Поддержка изоляции Win32 должна быть реализована разработчиками приложений. Это позволит дать пользователям больше контроля и в то же время ограничить возможности эксплуатации продуктов.
В официальном блоге разработчиков Windows Microsoft отмечает, что основное внимание при изоляции приложений Win32 уделяется атакам нулевого дня.
Windows поставляется с рядом инструментов и функций безопасности, предназначенных для предотвращения или ограничения атак вредоносного ПО. Среди них: контроль учетных записей, представленный еще в Windows Vista, а также более современные функции, такие как Песочница Windows и Microsoft Defender Application Guard.
Например, «Песочница Windows» — отличный инструмент для систем Windows 10 и Windows 11, позволяющий запускать файлы в изолированной среде. Песочница поддерживает файлы конфигурации, которые позволяют администраторам настраивать среду по своим требованиям.
Изоляция приложений Win32
Microsoft стремится сделать изоляцию приложений Win32 стандартом по умолчанию в клиентских версиях Windows. Согласно компании, данная технология защиты отлично работает с другими функциями безопасности, такими как Smart App Control. Однако Smart App Control доступен только в новых системах Windows 11.
Классические приложения Win32, запускаемые с правами пользователи, имеют доступ ко всем пользовательским данным. Microsoft отмечает, что это представляет большой риск, особенно учитывая тот факт, что пользователи не информируются о таком доступе и не могут повлиять на это:
Существует риск несанкционированного доступа к конфиденциальным данным пользователя со стороны злоумышленников без согласия или информирования.
Microsoft выделяет три основных цели изоляции приложений Win32:
- Значительно усложнить злоумышленникам возможность нанести ущерб системам Windows.
- Обеспечить беспроблемный пользовательский опыт с изолированными приложениями.
- Сократить усилия разработчиков при внедрении приложений.
Когда приложение Windows использует изоляцию приложений, оно больше не может получить доступ к личным данным пользователя без разрешения. Изолированное приложение сможет получить доступ к некоторым системным файлам, таким как библиотеки .NET или защищенные ключи реестра, но для доступа к изображениям, документам, местоположению, микрофону или файлам потребуется одобрение пользователя.
Конечно же, злонамеренные приложения могут обмануть пользователей, чтобы получить доступ, поэтому компания подготовила превентивные меры. Разработчикам необходимо включить в свое приложение поддержку запроса доступа к личным данным. В противном случае, приложение не сможет выполнять запросы.
Кроме того, доступ к файлам ограничивается конкретными файлами, которые выбирает пользователь. В этом случае не требуется предупреждений, поскольку выбор файла автоматически считается разрешением на доступ к этому конкретному файлу.
Microsoft пояснила:
Когда пользователь дает согласие на доступ к конкретному файлу для изолированного приложения, приложение взаимодействует с брокером файловой системы Windows (BFS) и предоставляет доступ к файлам через драйвер мини-фильтра. BFS просто открывает файл и служит интерфейсом между изолированным приложением и BFS.
Изоляция приложений Win32 поддерживает режим обучения, который регистрирует дополнительные возможности, необходимые для доступа, но не препятствует доступу.
Станет ли технология популярной?
Вполне вероятно, что изоляция приложений Win32 не получит широкого распространения в ближайшие месяцы и даже годы. Самое большое препятствие заключается в том, что разработчики должны реализовывать эту функцию в своих приложениях. Создатели приложений, нацеленных на конфиденциальность, безопасность и работу с важными данными, наверняка это сделают, а остальные могут просто проигнорировать данную функцию.
Кроме того, постоянные запросы на доступ к данным могут раздражать пользователей.
И, наконец, изоляция приложений Win32, вероятно, будет доступна только в Windows 11 и будущих версиях Windows.
Скорее всего, некоторые программы для Windows внедрят изоляцию приложений Win32, но подавляющее большинство проигнорирует данную функцию.
Последние статьи #Windows
• Как включить режим «Максимальная производительность» в Windows 11
• Windows 11 Build 27758 (Canary): Что нового, готовые ISO-образы
• Microsoft: требование TPM 2.0 в Windows 11 является «не подлежащим обсуждению» стандартом
• MSI анонсировала новые игровые консоли Claw на базе Windows 11 с процессором Intel Lunar Lake
• Samsung прекращает поддержку DeX для Windows — предлагает заменить его на «Связь с телефоном» от Microsoft
• Хакеры MAS смогли взломать защиту лицензирования ПО Microsoft, включая Windows 10 ESU