Поделиться через

Изоляция AppContainer

  • Статья

Изоляция — это основная цель среды выполнения AppContainer. Изолирование приложения от ненужных ресурсов и других приложений позволяет свести к минимуму возможности для вредоносных манипуляций. Предоставление доступа на основе наименьших привилегий запрещает приложениям и пользователям получать доступ к ресурсам за пределами своих прав. Управление доступом к ресурсам защищает процесс, устройство и сеть.

Большинство уязвимостей в Windows начинаются с приложения. Некоторые распространенные примеры включают в себя приложение, вырывающееся из браузера или отправляющее недопустимый документ в Internet Explorer, а также использование подключаемых модулей, таких как flash. Чем больше эти приложения можно изолировать в AppContainer, тем безопаснее устройство и ресурсы. Даже если уязвимость в приложении эксплойтируется, приложение не может получить доступ к ресурсам за пределами предоставленных AppContainer. Вредоносные приложения не могут взять на себя остальную часть компьютера.

Изоляция учетных данных

Управление удостоверениями и учетными данными AppContainer запрещает использование учетных данных пользователя для получения доступа к ресурсам или входу в другие среды. Среда AppContainer создает идентификатор, использующий объединенные удостоверения пользователя и приложения, поэтому учетные данные уникальны для каждого пользователя или приложения, и приложение не может олицетворить пользователя.

Изоляция устройств

Изоляция приложения от ресурсов устройства, таких как пассивные датчики (камера, микрофон, GPS) и денежные насосы (3G/4G, телефон с телефоном) среда AppContainer запрещает приложению злонамеренно использовать устройство. Эти ресурсы блокируются по умолчанию и могут предоставляться доступ по мере необходимости. В некоторых случаях эти ресурсы более защищены брокерами. Некоторые ресурсы, такие как клавиатура и мышь, всегда доступны для приложения AppContainer и резидентного приложения.

Изоляция файлов

Управление доступом к файлам и реестрам среда AppContainer запрещает приложению изменять файлы, которые он не должен. Доступ на чтение и запись можно предоставить определенным постоянным файлам и разделам реестра. Доступ только для чтения менее ограничен. Приложение всегда имеет доступ к файлам резидентов памяти, созданным специально для этого AppContainer.

Сетевая изоляция

Изоляция приложения от сетевых ресурсов за пределами конкретно выделенных, AppContainer запрещает приложению "экранировать" свою среду и злонамеренно использовать сетевые ресурсы. Подробный доступ можно предоставить для доступа к Интернету, доступа к интрасети и выступать в качестве сервера.

Изоляция процессов

Песочница объектов ядра приложения, среда AppContainer запрещает приложению влиять или влиять на другие процессы приложения. Это предотвращает повреждение других процессов в случае исключения должным образом автономного приложения.

Изоляция окон

Изоляция приложения от других окон среда AppContainer запрещает приложению влиять на другие интерфейсы приложений.