Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Win32-App-Isolation
Win32-App-Isolation ist ein Sicherheitsfeature, das als Standardisolationsstandard auf Windows-Clients konzipiert wurde. Es basiert auf AppContainer und bietet mehrere zusätzliche Sicherheitsfeatures, die der Windows-Plattform helfen, sich vor Angriffen zu schützen, die Sicherheitsrisiken in Anwendungen oder Bibliotheken von Drittanbietern nutzen. Um ihre Anwendungen zu isolieren, können Entwickler sie mithilfe von Visual Studio aktualisieren.
Die Win32-App-Isolation folgt einem zweistufigen Prozess:
- Im ersten Schritt wird die Win32-Anwendung als Prozess mit niedriger Integrität mithilfe von AppContainer gestartet, den Windows als Sicherheitsgrenze erkennt. Der Prozess ist standardmäßig auf einen bestimmten Satz von Windows-APIs beschränkt und kann keinen Code in einen Prozess einfügen, der mit einer höheren Integritätsebene arbeitet.
- Im zweiten Schritt erzwingt die Anwendung die geringsten Berechtigungen, indem sie autorisierten Zugriff auf sicherungsfähige Windows-Objekte gewährt. Dieser Zugriff wird durch Funktionen bestimmt, die dem Anwendungsmanifest über die MSIX-Paketerstellung hinzugefügt werden. Sicherungsfähige Objekte beziehen sich in diesem Kontext auf Windows-Ressourcen, deren Zugriff durch Funktionen geschützt wird. Diese Funktionen ermöglichen die Einnistung einer discretionary Access Control List unter Windows.
Um sicherzustellen, dass isolierte Anwendungen reibungslos ausgeführt werden, müssen Entwickler die Zugriffsanforderungen für die Anwendung über Zugriffsfunktionsdeklarationen im Anwendungspaketmanifest definieren. Der Application Capability Profiler (ACP) vereinfacht den gesamten Prozess, indem die Anwendung im Learn-Modus mit niedrigen Berechtigungen ausgeführt werden kann. Anstatt den Zugriff zu verweigern, wenn die Funktion nicht vorhanden ist, lässt ACP den Zugriff zu und protokolliert zusätzliche Funktionen, die für den Zugriff erforderlich sind, wenn die Anwendung isoliert ausgeführt wird.
Um eine reibungslose Benutzererfahrung zu schaffen, die sich an nicht isolierten, nativen Win32-Anwendungen orientiert, sollten Sie zwei Wichtige Faktoren berücksichtigen:
- Ansätze für den Zugriff auf Daten- und Datenschutzinformationen
- Integrieren von Win32-Apps zur Kompatibilität mit anderen Windows-Schnittstellen
Der erste Faktor bezieht sich auf die Implementierung von Methoden zum Verwalten des Zugriffs auf Dateien und Datenschutzinformationen innerhalb und außerhalb der Isolationsgrenze von AppContainer. Der zweite Faktor umfasst die Integration von Win32-Apps mit anderen Windows-Schnittstellen auf eine Weise, die eine nahtlose Funktionalität ermöglicht, ohne dass benutzerseitige Zustimmungsaufforderungen verursacht werden.
Weitere Informationen
- Übersicht über die Win32-App-Isolation
- Application Capability Profiler (ACP)
- Packen einer Win32-App-Isolationsanwendung mit Visual Studio
- Sandboxing von Python mit Win32-App-Isolation
App-Container
Zusätzlich zu Windows-Sandbox für Win32-Apps werden Universelle Windows-Plattform-Anwendungen (UWP) in Windows-Containern ausgeführt, die als App-Container bezeichnet werden. App-Container fungieren als Prozess- und Ressourcenisolationsgrenzen, aber im Gegensatz zu Docker-Containern sind diese Container speziell für die Ausführung von Windows-Anwendungen konzipiert.
Prozesse, die in App-Containern ausgeführt werden, arbeiten mit einer niedrigen Integritätsstufe, was bedeutet, dass sie eingeschränkten Zugriff auf Ressourcen haben, die sie nicht besitzen. Da die Standardintegritätsstufe der meisten Ressourcen mittlere Integritätsebene ist, kann die UWP-App nur auf eine Teilmenge des Dateisystems, der Registrierung und anderer Ressourcen zugreifen. Der App-Container erzwingt auch Einschränkungen für die Netzwerkkonnektivität. Beispielsweise ist der Zugriff auf einen lokalen Host nicht zulässig. Daher haben Schadsoftware oder infizierte Apps einen begrenzten Speicherbedarf für escape.
Weitere Informationen
Windows-Sandbox
Windows-Sandbox bietet eine einfache Desktopumgebung, um nicht vertrauenswürdige Win32-Anwendungen sicher isoliert auszuführen. Es verwendet die gleiche hardwarebasierte Virtualisierungstechnologie wie Hyper-V. Jede nicht vertrauenswürdige Win32-App, die Sie in Windows-Sandbox installieren, bleibt nur in der Sandbox und kann sich nicht auf den Host auswirken.
Wenn Sie Windows-Sandbox schließen, wird nichts auf Ihrem Gerät gespeichert. Nach dem Schließen der nicht vertrauenswürdigen Win32-Anwendung werden alle Software, Dateien und der Status endgültig gelöscht.
Weitere Informationen
Windows-Subsystem für Linux (WSL)
Mit Windows-Subsystem für Linux (WSL) können Sie eine Linux-Umgebung auf einem Windows-Gerät ausführen, ohne dass ein separater virtueller Computer oder dualer Start erforderlich ist. WSL wurde entwickelt, um Entwicklern, die Windows und Linux gleichzeitig verwenden möchten, eine nahtlose und produktive Erfahrung zu bieten.
- Hyper-V Firewall ist eine Netzwerkfirewalllösung, die das Filtern von eingehendem und ausgehendem Datenverkehr zu und aus WSL-Containern ermöglicht, die von Windows gehostet werden.
- DNS-Tunneling ist eine Netzwerkeinstellung, die die Kompatibilität in verschiedenen Netzwerkumgebungen verbessert. Anstelle eines Netzwerkpakets werden Virtualisierungsfeatures zum Abrufen von DNS-Informationen verwendet.
- Der automatische Proxy ist eine Netzwerkeinstellung, die WSL erzwingt, die HTTP-Proxyinformationen von Windows zu verwenden. Aktivieren Sie diese Einstellung, wenn Sie einen Proxy unter Windows verwenden, da dieser Proxy automatisch auf WSL-Verteilungen angewendet wird.
Richten Sie diese Features mithilfe einer Geräteverwaltungslösung wie Microsoft Intune[12] ein. Microsoft Defender for Endpoint (MDE) ist in WSL integriert, sodass Aktivitäten innerhalb einer WSL-Distribution überwacht und an die MDE Dashboards gemeldet werden können.
Weitere Informationen
- Hyper-V-Firewall
- DNS-Tunneling
- Automatischer Proxy
- Intune Einstellung für WSL
- Microsoft Defender for Endpoint-Plug-In für WSL
Virtualisierungsbasierte Sicherheitsenklaven
Eine virtualisierungsbasierte Sicherheitsenklave ist eine softwarebasierte vertrauenswürdige Ausführungsumgebung (Trusted Execution Environment, TEE) innerhalb einer Hostanwendung. MIT VBS-Enclaves können Entwickler VBS verwenden, um die Geheimnisse ihrer Anwendung vor Angriffen auf Administratorebene zu schützen.
Weitere Informationen