungsfähige Objekte beziehen sich in diesem Kontext auf Windows-Ressourcen, deren Zugriff durch Funktionen geschützt wird. Diese Funktionen ermöglichen die Einnistung einer ermessensfähigen Access Control-Liste unter Windows

Um sicherzustellen, dass isolierte Anwendungen reibungslos ausgeführt werden, müssen Entwickler die Zugriffsanforderungen für die Anwendung über Zugriffsfunktionsdeklarationen im Anwendungspaketmanifest definieren. Der Application Capability Profiler (ACP) vereinfacht den gesamten Prozess, indem die Anwendung im Learn-Modus mit niedrigen Berechtigungen ausgeführt werden kann. Anstatt den Zugriff zu verweigern, wenn die Funktion nicht vorhanden ist, lässt ACP den Zugriff zu und protokolliert zusätzliche Funktionen, die für den Zugriff erforderlich sind, wenn die Anwendung isoliert ausgeführt wird.

Um eine reibungslose Benutzererfahrung zu schaffen, die auf nicht isolierte, native Win32-Anwendungen abgestimmt ist, sollten zwei wichtige Faktoren berücksichtigt werden:

• Ansätze für den Zugriff auf Daten- und Datenschutzinformationen
• Integrieren von Win32-Apps zur Kompatibilität mit anderen Windows-Schnittstellen

Der erste Faktor bezieht sich auf die Implementierung von Methoden zum Verwalten des Zugriffs auf Dateien und Datenschutzinformationen innerhalb und außerhalb der Isolationsgrenze von AppContainer. Der zweite Faktor umfasst die Integration von Win32-Apps mit anderen Windows-Schnittstellen auf eine Weise, die eine nahtlose Funktionalität ermöglicht, ohne dass benutzerseitige Zustimmungsaufforderungen verursacht werden.

Weitere Informationen

• Übersicht über die Win32-App-Isolation
• Application Capability Profiler (ACP)
• Packen einer Win32-App-Isolationsanwendung mit Visual Studio
• Sandboxing von Python mit Win32-App-Isolation

App-Container

Zusätzlich zu Windows-Sandbox für Win32-Apps werden Universelle Windows-Plattform-Anwendungen (UWP) in Windows-Containern ausgeführt, die als App-Container bezeichnet werden. App-Container fungieren als Prozess- und Ressourcenisolationsgrenzen, aber im Gegensatz zu Docker-Containern sind dies spezielle Container, die für die Ausführung von Windows-Anwendungen entwickelt wurden.

Prozesse, die in App-Containern ausgeführt werden, arbeiten mit einer niedrigen Integritätsstufe, was bedeutet, dass sie eingeschränkten Zugriff auf Ressourcen haben, die sie nicht besitzen. Da die Standardintegritätsstufe der meisten Ressourcen mittlere Integritätsebene ist, kann die UWP-App nur auf eine Teilmenge des Dateisystems, der Registrierung und anderer Ressourcen zugreifen. Der App-Container erzwingt auch Einschränkungen für die Netzwerkkonnektivität. Beispielsweise ist der Zugriff auf einen lokalen Host nicht zulässig. Daher haben Schadsoftware oder infizierte Apps nur einen begrenzten Speicherbedarf für escape.

Weitere Informationen

• Windows- und App-Container

Windows-Sandbox

Windows-Sandbox bietet eine einfache Desktopumgebung, um nicht vertrauenswürdige Win32-Anwendungen sicher isoliert auszuführen, wobei die gleiche hardwarebasierte Virtualisierungstechnologie wie Hyper-V verwendet wird. Nicht vertrauenswürdige Win32-Apps, die in Windows-Sandbox installiert sind, bleiben nur in der Sandbox und können sich nicht auf den Host auswirken.

Sobald Windows-Sandbox geschlossen ist, bleibt nichts auf dem Gerät erhalten. Alle Software mit allen Dateien und dem Status werden dauerhaft gelöscht, nachdem die nicht vertrauenswürdige Win32-Anwendung geschlossen wurde.

Weitere Informationen

• Windows-Sandbox

Windows-Subsystem für Linux (WSL)

Mit Windows-Subsystem für Linux (WSL) können Sie eine Linux-Umgebung auf einem Windows-Gerät ausführen, ohne dass ein separater virtueller Computer oder dualer Start erforderlich ist. WSL wurde entwickelt, um Entwicklern, die Windows und Linux gleichzeitig verwenden möchten, eine nahtlose und produktive Erfahrung zu bieten.

Neu in Windows 11, Version 24H2

• Hyper-V-Firewall ist eine Netzwerkfirewalllösung, die das Filtern von eingehendem und ausgehendem Datenverkehr zu/aus WSL-Containern ermöglicht, die von Windows gehostet werden.
• DNS-Tunneling ist eine Netzwerkeinstellung, die die Kompatibilität in verschiedenen Netzwerkumgebungen verbessert und Virtualisierungsfunktionen verwendet, um DNS-Informationen anstelle eines Netzwerkpakets abzurufen.
• Der automatische Proxy ist eine Netzwerkeinstellung, die WSL erzwingt, die HTTP-Proxyinformationen von Windows zu verwenden. Aktivieren Sie bei Verwendung eines Proxys unter Windows, da dieser Proxy automatisch auf WSL-Verteilungen angewendet wird.

Diese Features können mithilfe einer Geräteverwaltungslösung wie Microsoft Intune^[7] eingerichtet werden. Microsoft Defender for Endpoint (MDE) ist in WSL integriert, sodass Aktivitäten innerhalb einer WSL-Distribution überwacht und an die MDE Dashboards gemeldet werden können.

Weitere Informationen

• Hyper-V-Firewall
• DNS-Tunneling
• Automatischer Proxy
• Intune Einstellung für WSL
• Microsoft Defender for Endpoint-Plug-In für WSL

Virtualisierungsbasierte Sicherheitsenklaven

Eine virtualisierungsbasierte Sicherheitsenklave ist eine softwarebasierte vertrauenswürdige Ausführungsumgebung (Trusted Execution Environment, TEE) innerhalb einer Hostanwendung. MIT VBS-Enclaves können Entwickler VBS verwenden, um die Geheimnisse ihrer Anwendung vor Angriffen auf Administratorebene zu schützen.

VBS-Enclaves sind ab Windows 11, Version 24H2 und Windows Server 2025 für x64 und ARM64 verfügbar.

Weitere Informationen

• Virtualisierungsbasierte Sicherheitsenklave