Ochrona przed malware poprzez Izolację Aplikacji w Windows. Microsoft pracuje nad nową funkcją bezpieczeństwa dzięki kontenerom

15 czerwca, 2023

Microsoft przez lata przyzwyczaił wszystkich do tego, że zainstalowane aplikacje w Windows mają uprawnienia do odczytu i zapisu praktycznie do każdego folderu i drzewa rejestru Windows. Nie są nadawane ograniczenia dostępu do danych pomiędzy aplikacjami tak jak w macOS. To się zmieni za sprawą nowej funkcji izolacji aplikacji Win32. Ograniczy to potencjalnemu złośliwemu oprogramowaniu dostęp do danych użytkownika oraz poufnych informacji z systemu.

Podobna funkcja jest od dawna dostępna jako Windows Sandbox. To jednak jest konkretne i specyficzne środowisko wirtualne uruchamiane na żądanie przez użytkownika. Nowa funkcja izolacji opierać się będzie na kontenerach, i kiedy już trafi do Windows 11/12, będzie włączona domyślnie.

windows izolacja aplikacji kontenery

Nowa funkcja ochrony danych i systemu przed malware poprzez izolację przebiegać będzie następująco:

1. Każda aplikacja Win32 będzie uruchamiana z najniższymi uprawnieniami w izolowanym kontenerze (za sprawą funkcji AppContainer) i z dostępem do określonego zestawi interfejsu API. W związku z tym aplikacja Win32 działająca w izolacji nie będzie mieć takiego samego poziomu uprawnień, jak zalogowany użytkownik.

Następstwem tego będzie prewencyjne zapobieganie uzyskiwaniu nadmiarowych uprawnień i wstrzykiwaniu kodu do innego procesu, uruchomionego przez użytkownika lub system, o takich samych uprawnieniach, co zalogowany użytkownik.

2. Każda aplikacja będzie musiała zawierać plik manifestu (znany z systemów mobilnych) z określonymi przez programistę uprawnieniami – jak najniższymi uprawnieniami, bo będzie to wymuszał system Windows.

Programiści będą musieli zaznajomić się z „Application Capability Profiler” (ACP) – jest to już dostępne narzędzie, które rejestruje uprawnienia aplikacji niezbędne do poprawnego działania i  tworzy gotowy manifest XML.

aplikacja windows manifest

Podsumowując, aplikacja będzie najpierw uruchamiana z możliwie najniższymi uprawnieniami w kontenerze. Będzie też miała dostęp do ograniczonego API, co może w teorii może oznaczać, że nie da się wykonać złośliwego kodu, który wymaga wyższych uprawnień. Pomijamy na razie kwestię exploitów oraz skomplikowanej budowy Windows, którą mogą wykorzystać autorzy złośliwego kodu.

Nowa funkcja bezpieczeństwa poprzez izolację aplikacji jest w fazie rozwojowej. Nie wiadomo, kiedy trafi do Windows 11, a może dopiero do Windows 12.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Kliknij na gwiazdkę, aby zagłosować!

Średnia ocena: 5 / 5. Liczba głosów: 1

Jak na razie nikt nie podzielił się opinią.

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]