Win32 应用程序隔离现已公开预览-世界即时看

【资料图】

在上个月的年度 Build 大会上，微软宣布能够在 Windows 11 上独立运行 Win32 应用程序。该公司在其最初的博客文章中没有详细介绍，但强调了在沙盒环境中运行 Win32 应用程序的选项，以便操作系统的其余部分免受潜在恶意软件的侵害。现在，它透露了有关此特定功能的更多信息，包括它如何工作以及如何适应 Windows 的其余安全基础结构。

Microsoft 的操作系统安全和企业副总裁 David Weston 撰写了一篇冗长的博客文章，解释了 Win32 应用程序隔离的性质。该功能是另一个沙盒安全选项，就像Windows Sandbox和 Microsoft Defender Application Guard 一样，但它基于 AppContainers，而不是像其他两个安全措施那样基于虚拟化的软件。对于那些不知道的人，AppContainers 通过封装它并确保它以非常低的特权和完整性级别运行来控制进程的执行。

Microsoft 强烈建议同时使用智能应用程序控制 (SAC)和 Win32 应用程序隔离，同时保护您的 Windows 环境免受利用 0-day 漏洞的不受信任应用程序的侵害。前者的安全机制通过仅安装受信任的应用程序来阻止攻击，而后者可用于在隔离和安全的环境中运行应用程序，以限制潜在的损害并保护用户隐私。这是因为单独运行的 Win32 应用程序不具有与系统用户相同的权限级别。

Redmond 科技公司已经确定了 Win32 应用程序隔离的几个关键目标。对于初学者来说，它限制了受感染应用程序的影响，因为攻击者对操作系统的一部分具有低权限访问权限，并且他们需要链接复杂的多步骤攻击才能突破他们的沙箱。即使他们成功了，这也能让他们更深入地了解他们的流程，从而更快地实施和交付缓解补丁。

其工作方式是应用程序首先通过 AppContainer 在低完整性级别启动，这意味着它们可以访问选定的 Windows API，并且无法执行需要更高权限级别的恶意代码。在下一步也是最后一步中，通过授予应用对 Windows 安全对象的授权访问权限来强制执行最小特权原则，这相当于在 Windows 上实施自主访问控制列表 (DACL) 。

关键词：