Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Isolatie is het belangrijkste doel van een AppContainer-uitvoeringsomgeving. Door een toepassing te isoleren van overbodige resources en andere toepassingen, worden de mogelijkheden voor schadelijke manipulatie geminimaliseerd. Het verlenen van toegang op basis van minimale bevoegdheden voorkomt dat toepassingen en gebruikers toegang krijgen tot resources buiten hun rechten. Als u de toegang tot resources beheert, worden het proces, het apparaat en het netwerk beschermd.
De meeste beveiligingsproblemen in Windows beginnen met de toepassing. Enkele veelvoorkomende voorbeelden zijn een toepassing die uit de browser breekt of een slecht document naar de browser verzendt, evenals exploitatie van invoegtoepassingen en extensies. Hoe meer deze toepassingen kunnen worden geïsoleerd in een AppContainer, hoe veiliger het apparaat en de resources zijn. Zelfs als beveiligingsproblemen in een app worden misbruikt, heeft de app geen toegang tot resources die verder gaan dan wat aan de AppContainer wordt verleend. Schadelijke apps kunnen de rest van de computer niet overnemen.
Referentie-isolatie
Door de identiteit en referenties te beheren, voorkomt de AppContainer dat gebruikersreferenties worden gebruikt om toegang te krijgen tot resources of om u aan te melden bij andere omgevingen. De AppContainer-omgeving maakt een id die gebruikmaakt van de gecombineerde identiteiten van de gebruiker en de toepassing. Referenties zijn dus uniek voor elke gebruiker/toepassingskoppeling en de toepassing kan de gebruiker niet imiteren.
Apparaatisolatie
Het isoleren van de toepassing van apparaatbronnen, zoals passieve sensoren (camera, microfoon, GPS) en geldpompen (3G/4G, telefoon) in de AppContainer-omgeving voorkomt dat de toepassing het apparaat kwaadwillig misbruikt. Deze resources worden standaard geblokkeerd en kunnen indien nodig toegang krijgen. In sommige gevallen worden deze resources verder beschermd door 'brokers'. Sommige resources, zoals toetsenbord en muis, zijn altijd beschikbaar voor de AppContainer en de residente toepassing.
Bestandsisolatie
Door bestands- en registertoegang te beheren, voorkomt de AppContainer-omgeving dat de toepassing bestanden wijzigt die het niet mag. Lees-schrijftoegang kan worden verleend aan specifieke permanente bestanden en registersleutels. Alleen-lezentoegang is minder beperkt. Een toepassing heeft altijd toegang tot de geheugenbestanden die specifiek voor die AppContainer zijn gemaakt.
Netwerkisolatie
Door de toepassing te isoleren van netwerkbronnen die niet specifiek zijn toegewezen, voorkomt AppContainer dat de toepassing de omgeving kan 'ontsnappen' en kwaadwillend misbruik maakt van netwerkbronnen. Gedetailleerde toegang kan worden verleend voor internettoegang, intranettoegang en fungeren als een server.
Procesisolatie
Door de kernelobjecten van de toepassing in de sandbox te plaatsen, voorkomt de AppContainer-omgeving dat de toepassing invloed heeft op of wordt beïnvloed door andere toepassingsprocessen. Hierdoor voorkomt u dat een correct ingesloten toepassing andere processen kan beschadigen in het geval van een uitzondering.
Vensterisolatie
Door de toepassing te isoleren van andere vensters, voorkomt de AppContainer-omgeving dat de toepassing invloed heeft op andere toepassingsinterfaces.