Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Izolacja jest głównym celem środowiska wykonawczego AppContainer. Dzięki izolowaniu aplikacji z niepotrzebnych zasobów i innych aplikacji można zminimalizować możliwości złośliwego manipulowania. Udzielanie dostępu na podstawie najniższych uprawnień uniemożliwia aplikacjom i użytkownikom uzyskiwanie dostępu do zasobów poza ich prawami. Kontrolowanie dostępu do zasobów chroni proces, urządzenie i sieć.
Większość luk w zabezpieczeniach w systemie Windows rozpoczyna się od aplikacji. Niektóre typowe przykłady obejmują wyłamywanie się aplikacji z przeglądarki lub wysyłanie nieprawidłowego dokumentu do przeglądarki, a także wykorzystywanie wtyczek i rozszerzeń. Tym bardziej te aplikacje można odizolować w aplikacji AppContainer, tym bezpieczniejsze są urządzenia i zasoby. Nawet jeśli luka w zabezpieczeniach aplikacji zostanie wykorzystana, aplikacja nie może uzyskać dostępu do zasobów poza tym, co zostało przyznane aplikacji AppContainer. Złośliwe aplikacje nie mogą przejąć reszty maszyny.
Izolacja poświadczeń
Zarządzanie tożsamościami i poświadczeniami— aplikacja AppContainer uniemożliwia korzystanie z poświadczeń użytkownika w celu uzyskania dostępu do zasobów lub logowania się do innych środowisk. Środowisko AppContainer tworzy identyfikator, który używa połączonych tożsamości użytkownika i aplikacji, dlatego poświadczenia są unikatowe dla każdego użytkownika/aplikacji parowania, a aplikacja nie może personifikować użytkownika.
Izolacja urządzenia
Izolowanie aplikacji z zasobów urządzeń, takich jak czujniki pasywne (aparat, mikrofon, GPS) i pompy pieniężne (3G/4G, telefon telefoniczny) środowisko AppContainer uniemożliwia aplikacji złośliwe wykorzystanie urządzenia. Te zasoby są domyślnie blokowane i mogą mieć dostęp w razie potrzeby. W niektórych przypadkach te zasoby są dodatkowo chronione przez "brokerów". Niektóre zasoby, takie jak klawiatura i mysz, są zawsze dostępne dla aplikacji AppContainer i rezydenta.
Izolacja plików
Kontrolowanie dostępu do plików i rejestru, środowisko AppContainer uniemożliwia aplikacji modyfikowanie plików, których nie powinno. Dostęp do odczytu i zapisu można udzielić określonym plikom trwałym i kluczom rejestru. Dostęp tylko do odczytu jest mniej ograniczony. Aplikacja zawsze ma dostęp do plików rezydentnych pamięci utworzonych specjalnie dla tej aplikacji AppContainer.
Izolacja sieci
Izolowanie aplikacji z zasobów sieciowych poza tymi, które zostały przydzielone, aplikacja AppContainer uniemożliwia aplikacji "ucieczkę" środowiska i złośliwe wykorzystanie zasobów sieciowych. Dostęp szczegółowy można udzielić dla dostępu do Internetu, dostępu do intranetu i działania jako serwer.
Izolacja procesów
Piaskownica obiektów jądra aplikacji, środowisko AppContainer uniemożliwia aplikacji wywieranie wpływu na inne procesy aplikacji lub wpływa na nie. Zapobiega to uszkodzeniu innych procesów w przypadku wyjątku prawidłowo zawartej aplikacji.
Izolacja okna
Izolowanie aplikacji z innych okien, środowisko AppContainer uniemożliwia aplikacji wpływ na inne interfejsy aplikacji.