Αυτός είναι ο τρόπος με τον οποίο τα Windows 11 θα Sandbox εφαρμογές για καλύτερη ασφάλεια

Η

Microsoft

αποκάλυψε μια νέα δυνατότητα ασφαλείας τον Μάιο που έρχεται στα

Windows 11

, η οποία θα επέτρεπε στις εφαρμογές των

Windows

να εκτελούνται σε απομονωμένα περιβάλλοντα sandbox για βελτιωμένη ασφάλεια. Τώρα ξέρουμε λίγα περισσότερα για το πώς θα λειτουργήσει.

Η Microsoft ξεκίνησε τη δημόσια προεπισκόπηση για την “Απομόνωση εφαρμογών Win32”, η οποία προορίζεται να παρέχει ένα επίπεδο προστασίας από τρωτά σημεία μηδενικής ημέρας και άλλες πιθανές δυνατότητες ασφαλείας. Η Microsoft εξήγησε σε μια ανάρτηση ιστολογίου, «Η απομόνωση εφαρμογών Win32 επιτυγχάνει τον στόχο της να περιορίσει τον αντίκτυπο (σε περίπτωση που οι εφαρμογές διακυβεύονται) εκτελώντας εφαρμογές με χαμηλά προνόμια, οι οποίες απαιτούν μια επίθεση πολλαπλών βημάτων για να βγει από το κοντέινερ. Οι επιτιθέμενοι πρέπει να στοχεύουν σε μια συγκεκριμένη ικανότητα ή ευπάθεια, σε σύγκριση με την ευρεία πρόσβαση και δεδομένου ότι η επίθεση πρέπει να κατευθύνεται σε μια συγκεκριμένη ευπάθεια, μπορούν να εφαρμοστούν γρήγορα διορθώσεις μετριασμού, μειώνοντας τη διάρκεια ζωής της επίθεσης».

Η απομόνωση εφαρμογών μοιάζει πολύ με τις εφαρμογές Snap ή Flatpak σε επιτραπέζιους υπολογιστές Linux και, σε κάποιο βαθμό, με την προεπιλεγμένη δομή αδειών στο

macOS

. Οι εφαρμογές μπορούν να ξεκινήσουν με ορισμένα δικαιώματα όταν εγκατασταθούν και μπορούν να ζητήσουν περισσότερα ανάλογα με τις ανάγκες. Η πρόσβαση στην κάμερα, το μικρόφωνο, την τοποθεσία, τις εικόνες, τα αρχεία και τους φακέλους είναι αποκλεισμένη χωρίς την άδεια του χρήστη. Οι απομονωμένες εφαρμογές έχουν επίσης περιορισμένη πρόσβαση στο μητρώο των Windows. Οι εφαρμογές μπορούν να ζητήσουν άδεια για συγκεκριμένα αρχεία και φακέλους και εάν ο χρήστης παραχωρήσει πρόσβαση, τα αρχεία παρέχονται μέσω ενός συστήματος αρχείων sandbox που ονομάζεται Windows Brokering File System (BFS).

Όλα αυτά ακούγονται υπέροχα, καθώς υπάρχουν πολλές εφαρμογές που δεν χρειάζονται πλήρη πρόσβαση στον υπολογιστή σας και ο αποκλεισμός τους από περιττές άδειες θα βελτίωνε τόσο το απόρρητο όσο και την ασφάλεια. Ωστόσο, η Microsoft κατέστησε σαφές ότι αυτό δεν θα ενεργοποιηθεί αυτόματα για όλο το λογισμικό. Αυτό είναι ένα μέτρο επιλογής που απαιτεί κάποια τροποποίηση από τον προγραμματιστή εφαρμογών — σε αντίθεση με τις εφαρμογές στο macOS, που επιβάλλουν ένα μοντέλο αδειών για πρόσβαση σε αρχεία και άλλες λειτουργίες για όλο το λογισμικό.

Η Microsoft έχει δημιουργήσει καλύτερους δείκτες για εφαρμογές που χρησιμοποιούν ευαίσθητα δεδομένα, όπως τα εικονίδια της κάμερας και της κατάστασης VPN στα Windows 11, αλλά θα ήταν ωραίο να είναι ενεργοποιημένη η απομόνωση εφαρμογών παντού. Αυτό μπορεί απλώς να μην είναι δυνατό με την τρέχουσα δομή των Windows — ειδικά όταν η διατήρηση της συμβατότητας με λογισμικό δεκαετιών είναι απαίτηση για εταιρικούς πελάτες.

Πηγή:

Ιστολόγιο των Windows