Aislamiento de aplicaciones

• Se aplica a:

  Windows 11

Aislamiento de la aplicación Win32

El aislamiento de aplicaciones Win32 es una característica de seguridad diseñada para ser el estándar de aislamiento predeterminado en los clientes de Windows. Se basa en AppContainer y ofrece varias características de seguridad adicionales para ayudar a la plataforma Windows a defenderse de ataques que usan vulnerabilidades en aplicaciones o bibliotecas de terceros. Para aislar sus aplicaciones, los desarrolladores pueden actualizarlas mediante Visual Studio.

El aislamiento de la aplicación Win32 sigue un proceso de dos pasos:

• En el primer paso, la aplicación Win32 se inicia como un proceso de baja integridad mediante AppContainer, que Windows reconoce como límite de seguridad. El proceso se limita a un conjunto específico de API de Windows de forma predeterminada y no puede insertar código en ningún proceso que funcione en un nivel de integridad superior.
• En el segundo paso, se aplican privilegios mínimos al conceder acceso autorizado a objetos protegibles de Windows. Este acceso viene determinado por las funcionalidades que se agregan al manifiesto de la aplicación mediante el empaquetado de MSIX. Los objetos protegibles en este contexto hacen referencia a los recursos de Windows cuyo acceso está protegido por funcionalidades. Estas funcionalidades permiten la implantación de una lista de Access Control discrecional en Windows

Para ayudar a garantizar que las aplicaciones aisladas se ejecuten sin problemas, los desarrolladores deben definir los requisitos de acceso de la aplicación a través de declaraciones de funcionalidad de acceso en el manifiesto del paquete de aplicación. Application Capability Profiler (ACP) simplifica todo el proceso al permitir que la aplicación se ejecute en modo de aprendizaje con privilegios bajos. En lugar de denegar el acceso si la funcionalidad no está presente, ACP permite el acceso y registra las funcionalidades adicionales necesarias para el acceso si la aplicación se ejecutara aislada.

Para crear una experiencia de usuario fluida que se alinee con aplicaciones Win32 nativas y no inicializadas, se deben tener en cuenta dos factores clave:

• Enfoques para acceder a datos e información de privacidad
• Integración de aplicaciones Win32 para la compatibilidad con otras interfaces de Windows

El primer factor está relacionado con la implementación de métodos para administrar el acceso a los archivos y la información de privacidad dentro y fuera del límite de aislamiento AppContainer. El segundo factor implica la integración de aplicaciones Win32 con otras interfaces de Windows de una manera que ayude a habilitar la funcionalidad sin problemas sin causar mensajes de consentimiento de usuario desconcertantes.

Aprende más

• Introducción al aislamiento de aplicaciones Win32
• Application Capability Profiler (ACP)
• Empaquetado de una aplicación de aislamiento de aplicaciones Win32 con Visual Studio
• Espacio aislado de Python con aislamiento de aplicación Win32

Contenedores de aplicaciones

Además de Espacio aislado de Windows para aplicaciones Win32, las aplicaciones de Plataforma universal de Windows (UWP) se ejecutan en contenedores de Windows conocidos como contenedores de aplicaciones. Los contenedores de aplicaciones actúan como límites de aislamiento de procesos y recursos, pero a diferencia de los contenedores de Docker, son contenedores especiales diseñados para ejecutar aplicaciones de Windows.

Los procesos que se ejecutan en contenedores de aplicaciones funcionan en un nivel de integridad bajo, lo que significa que tienen acceso limitado a los recursos que no poseen. Dado que el nivel de integridad predeterminado de la mayoría de los recursos es de integridad media, la aplicación para UWP solo puede acceder a un subconjunto del sistema de archivos, el registro y otros recursos. El contenedor de aplicaciones también aplica restricciones en la conectividad de red. Por ejemplo, no se permite el acceso a un host local. Como resultado, el malware o las aplicaciones infectadas tienen una superficie limitada para escapar.

Aprende más

• Contenedor de aplicaciones y Windows

Espacio aislado de Windows

Espacio aislado de Windows proporciona un entorno de escritorio ligero para ejecutar de forma segura aplicaciones Win32 que no son de confianza de forma aislada, con la misma tecnología de virtualización basada en hardware que Hyper-V. Cualquier aplicación Win32 que no sea de confianza instalada en Espacio aislado de Windows permanece solo en el espacio aislado y no puede afectar al host.

Una vez que se cierra Espacio aislado de Windows, no se conserva nada en el dispositivo. Todo el software con todos sus archivos y estado se elimina permanentemente después de cerrar la aplicación Win32 que no es de confianza.

Aprende más

• Espacio aislado de Windows

Subsistema de Windows para Linux (WSL)

Con Subsistema de Windows para Linux (WSL) puede ejecutar un entorno Linux en un dispositivo Windows, sin necesidad de una máquina virtual independiente o de arranque dual. WSL está diseñado para proporcionar una experiencia sin problemas y productiva para los desarrolladores que quieren usar Windows y Linux al mismo tiempo.

Novedades de Windows 11, versión 24H2

• Firewall de Hyper-V es una solución de firewall de red que permite filtrar el tráfico entrante y saliente hacia y desde contenedores WSL hospedados por Windows.
• Túnel DNS es una configuración de red que mejora la compatibilidad en diferentes entornos de red, haciendo uso de las características de virtualización para obtener información dns en lugar de un paquete de red
• El proxy automático es una configuración de red que exige que WSL use la información del proxy HTTP de Windows. Se activa al usar un proxy en Windows, ya que hace que ese proxy se aplique automáticamente a las distribuciones de WSL.

Estas características se pueden configurar mediante una solución de administración de dispositivos como Microsoft Intune^[7]. Microsoft Defender para punto de conexión (MDE) se integra con WSL, lo que le permite supervisar las actividades dentro de una distribución de WSL y notificarlas a los paneles de MDE.

Aprende más

• Hyper-V Firewall
• Tunelización de DNS
• Proxy automático
• Intune configuración de WSL
• complemento de Microsoft Defender para punto de conexión para WSL

Enclaves de seguridad basados en virtualización

Un enclave de seguridad basado en virtualización es un entorno de ejecución de confianza basado en software (TEE) dentro de una aplicación host. Los enclaves de VBS permiten a los desarrolladores usar VBS para proteger los secretos de su aplicación frente a ataques de nivel de administrador.

Los enclaves de VBS están disponibles a partir de Windows 11, versión 24H2 y Windows Server 2025 en x64 y ARM64.

Aprende más

• Enclave de seguridad basado en virtualización