Aislamiento de AppContainer
El aislamiento es el objetivo principal de un entorno de ejecución de AppContainer. Al aislar una aplicación de recursos innecesarios y otras aplicaciones, se minimizan las oportunidades de manipulación malintencionada. Conceder acceso basado en privilegios mínimos impide que las aplicaciones y los usuarios accedan a los recursos más allá de sus derechos. Controlar el acceso a los recursos protege el proceso, el dispositivo y la red.
La mayoría de las vulnerabilidades de Windows comienzan con la aplicación. Algunos ejemplos comunes incluyen una aplicación que sale de su explorador o envía un documento incorrecto a Internet Explorer, así como la explotación de complementos, como flash. Cuantos más se puedan aislar estas aplicaciones en un AppContainer, más seguro será el dispositivo y los recursos. Incluso si se aprovecha la vulnerabilidad en una aplicación, la aplicación no puede acceder a los recursos más allá de lo que se concede a AppContainer. Las aplicaciones malintencionadas no pueden asumir el resto de la máquina.
Aislamiento de credenciales
La administración de identidades y credenciales, AppContainer impide el uso de credenciales de usuario para obtener acceso a los recursos o iniciar sesión en otros entornos. El entorno de AppContainer crea un identificador que usa las identidades combinadas del usuario y la aplicación, por lo que las credenciales son únicas para cada emparejamiento de usuario y aplicación, y la aplicación no puede suplantar al usuario.
Aislamiento de dispositivos
Aislar la aplicación de los recursos del dispositivo, como sensores pasivos (cámara, micrófono, GPS) y bombas de dinero (3G/4G, teléfono telefónico) el entorno de AppContainer impide que la aplicación aproveche malintencionadamente el dispositivo. Estos recursos están bloqueados de forma predeterminada y se puede conceder acceso según sea necesario. En algunos casos, estos recursos están protegidos aún más por "agentes". Algunos recursos, como el teclado y el mouse, siempre están disponibles para la aplicación AppContainer y residente.
Aislamiento de archivos
Controlar el acceso a archivos y registros, el entorno de AppContainer impide que la aplicación modifique los archivos que no debería. Se puede conceder acceso de lectura y escritura a archivos persistentes específicos y claves del Registro. El acceso de solo lectura está menos restringido. Una aplicación siempre tiene acceso a los archivos residentes en memoria creados específicamente para ese AppContainer.
Aislamiento de red
Aislar la aplicación de los recursos de red más allá de los asignados específicamente, AppContainer impide que la aplicación "escape" de su entorno y aproveche malintencionadamente los recursos de red. Se puede conceder acceso pormenorizados para el acceso a Internet, el acceso a la intranet y actuar como servidor.
Aislamiento de procesos
El espacio aislado de los objetos de kernel de la aplicación, el entorno de AppContainer impide que la aplicación afecte a otros procesos de aplicación o los influga. Esto evita que una aplicación contenida correctamente dañe otros procesos en caso de una excepción.
Aislamiento de ventana
Aislar la aplicación de otras ventanas, el entorno de AppContainer impide que la aplicación afecte a otras interfaces de aplicación.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de