Компания Microsoft запустила предварительную версию новой функции безопасности Windows 11 — изоляцию классических приложений Win32. Для обеспечения безопасности и защиты приложений Win32 от уязвимостей используется технология контейнеризации.
Поддержка изоляции Win32 должна быть реализована разработчиками приложений. Это позволит дать пользователям больше контроля и в то же время ограничить возможности эксплуатации продуктов.
В официальном блоге разработчиков Windows Microsoft отмечает, что основное внимание при изоляции приложений Win32 уделяется атакам нулевого дня.
Windows поставляется с рядом инструментов и функций безопасности, предназначенных для предотвращения или ограничения атак вредоносного ПО. Среди них: контроль учетных записей, представленный еще в Windows Vista, а также более современные функции, такие как Песочница Windows и Microsoft Defender Application Guard.
Например, «Песочница Windows» — отличный инструмент для систем Windows 10 и Windows 11, позволяющий запускать файлы в изолированной среде. Песочница поддерживает файлы конфигурации, которые позволяют администраторам настраивать среду по своим требованиям.
Изоляция приложений Win32
Microsoft стремится сделать изоляцию приложений Win32 стандартом по умолчанию в клиентских версиях Windows. Согласно компании, данная технология защиты отлично работает с другими функциями безопасности, такими как Smart App Control. Однако Smart App Control доступен только в новых системах Windows 11.
Классические приложения Win32, запускаемые с правами пользователи, имеют доступ ко всем пользовательским данным. Microsoft отмечает, что это представляет большой риск, особенно учитывая тот факт, что пользователи не информируются о таком доступе и не могут повлиять на это:
Microsoft выделяет три основных цели изоляции приложений Win32:
Когда приложение Windows использует изоляцию приложений, оно больше не может получить доступ к личным данным пользователя без разрешения. Изолированное приложение сможет получить доступ к некоторым системным файлам, таким как библиотеки .NET или защищенные ключи реестра, но для доступа к изображениям, документам, местоположению, микрофону или файлам потребуется одобрение пользователя.
Конечно же, злонамеренные приложения могут обмануть пользователей, чтобы получить доступ, поэтому компания подготовила превентивные меры. Разработчикам необходимо включить в свое приложение поддержку запроса доступа к личным данным. В противном случае, приложение не сможет выполнять запросы.
Кроме того, доступ к файлам ограничивается конкретными файлами, которые выбирает пользователь. В этом случае не требуется предупреждений, поскольку выбор файла автоматически считается разрешением на доступ к этому конкретному файлу.
Microsoft пояснила:
Изоляция приложений Win32 поддерживает режим обучения, который регистрирует дополнительные возможности, необходимые для доступа, но не препятствует доступу.
Станет ли технология популярной?
Вполне вероятно, что изоляция приложений Win32 не получит широкого распространения в ближайшие месяцы и даже годы. Самое большое препятствие заключается в том, что разработчики должны реализовывать эту функцию в своих приложениях. Создатели приложений, нацеленных на конфиденциальность, безопасность и работу с важными данными, наверняка это сделают, а остальные могут просто проигнорировать данную функцию.
Кроме того, постоянные запросы на доступ к данным могут раздражать пользователей.
И, наконец, изоляция приложений Win32, вероятно, будет доступна только в Windows 11 и будущих версиях Windows.
Скорее всего, некоторые программы для Windows внедрят изоляцию приложений Win32, но подавляющее большинство проигнорирует данную функцию.
Источник новости: www.playground.ru
