Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Az MSIX egy tárolóalapú modellel elkülöníti az alkalmazásokat a rendszer többi részétől. Az általános célú tárolótechnológiákkal (például a Dockerrel) ellentétben az MSIX-tárolók nem virtuális gépek, és nem igényelnek külön operációsrendszer-lemezképet. Ehelyett a Windows futtatás közben átirányítja az alkalmazások fájlrendszer- és beállításjegyzék-tevékenységeit, miközben azokat önállónak megőrzi, és lehetővé teszi számukra, hogy a Windows többi részével normál módon működjenek együtt.
Ez a cikk az elkülönítési modellt, a csomagolt alkalmazások számára elérhető két megbízhatósági szintet és a megközelítés által nyújtott előnyöket ismerteti.
Mi az MSIX konténerizáció (és mi nem)
MSIX-csomag telepítésekor Windows az alkalmazás fájljait védett helyre helyezi (C:\Program Files\WindowsApps\), amelyet maga az alkalmazás nem tud módosítani. Futásidőben Windows virtualizált nézetet biztosít az alkalmazásnak a fájlrendszer és a beállításjegyzék számára: az olvasások a csomag telepítési helyére kerülnek, az írások pedig a Windows által kezelt felhasználónkénti helyekre lesznek átirányítva.
Ez a következőt jelenti:
- Az alkalmazás telepítési fájljai futásidőben soha nem módosulnak.
- Az alkalmazás állapota külön van tárolva az alkalmazás bináris fájljaitól – így a frissítések, javítások és eltávolítások tiszta és megbízhatóak.
Megjegyzés:
Az MSIX-tárolók egy Windows futtatókörnyezeti funkció, nem pedig különálló operációsrendszer-környezetek. Az alkalmazás natív Windows folyamatként fut – csak virtualizált nézettel rendelkezik bizonyos rendszererőforrásokról.
Két megbízhatósági szint
A csomagolt alkalmazások két megbízhatósági szint egyikén futnak, amelyek meghatározzák az elkülönítés mértékét:
Teljes megbízhatóság (közepes integritás)
A teljes megbízhatósági alkalmazások ugyanazokkal az engedélyekkel futnak, mint egy szabványos asztali alkalmazás. Windows package identitást és néhány fájl-/beállításjegyzék-virtualizálást biztosít, de az alkalmazás továbbra is hozzáférhet a legtöbb rendszererőforráshoz közvetlenül.
Ez az alapértelmezett a Win32-telepítőktől az MSIX Csomagolóeszköz használatával konvertált alkalmazásokhoz, valamint a Legtöbb WinUI 3 asztali alkalmazáshoz.
AppContainer (részleges megbízhatóság)
Az AppContainer-alkalmazások szigorúan elkülönített környezetben futnak. A folyamat és gyermekei csak kifejezetten megadott erőforrásokhoz férhetnek hozzá. Windows kényszeríti az elkülönítést a fájlrendszer és a beállításjegyzék virtualizálása, valamint az AppContainer biztonsági határainak használatával.
Az UWP-alkalmazások mindig egy AppContainerben futnak. Az asztali alkalmazások az AppContainert is választhatják, ha deklarálják az alkalmazásjegyzékben.
Jótanács
Az AppContainer-alkalmazások a legerősebb biztonsági garanciákat kapják, de több munkát igényelnek a helyes konfiguráláshoz, különösen az olyan alkalmazások esetében, amelyek széles körű rendszerhozzáférésre támaszkodnak. A konfigurációs lépésekért tekintse meg az MSIX AppContainer-alkalmazásokat .
Az MSIX tárolóizációs modell előnyei
| Haszon | Leírás |
|---|---|
| Tiszta eltávolítás | Mivel Windows az összes alkalmazásállapotot külön nyomon követi, az MSIX-csomagok eltávolítása eltávolítja az összes alkalmazásfájlt, beállításjegyzék-bejegyzést és rendszermódosítást – a maradék összetevők nélkül. A felhasználó által létrehozott fájlok megmaradnak. |
| Megbízható frissítések | Az alkalmazás bináris fájljai futásidőben csak olvashatók. A frissítések atomi módon cserélik le a csomagot, és szükség esetén vissza lehet állítani az alkalmazást. |
| Nincs rendszerleíró adatbázis-szennyezés | A beállításjegyzék-írások az alkalmazásból egy virtuális felhasználói hive-be kerülnek, nem pedig a következőre HKEY_LOCAL_MACHINE. Ez megakadályozza a beállításjegyzék-halmazódását, ami gyakori a hagyományos Win32-telepítők esetében. |
| Biztonsági elkülönítés | Az AppContainer-alkalmazások kifejezetten megadott erőforrásokra korlátozódnak, így csökkentve a sérült folyamat hatását. |
| Integritás érvényesítése | Windows futásidőben észlelheti a csomagfájlok manipulálását. Ha egy csomagot módosítanak, Windows letiltja az indítást, és elindítja a javítást. Lásd : MSIX-csomag aláírása – áttekintés. |
Virtualizálási hatókör
Nem minden fájlrendszer- és beállításjegyzék-hely van virtualizálva. Windows a hozzáférés helyétől függően eltérő viselkedést alkalmaz:
- A csomagtelepítési fájlokba való írás le van tiltva – a telepítési hely csak olvasható.
- A rendszerbeli helyekre (például
C:\Windows\) való írás le van tiltva az AppContainer-alkalmazások esetében. - AppContainer-alkalmazások esetében a felhasználói profil helyeire történő írások átirányítódnak csomagonkénti helyekre (például
AppData), míg a teljes megbízhatóságú alkalmazások esetében ezek közvetlenül átmennek. - A csomagolt VFS-helyekről származó olvasásokat maga a csomag szolgáltatja, így az alkalmazás úgy viselkedik, mintha hagyományos helyekre (például
C:\Program Files\) lett volna telepítve.
A fájlrendszer és a beállításjegyzék virtualizálásának működéséről a A csomagolt asztali alkalmazások Windows való futtatásának ismertetése című témakörben olvashat.
Megosztott tárolók
Alapértelmezés szerint minden MSIX-csomag a saját elkülönített tárolójában fut. Olyan vállalati forgatókönyvek esetén, ahol több csomagnak is meg kell osztania egy futtatókörnyezetet – például egy fő alkalmazást és egy testreszabási csomagot –, Windows támogatja a megosztásos csomagtárolókat. A megosztott tárolók egy meghatározott csomagkészletnek biztosítják egymás virtuális fájlrendszerének és beállításjegyzékének egyesített nézetét.
Ez egy csak nagyvállalati szintű szolgáltatás, amely rendszergazdai jogosultságokat igényel. Lásd : Megosztott csomagtároló.
Rugalmas virtualizálás
A Windows 11-tól kezdve az alkalmazások szelektíven választhatnak bizonyos fájlrendszermappákat vagy beállításkulcsokat a virtualizálásból – így ezeket a helyeket más alkalmazások is láthatják, és az eltávolításuk során megőrizhetik őket. Ez olyan alkalmazások esetében hasznos, amelyeknek meg kell osztaniuk a konfigurációt vagy az adatokat más alkalmazásokkal, miközben továbbra is élvezik az MSIX-csomagolás előnyeit.
Lásd a rugalmas virtualizálást.
Kapcsolódó cikkek
A csomagolt asztali alkalmazások Windows - MSIX AppContainer-alkalmazások
- Rugalmas virtualizálás
- Megosztott csomagtároló
- MSIX-csomag aláírása – áttekintés