AppContainer 隔離

隔離是 AppContainer 執行環境的主要目標。 藉由隔離應用程式與不必要的資源和其他應用程式，將惡意作的機會降到最低。 根據最低許可權授與存取權可防止應用程式和使用者存取其許可權以外的資源。 控制資源的存取權可保護進程、裝置和網路。

Windows 中的大多數弱點都是從應用程式開始。 一些常見的範例包括應用程式從瀏覽器中斷或將不良檔傳送至 Internet Explorer，以及惡意探索外掛程式，例如 flash。 這些應用程式在 AppContainer 中隔離越多，裝置和資源就越安全。 即使應用程式中的弱點遭到惡意探索，應用程式也無法存取授與 AppContainer 以外的資源。 惡意應用程式無法接管機器的其餘部分。

管理身分識別和認證，AppContainer 會防止使用使用者認證來存取資源或登入其他環境。 AppContainer 環境會建立使用使用者和應用程式合併身分識別的標識碼，因此認證對每個使用者/應用程式配對都是唯一的，而且應用程式無法模擬使用者。

將應用程式與裝置資源隔離，例如被動感測器（相機、麥克風、GPS）和資金泵（3G/4G、撥號電話）AppContainer 環境可防止應用程式惡意利用裝置。 這些資源預設會遭到封鎖，而且可以視需要授與存取權。 在某些情況下，這些資源會受到「訊息代理程式」的進一步保護。 某些資源，例如鍵盤和滑鼠，一律可供AppContainer和常駐應用程式使用。

控制檔案和登錄存取，AppContainer 環境可防止應用程式修改不應該的檔案。 可授與特定永續性檔案和登錄機碼的讀寫許可權。 唯讀存取較少限制。 應用程式一律可以存取針對該 AppContainer 特別建立的記憶體常駐檔案。

AppContainer 會防止應用程式「逸出」其環境，並惡意利用網路資源，隔離應用程式與網路資源以外的網路資源。 細微存取權可以授與因特網存取、內部網路存取，以及做為伺服器。

將應用程式核心物件沙盒化，AppContainer 環境可防止應用程式影響或受到其他應用程式進程的影響。 這可防止適當包含的應用程式在發生例外狀況時損毀其他進程。

將應用程式與其他視窗隔離，AppContainer 環境可防止應用程式影響其他應用程式介面。