Compartir a través de


Aislamiento de AppContainer

El aislamiento es el objetivo principal de un entorno de ejecución de AppContainer. Al aislar una aplicación de recursos innecesarios y otras aplicaciones, se minimizan las oportunidades de manipulación malintencionada. Conceder acceso basado en privilegios mínimos impide que las aplicaciones y los usuarios accedan a los recursos más allá de sus derechos. Controlar el acceso a los recursos protege el proceso, el dispositivo y la red.

La mayoría de las vulnerabilidades de Windows comienzan con la aplicación. Algunos ejemplos comunes incluyen una aplicación que sale de su explorador o envía un documento incorrecto a Internet Explorer, así como la explotación de complementos, como flash. Cuantos más se puedan aislar estas aplicaciones en un AppContainer, más seguro será el dispositivo y los recursos. Incluso si se aprovecha la vulnerabilidad en una aplicación, la aplicación no puede acceder a los recursos más allá de lo que se concede a AppContainer. Las aplicaciones malintencionadas no pueden asumir el resto de la máquina.

Aislamiento de credenciales

La administración de identidades y credenciales, AppContainer impide el uso de credenciales de usuario para obtener acceso a los recursos o iniciar sesión en otros entornos. El entorno de AppContainer crea un identificador que usa las identidades combinadas del usuario y la aplicación, por lo que las credenciales son únicas para cada emparejamiento de usuario y aplicación, y la aplicación no puede suplantar al usuario.

Aislamiento de dispositivos

Aislar la aplicación de los recursos del dispositivo, como sensores pasivos (cámara, micrófono, GPS) y bombas de dinero (3G/4G, teléfono telefónico) el entorno de AppContainer impide que la aplicación aproveche malintencionadamente el dispositivo. Estos recursos están bloqueados de forma predeterminada y se puede conceder acceso según sea necesario. En algunos casos, estos recursos están protegidos aún más por "agentes". Algunos recursos, como el teclado y el mouse, siempre están disponibles para la aplicación AppContainer y residente.

Aislamiento de archivos

Controlar el acceso a archivos y registros, el entorno de AppContainer impide que la aplicación modifique los archivos que no debería. Se puede conceder acceso de lectura y escritura a archivos persistentes específicos y claves del Registro. El acceso de solo lectura está menos restringido. Una aplicación siempre tiene acceso a los archivos residentes en memoria creados específicamente para ese AppContainer.

Aislamiento de red

Aislar la aplicación de los recursos de red más allá de los asignados específicamente, AppContainer impide que la aplicación "escape" de su entorno y aproveche malintencionadamente los recursos de red. Se puede conceder acceso pormenorizados para el acceso a Internet, el acceso a la intranet y actuar como servidor.

Aislamiento de procesos

El espacio aislado de los objetos de kernel de la aplicación, el entorno de AppContainer impide que la aplicación afecte a otros procesos de aplicación o los influga. Esto evita que una aplicación contenida correctamente dañe otros procesos en caso de una excepción.

Aislamiento de ventana

Aislar la aplicación de otras ventanas, el entorno de AppContainer impide que la aplicación afecte a otras interfaces de aplicación.