Изоляция приложений
Изоляция приложений Win32
Изоляция приложений Win32 — это функция безопасности, разработанная как стандарт изоляции по умолчанию для клиентов Windows. Он основан на AppContainer и предлагает несколько дополнительных функций безопасности, помогающих платформе Windows защищаться от атак, использующих уязвимости в приложениях или сторонних библиотеках. Чтобы изолировать свои приложения, разработчики могут обновить их с помощью Visual Studio.
Изоляция приложений Win32 выполняется в два этапа:
- На первом шаге приложение Win32 запускается как процесс с низкой целостностью с помощью AppContainer, который windows распознает как границу безопасности. Процесс по умолчанию ограничен определенным набором API Windows и не может внедрить код в любой процесс, работающий с более высоким уровнем целостности.
- На втором шаге минимальные привилегии применяются путем предоставления авторизованного доступа к защищаемым объектам Windows. Этот доступ определяется возможностями, которые добавляются в манифест приложения с помощью упаковки MSIX. Защищаемые объекты в этом контексте относятся к ресурсам Windows, доступ к которым гарантируется возможностями. Эти возможности позволяют внедрить список дискреционных контроль доступа в Windows
Чтобы обеспечить бесперебойную работу изолированных приложений, разработчики должны определить требования к доступу для приложения с помощью объявлений возможностей доступа в манифесте пакета приложения. Профилировщик возможностей приложения (ACP) упрощает весь процесс, позволяя приложению работать в режиме обучения с низкими привилегиями. Вместо того, чтобы запретить доступ, если эта возможность отсутствует, ACP разрешает доступ и регистрирует дополнительные возможности, необходимые для доступа, если приложение должно было выполняться изолированно.
Чтобы обеспечить бесперебойный пользовательский интерфейс, который соответствует неизолированным собственным приложениям Win32, следует учитывать два ключевых фактора:
- Подходы к доступу к данным и сведениям о конфиденциальности
- Интеграция приложений Win32 для обеспечения совместимости с другими интерфейсами Windows
Первый фактор связан с реализацией методов управления доступом к файлам и сведениям о конфиденциальности внутри и за пределами границы изоляции AppContainer. Второй фактор включает интеграцию приложений Win32 с другими интерфейсами Windows таким образом, чтобы обеспечить беспроблемную функциональность, не вызывая недоумение запросов на согласие пользователя.
Подробнее
- Общие сведения об изоляции приложений Win32
- Профилировщик возможностей приложений (ACP)
- Упаковка приложения изоляции приложений Win32 с помощью Visual Studio
- Песочница Python с изоляцией приложений Win32
Контейнеры приложений
В дополнение к Песочница Windows для приложений Win32 приложения универсальная платформа Windows (UWP) выполняются в контейнерах Windows, известных как контейнеры приложений. Контейнеры приложений выступают в качестве границ изоляции процессов и ресурсов, но в отличие от контейнеров Docker, это специальные контейнеры, предназначенные для запуска приложений Windows.
Процессы, выполняемые в контейнерах приложений, работают на низком уровне целостности, что означает, что они имеют ограниченный доступ к ресурсам, которыми они не владеют. Так как уровень целостности по умолчанию для большинства ресурсов является средним, приложение UWP может получить доступ только к подмножествам файловой системы, реестра и других ресурсов. Контейнер приложений также применяет ограничения на сетевое подключение. Например, доступ к локальному узлу запрещен. В результате вредоносные программы или зараженные приложения имеют ограниченный объем занимаемой площади для побега.
Подробнее
Песочница Windows
Песочница Windows предоставляет упрощенную среду рабочего стола для безопасного запуска ненадежных приложений Win32 в изоляции, используя ту же технологию виртуализации на основе оборудования, что и Hyper-V. Любое недоверенное приложение Win32, установленное в Песочница Windows, остается только в песочнице и не может повлиять на узел.
После закрытия Песочница Windows на устройстве ничего не сохраняется. Все программное обеспечение со всеми его файлами и состоянием окончательно удаляется после закрытия ненадежного приложения Win32.
Подробнее
Подсистема Windows для Linux (WSL)
С помощью подсистема Windows для Linux (WSL) можно запустить среду Linux на устройстве с Windows без необходимости использования отдельной виртуальной машины или двойной загрузки. WSL обеспечивает простой и эффективный интерфейс для разработчиков, которые хотят одновременно использовать Windows и Linux.
Новые возможности в Windows 11 версии 24H2
- Брандмауэр Hyper-V — это решение сетевого брандмауэра, которое позволяет фильтровать входящий и исходящий трафик в контейнерах WSL, размещенных в Windows.
- Туннелирование DNS — это сетевой параметр, который улучшает совместимость в разных сетевых средах, используя функции виртуализации для получения сведений DNS, а не сетевого пакета.
- Автоматический прокси-сервер — это сетевой параметр, который позволяет WSL использовать сведения о прокси-сервере Windows HTTP. Включите при использовании прокси-сервера в Windows, так как он автоматически применяется к дистрибутивам WSL
Эти функции можно настроить с помощью решения для управления устройствами, например Microsoft Intune[7]. Microsoft Defender для конечной точки (MDE) интегрируется с WSL, позволяя отслеживать действия в дистрибутиве WSL и сообщать о них на MDE панелях мониторинга.
Подробнее
- Брандмауэр Hyper-V
- Туннелирование DNS
- Автоматический прокси-сервер
- параметр Intune для WSL
- подключаемый модуль Microsoft Defender для конечной точки для WSL
Анклавы безопасности на основе виртуализации
Анклав безопасности на основе виртуализации — это программная доверенная среда выполнения (TEE) внутри ведущего приложения. Анклавы VBS позволяют разработчикам использовать VBS для защиты секретов своего приложения от атак уровня администратора.
Анклавы VBS доступны, начиная с Windows 11 версии 24H2 и Windows Server 2025 в x64 и ARM64.
Подробнее