Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Isolation de l’application Win32
L’isolation des applications Win32 est une fonctionnalité de sécurité conçue pour être la norme d’isolation par défaut sur les clients Windows. Il repose sur AppContainer et offre plusieurs fonctionnalités de sécurité supplémentaires pour aider la plateforme Windows à se défendre contre les attaques qui utilisent des vulnérabilités dans des applications ou des bibliothèques tierces. Pour isoler leurs applications, les développeurs peuvent les mettre à jour à l’aide de Visual Studio.
L’isolation de l’application Win32 suit un processus en deux étapes :
- Dans la première étape, l’application Win32 démarre en tant que processus à faible intégrité à l’aide d’AppContainer, que Windows reconnaît comme une limite de sécurité. Le processus est limité à un ensemble spécifique d’API Windows par défaut et ne peut pas injecter de code dans un processus fonctionnant à un niveau d’intégrité supérieur.
- Dans la deuxième étape, l’application applique le privilège minimum en accordant un accès autorisé aux objets sécurisables Windows. Cet accès est déterminé par les fonctionnalités ajoutées au manifeste d’application via l’empaquetage MSIX. Dans ce contexte, les objets sécurisables font référence aux ressources Windows dont l’accès est protégé par des fonctionnalités. Ces fonctionnalités permettent l’implantation d’une liste de Access Control discrétionnaire sur Windows.
Pour s’assurer que les applications isolées s’exécutent correctement, les développeurs doivent définir les exigences d’accès pour l’application via des déclarations de capacité d’accès dans le manifeste du package d’application. Application Capability Profiler (ACP) simplifie l’ensemble du processus en permettant à l’application de s’exécuter en mode Learn avec des privilèges faibles. Au lieu de refuser l’accès si la fonctionnalité n’est pas présente, ACP autorise l’accès et journalise les fonctionnalités supplémentaires requises pour l’accès si l’application s’exécute de manière isolée.
Pour créer une expérience utilisateur fluide qui s’aligne sur les applications Win32 natives non isolées, prenez en compte deux facteurs clés :
- Approches pour accéder aux données et aux informations de confidentialité
- Intégration d’applications Win32 pour la compatibilité avec d’autres interfaces Windows
Le premier facteur concerne l’implémentation de méthodes pour gérer l’accès aux fichiers et aux informations de confidentialité dans et en dehors de la limite d’isolation AppContainer. Le deuxième facteur implique l’intégration d’applications Win32 avec d’autres interfaces Windows d’une manière qui permet d’activer des fonctionnalités transparentes sans que les invites de consentement de l’utilisateur ne puissent être déconcertées.
Pour en savoir plus
- Vue d’ensemble de l’isolation des applications Win32
- Application Capability Profiler (ACP)
- Empaquetage d’une application d’isolation d’application Win32 avec Visual Studio
- Sandboxing Python avec l’isolation d’application Win32
Conteneurs d’applications
En plus de Bac à sable Windows pour les applications Win32, les applications plateforme Windows universelle (UWP) s’exécutent dans des conteneurs Windows appelés conteneurs d’application. Les conteneurs d’application agissent comme des limites d’isolation des processus et des ressources, mais contrairement aux conteneurs Docker, ces conteneurs sont conçus spécifiquement pour exécuter des applications Windows.
Les processus qui s’exécutent dans des conteneurs d’application fonctionnent à un niveau d’intégrité faible, ce qui signifie qu’ils ont un accès limité aux ressources dont ils ne sont pas propriétaires. Étant donné que le niveau d’intégrité par défaut de la plupart des ressources est le niveau d’intégrité moyen, l’application UWP ne peut accéder qu’à un sous-ensemble du système de fichiers, du Registre et d’autres ressources. Le conteneur d’application applique également des restrictions sur la connectivité réseau. Par exemple, l’accès à un hôte local n’est pas autorisé. Par conséquent, les programmes malveillants ou les applications infectées ont une empreinte limitée pour l’échappement.
Pour en savoir plus
Bac à sable Windows
Bac à sable Windows fournit un environnement de bureau léger pour exécuter en toute sécurité des applications Win32 non approuvées de manière isolée. Il utilise la même technologie de virtualisation basée sur le matériel qu’Hyper-V. Toute application Win32 non approuvée que vous installez dans Bac à sable Windows reste uniquement dans le bac à sable et ne peut pas affecter l’hôte.
Lorsque vous fermez Bac à sable Windows, il n’enregistre rien sur votre appareil. Il supprime définitivement tous les logiciels, fichiers et état après la fermeture de l’application Win32 non approuvée.
Pour en savoir plus
Sous-système de Windows pour Linux (WSL)
Avec Sous-système Windows pour Linux (WSL), vous pouvez exécuter un environnement Linux sur un appareil Windows sans avoir besoin d’une machine virtuelle distincte ou d’un double démarrage. WSL est conçu pour fournir une expérience transparente et productive aux développeurs qui souhaitent utiliser Windows et Linux en même temps.
- Le pare-feu Hyper-V est une solution de pare-feu réseau qui permet de filtrer le trafic entrant et sortant vers et depuis des conteneurs WSL hébergés par Windows.
- Le tunneling DNS est un paramètre de mise en réseau qui améliore la compatibilité dans différents environnements de mise en réseau. Il utilise des fonctionnalités de virtualisation pour obtenir des informations DNS plutôt qu’un paquet réseau.
- Le proxy automatique est un paramètre de mise en réseau qui applique WSL pour utiliser les informations de proxy HTTP de Windows. Activez ce paramètre lors de l’utilisation d’un proxy sur Windows, car ce proxy s’applique automatiquement aux distributions WSL.
Configurez ces fonctionnalités à l’aide d’une solution de gestion des appareils telle que Microsoft Intune[12] . Microsoft Defender pour point de terminaison (MDE) s’intègre à WSL, ce qui lui permet de surveiller les activités au sein d’une distribution WSL et de les signaler aux tableaux de bord MDE.
Pour en savoir plus
- Pare-feu Hyper-V
- DNS Tunneling
- Proxy automatique
- Intune paramètre pour WSL
- plug-in Microsoft Defender pour point de terminaison pour WSL
Enclaves de sécurité basées sur la virtualisation
Une enclave de sécurité basée sur la virtualisation est un environnement d’exécution approuvé (TEE) basé sur un logiciel à l’intérieur d’une application hôte. Les enclaves VBS permettent aux développeurs d’utiliser VBS pour protéger les secrets de leur application contre les attaques au niveau de l’administrateur.
Pour en savoir plus