Isolation des applications

• S’applique à:

  Windows 11

Isolation de l’application Win32

L’isolation des applications Win32 est une fonctionnalité de sécurité conçue pour être la norme d’isolation par défaut sur les clients Windows. Il repose sur AppContainer et offre plusieurs fonctionnalités de sécurité supplémentaires pour aider la plateforme Windows à se défendre contre les attaques qui utilisent des vulnérabilités dans des applications ou des bibliothèques tierces. Pour isoler leurs applications, les développeurs peuvent les mettre à jour à l’aide de Visual Studio.

L’isolation de l’application Win32 suit un processus en deux étapes :

• Dans la première étape, l’application Win32 est lancée en tant que processus à faible intégrité à l’aide d’AppContainer, qui est reconnu comme une limite de sécurité par Windows. Le processus est limité à un ensemble spécifique d’API Windows par défaut et ne peut pas injecter de code dans un processus fonctionnant à un niveau d’intégrité supérieur
• Dans la deuxième étape, le privilège minimum est appliqué en accordant un accès autorisé aux objets sécurisables Windows. Cet accès est déterminé par les fonctionnalités ajoutées au manifeste d’application via l’empaquetage MSIX. Dans ce contexte, les objets sécurisables font référence aux ressources Windows dont l’accès est protégé par des fonctionnalités. Ces fonctionnalités permettent l’implantation d’une liste de Access Control discrétionnaire sur Windows

Pour garantir le bon fonctionnement des applications isolées, les développeurs doivent définir les exigences d’accès pour l’application via des déclarations de capacité d’accès dans le manifeste du package d’application. Application Capability Profiler (ACP) simplifie l’ensemble du processus en permettant à l’application de s’exécuter en mode Learn avec des privilèges faibles. Au lieu de refuser l’accès si la fonctionnalité n’est pas présente, ACP autorise l’accès et journalise les fonctionnalités supplémentaires requises pour l’accès si l’application s’exécute de manière isolée.

Pour créer une expérience utilisateur fluide qui s’aligne sur les applications Win32 natives non isolées, deux facteurs clés doivent être pris en compte :

• Approches pour accéder aux données et aux informations de confidentialité
• Intégration d’applications Win32 pour la compatibilité avec d’autres interfaces Windows

Le premier facteur concerne l’implémentation de méthodes pour gérer l’accès aux fichiers et aux informations de confidentialité dans et en dehors de la limite d’isolation AppContainer. Le deuxième facteur implique l’intégration d’applications Win32 avec d’autres interfaces Windows d’une manière qui permet d’activer des fonctionnalités transparentes sans que les invites de consentement de l’utilisateur ne puissent être déconcertées.

Pour en savoir plus

• Vue d’ensemble de l’isolation des applications Win32
• Application Capability Profiler (ACP)
• Empaquetage d’une application d’isolation d’application Win32 avec Visual Studio
• Sandboxing Python avec l’isolation d’application Win32

Conteneurs d’applications

En plus de Bac à sable Windows pour les applications Win32, les applications plateforme Windows universelle (UWP) s’exécutent dans des conteneurs Windows appelés conteneurs d’application. Les conteneurs d’application agissent comme des limites d’isolation des processus et des ressources, mais contrairement aux conteneurs Docker, il s’agit de conteneurs spéciaux conçus pour exécuter des applications Windows.

Les processus qui s’exécutent dans des conteneurs d’application fonctionnent à un niveau d’intégrité faible, ce qui signifie qu’ils ont un accès limité aux ressources qu’ils ne possèdent pas. Étant donné que le niveau d’intégrité par défaut de la plupart des ressources est le niveau d’intégrité moyen, l’application UWP ne peut accéder qu’à un sous-ensemble du système de fichiers, du Registre et d’autres ressources. Le conteneur d’application applique également des restrictions sur la connectivité réseau. Par exemple, l’accès à un hôte local n’est pas autorisé. Par conséquent, les programmes malveillants ou les applications infectées ont un encombrement limité pour l’échappement.

Pour en savoir plus

• Windows et conteneur d’application

Bac à sable Windows

Bac à sable Windows fournit un environnement de bureau léger pour exécuter en toute sécurité des applications Win32 non approuvées en utilisant la même technologie de virtualisation matérielle que Hyper-V. Toute application Win32 non approuvée installée dans Bac à sable Windows reste uniquement dans le bac à sable et ne peut pas affecter l’hôte.

Une fois Bac à sable Windows fermé, rien ne persiste sur l’appareil. Tous les logiciels avec tous leurs fichiers et leur état sont supprimés définitivement après la fermeture de l’application Win32 non approuvée.

Pour en savoir plus

• Bac à sable Windows

Sous-système de Windows pour Linux (WSL)

Avec Sous-système Windows pour Linux (WSL), vous pouvez exécuter un environnement Linux sur un appareil Windows, sans avoir besoin d’une machine virtuelle distincte ou d’un double démarrage. WSL est conçu pour fournir une expérience transparente et productive aux développeurs qui souhaitent utiliser Windows et Linux en même temps.

Nouveautés de Windows 11, version 24H2

• Le pare-feu Hyper-V est une solution de pare-feu réseau qui permet de filtrer le trafic entrant et sortant vers/depuis des conteneurs WSL hébergés par Windows
• Le tunneling DNS est un paramètre de mise en réseau qui améliore la compatibilité dans différents environnements de mise en réseau, en utilisant des fonctionnalités de virtualisation pour obtenir des informations DNS plutôt qu’un paquet réseau
• Le proxy automatique est un paramètre de mise en réseau qui applique WSL pour utiliser les informations de proxy HTTP de Windows. Activer lors de l’utilisation d’un proxy sur Windows, car ce proxy s’applique automatiquement aux distributions WSL

Ces fonctionnalités peuvent être configurées à l’aide d’une solution de gestion des appareils telle que Microsoft Intune^[7] . Microsoft Defender pour point de terminaison (MDE) s’intègre à WSL, ce qui lui permet de surveiller les activités au sein d’une distribution WSL et de les signaler aux tableaux de bord MDE.

Pour en savoir plus

• Pare-feu Hyper-V
• DNS Tunneling
• Proxy automatique
• Intune paramètre pour WSL
• plug-in Microsoft Defender pour point de terminaison pour WSL

Enclaves de sécurité basées sur la virtualisation

Une enclave de sécurité basée sur la virtualisation est un environnement d’exécution approuvé (TEE) basé sur un logiciel à l’intérieur d’une application hôte. Les enclaves VBS permettent aux développeurs d’utiliser VBS pour protéger les secrets de leur application contre les attaques au niveau de l’administrateur. Les enclaves VBS sont disponibles sur Windows 10 versions ultérieures sur x64 et ARM64.

Pour en savoir plus

• Enclave de sécurité basée sur la virtualisation