Microsoft onthulde in mei een nieuwe beveiligingsfunctie voor Windows 11, waarmee Windows-applicaties in geïsoleerde sandbox-omgevingen kunnen worden uitgevoerd voor verbeterde beveiliging. Nu weten we iets meer over hoe dat gaat werken.
Microsoft is begonnen met de openbare preview voor “Win32 app-isolatie”, die bedoeld is om een beschermingslaag te bieden tegen zero-day-kwetsbaarheden en andere potentiële beveiligingsfuncties. Microsoft legde in een blogpost uit: “Win32-app-isolatie bereikt zijn doel om de impact te beperken (in het geval dat apps worden gecompromitteerd) door apps met weinig rechten uit te voeren, wat een aanval in meerdere stappen vereist om uit de container te breken. Aanvallers moeten zich richten op een specifieke mogelijkheid of kwetsbaarheid, vergeleken met brede toegang en aangezien de aanval gericht moet zijn op een specifieke kwetsbaarheid, kunnen mitigatiepatches snel worden toegepast, waardoor de houdbaarheid van de aanval wordt verkort.”
App-isolatie lijkt veel op Snap- of Flatpak-applicaties op desktop Linux, en tot op zekere hoogte op de standaardrechtenstructuur op macOS. Applicaties kunnen beginnen met enkele machtigingen wanneer ze zijn geïnstalleerd, en ze kunnen meer vragen als dat nodig is. Toegang tot de camera, microfoon, locatie, afbeeldingen, bestanden en mappen wordt geblokkeerd zonder toestemming van de gebruiker. Geïsoleerde apps hebben ook beperkte toegang tot het Windows-register. Apps kunnen toestemming vragen voor specifieke bestanden en mappen, en als de gebruiker toegang verleent, worden de bestanden geleverd via een sandbox-bestandssysteem dat het Windows Brokering File System (BFS) wordt genoemd.
Dat klinkt allemaal geweldig, aangezien er veel apps zijn die geen volledige toegang tot uw pc nodig hebben, en het blokkeren van onnodige machtigingen zou zowel de privacy als de beveiliging verbeteren. Microsoft heeft echter duidelijk gemaakt dat dit niet automatisch voor alle software wordt ingeschakeld. Dit is een opt-in-maatregel die enige aanpassing van de applicatie-ontwikkelaar vereist, in tegenstelling tot apps op macOS, die een machtigingsmodel afdwingen voor bestandstoegang en andere functies voor alle software.
Microsoft heeft betere indicatoren ontwikkeld voor toepassingen die gevoelige gegevens gebruiken, zoals de camera- en VPN-statuspictogrammen op Windows 11, maar het zou leuk geweest zijn als app-isolatie over de hele linie was ingeschakeld. Dat is misschien gewoon niet mogelijk met de huidige structuur van Windows, vooral wanneer het handhaven van compatibiliteit met tientallen jaren oude software een vereiste is voor zakelijke klanten.
Bron: Windows-blog
