Bagikan melalui


Isolasi AppContainer

Isolasi adalah tujuan utama lingkungan eksekusi AppContainer. Dengan mengisolasi aplikasi dari sumber daya yang tidak diperlukan dan aplikasi lainnya, peluang untuk manipulasi berbahaya diminimalkan. Memberikan akses berdasarkan hak istimewa paling sedikit mencegah aplikasi dan pengguna mengakses sumber daya di luar hak mereka. Mengontrol akses ke sumber daya melindungi proses, perangkat, dan jaringan.

Sebagian besar kerentanan di Windows dimulai dengan aplikasi. Beberapa contoh umum termasuk aplikasi yang keluar dari browsernya atau mengirim dokumen buruk ke Internet Explorer serta eksploitasi plugin, seperti flash. Semakin banyak aplikasi ini dapat diisolasi di AppContainer, semakin aman perangkat dan sumber dayanya. Bahkan jika kerentanan dalam aplikasi dieksploitasi, aplikasi tidak dapat mengakses sumber daya di luar apa yang diberikan kepada AppContainer. Aplikasi berbahaya tidak dapat mengambil alih komputer lainnya.

Isolasi kredensial

Mengelola identitas dan kredensial, AppContainer mencegah penggunaan kredensial pengguna untuk mendapatkan akses ke sumber daya atau masuk ke lingkungan lain. Lingkungan AppContainer membuat pengidentifikasi yang menggunakan identitas gabungan pengguna dan aplikasi, sehingga kredensial unik untuk setiap pasangan pengguna/aplikasi dan aplikasi tidak dapat meniru pengguna.

Isolasi perangkat

Mengisolasi aplikasi dari sumber daya perangkat, seperti sensor pasif (kamera, mikrofon, GPS), dan pompa uang (3G/4G, telepon panggilan) lingkungan AppContainer mencegah aplikasi mengeksploitasi perangkat dengan jahat. Sumber daya ini diblokir secara default dan dapat diberikan akses seperlunya. Dalam beberapa kasus, sumber daya ini dilindungi lebih lanjut oleh 'broker'. Beberapa sumber daya, seperti keyboard dan mouse, selalu tersedia untuk AppContainer dan aplikasi residen.

Isolasi file

Mengontrol akses file dan registri, lingkungan AppContainer mencegah aplikasi memodifikasi file yang seharusnya tidak. Akses baca-tulis dapat diberikan ke file persisten dan kunci registri tertentu. Akses baca-saja kurang dibatasi. Aplikasi selalu memiliki akses ke file residen memori yang dibuat khusus untuk AppContainer tersebut.

Isolasi jaringan

Mengisolasi aplikasi dari sumber daya jaringan di luar yang dialokasikan secara khusus, AppContainer mencegah aplikasi 'melarikan diri' lingkungannya dan mengeksploitasi sumber daya jaringan dengan jahat. Akses terperinci dapat diberikan untuk akses Internet, akses Intranet, dan bertindak sebagai server.

Isolasi proses

Sandboxing objek kernel aplikasi, lingkungan AppContainer mencegah aplikasi mempengaruhi, atau dipengaruhi oleh, proses aplikasi lainnya. Ini mencegah aplikasi yang terkandung dengan benar merusak proses lain jika terjadi pengecualian.

Isolasi jendela

Mengisolasi aplikasi dari jendela lain, lingkungan AppContainer mencegah aplikasi memengaruhi antarmuka aplikasi lain.