Isolamento de aplicativo

• Aplica-se a:

  Windows 11

Isolamento de aplicações Win32

O isolamento da aplicação Win32 é uma funcionalidade de segurança concebida para ser o padrão de isolamento predefinido nos clientes Windows. Baseia-se no AppContainer e oferece várias funcionalidades de segurança adicionais para ajudar a plataforma Windows a defender-se contra ataques que utilizam vulnerabilidades em aplicações ou bibliotecas de terceiros. Para isolar as aplicações, os programadores podem atualizá-las com o Visual Studio.

O isolamento da aplicação Win32 segue um processo de dois passos:

• No primeiro passo, a aplicação Win32 é iniciada como um processo de baixa integridade com o AppContainer, que é reconhecido como um limite de segurança pelo Windows. O processo está limitado a um conjunto específico de APIs do Windows por predefinição e não consegue injetar código em qualquer processo que funcione a um nível de integridade superior
• No segundo passo, o menor privilégio é imposto ao conceder acesso autorizado a objetos com segurança do Windows. Este acesso é determinado pelas capacidades que são adicionadas ao manifesto da aplicação através do empacotamento MSIX. Neste contexto, os objetos com capacidade de segurança referem-se a recursos do Windows cujo acesso é salvaguardado por capacidades. Estas capacidades permitem a implantação de uma Lista de Controle de Acesso Discricionárias no Windows

Para ajudar a garantir que as aplicações isoladas são executadas sem problemas, os programadores têm de definir os requisitos de acesso para a aplicação através de declarações de capacidade de acesso no manifesto do pacote de aplicação. O Application Capability Profiler (ACP) simplifica todo o processo ao permitir que a aplicação seja executada no modo de aprendizagem com privilégios baixos. Em vez de negar o acesso se a capacidade não estiver presente, o ACP permite o acesso e regista as capacidades adicionais necessárias para o acesso se a aplicação for executada isoladamente.

Para criar uma experiência de utilizador suave que se alinhe com aplicações Win32 nativas não correlacionadas, devem ser tidos em consideração dois fatores-chave:

• Abordagens para aceder a dados e informações de privacidade
• Integrar aplicações Win32 para compatibilidade com outras interfaces do Windows

O primeiro fator está relacionado com a implementação de métodos para gerir o acesso a ficheiros e informações de privacidade dentro e fora do limite de isolamento AppContainer. O segundo fator envolve a integração de aplicações Win32 com outras interfaces do Windows de uma forma que ajuda a ativar a funcionalidade totalmente integrada sem causar pedidos de consentimento do utilizador perplexos.

Saiba mais

• Descrição geral do isolamento da aplicação Win32
• Application Capability Profiler (ACP)
• Empacotar uma aplicação de isolamento de aplicações Win32 com o Visual Studio
• Sandboxing Python com isolamento de aplicações Win32

Contentores de aplicações

Além de Área Restrita do Windows para aplicações Win32, Plataforma Universal do Windows aplicações (UWP) são executadas em contentores do Windows conhecidos como contentores de aplicações. Os contentores de aplicações atuam como limites de isolamento de processos e recursos, mas ao contrário dos contentores do Docker, estes são contentores especiais concebidos para executar aplicações do Windows.

Os processos executados em contentores de aplicações operam a um nível de integridade baixa, o que significa que têm acesso limitado aos recursos que não possuem. Uma vez que o nível de integridade predefinido da maioria dos recursos é de nível de integridade média, a aplicação UWP só pode aceder a um subconjunto do sistema de ficheiros, registo e outros recursos. O contentor da aplicação também impõe restrições à conectividade de rede. Por exemplo, o acesso a um anfitrião local não é permitido. Como resultado, o software maligno ou as aplicações infetadas têm requisitos de espaço limitados para escape.

Saiba mais

• Contentor do Windows e da aplicação

Área Restrita do Windows

Área Restrita do Windows fornece um ambiente de trabalho simples para executar em segurança aplicações Win32 não fidedignos isoladamente, utilizando a mesma tecnologia de virtualização baseada em hardware que o Hyper-V. Qualquer aplicação Win32 não fidedigno instalada no Área Restrita do Windows permanece apenas no sandbox e não pode afetar o anfitrião.

Assim que Área Restrita do Windows estiver fechada, nada persiste no dispositivo. Todo o software com todos os respetivos ficheiros e estado é eliminado permanentemente após o encerramento da aplicação Win32 não fidedigno.

Saiba mais

• Área Restrita do Windows

Subsistema do Windows para Linux (WSL)

Com Subsistema do Windows para Linux (WSL), pode executar um ambiente Linux num dispositivo Windows, sem a necessidade de uma máquina virtual separada ou de arranque duplo. O WSL foi concebido para proporcionar uma experiência totalmente integrada e produtiva para programadores que pretendem utilizar o Windows e o Linux ao mesmo tempo.

Novidades no Windows 11, versão 24H2

• A Firewall de Hyper-V é uma solução de firewall de rede que permite filtrar o tráfego de entrada e saída de/para contentores WSL alojados pelo Windows
• O Túnel DNS é uma definição de rede que melhora a compatibilidade em diferentes ambientes de rede, ao utilizar as funcionalidades de virtualização para obter informações de DNS em vez de um pacote de rede
• O proxy automático é uma definição de rede que impõe o WSL para utilizar as informações de proxy HTTP do Windows. Ative ao utilizar um proxy no Windows, uma vez que faz com que esse proxy se aplique automaticamente às distribuições WSL

Estas funcionalidades podem ser configuradas através de uma solução de gestão de dispositivos, como Microsoft Intune^[7]. Microsoft Defender para Ponto de Extremidade (MDPE) integra-se com o WSL, permitindo-lhe monitorizar atividades numa distribuição WSL e reportá-las aos dashboards de MDPE.

Saiba mais

• Hyper-V Firewall
• Túnel DNS
• Proxy automático
• definição de Intune para WSL
• plug-in Microsoft Defender para Ponto de Extremidade para WSL

Enclaves de segurança baseados na virtualização

Um enclave de segurança baseado em Virtualização é um ambiente de execução fidedigno (TEE) baseado em software dentro de uma aplicação anfitriã. Os enclaves de VBS permitem que os programadores utilizem VBS para proteger os segredos da aplicação contra ataques ao nível do administrador.

Os enclaves VBS estão disponíveis a partir de Windows 11, versão 24H2 e Windows Server 2025 em x64 e ARM64.

Saiba mais

• Enclave de segurança baseado em virtualização