Win 11系统之家
Microsoft在 11 月份透露了一项新的安全功能,该功能将允许 Windows 应用程序在隔离的沙盒环境中运行,以增强安全性。现在我们对这将如何运作有了更多的了解。
Microsoft已经启动了“Win32 应用隔离”的公共预览版,该预览版旨在提供针对零日漏洞和其他潜在安全功能的保护层。Microsoft博客文章中解释的那样,“Win32 应用隔离通过以低权限运行应用来实现其限制影响(在应用遭到入侵的情况下)的目标,这需要多步骤攻击才能突破容器。与拥有广泛访问权限相比,攻击者必须针对特定的功能或漏洞,并且由于攻击必须针对特定漏洞,因此可以快速应用缓解补丁,从而缩短攻击的保质期。
应用程序隔离很像桌面Linux上的Snap或Flatpak应用程序,在某种程度上,是macOS上的默认权限结构。应用程序在安装时可以从一些权限开始,并且可以根据需要请求更多权限。未经用户许可,将阻止对摄像头、麦克风、位置、图像、文件和文件夹的访问。隔离的应用对 Windows 注册表的访问权限也有限。应用可以请求对特定文件和文件夹的权限,如果用户授予访问权限,则这些文件将通过称为 Windows 代理文件系统 (BFS) 的沙盒文件系统提供。
这一切听起来都很棒,因为有许多应用程序不需要完全访问您的 PC,并且阻止它们获得不必要的权限将提高隐私和安全性。但是,Microsoft明确表示,不会为所有软件自动启用此功能。这是一种选择加入措施,需要应用程序开发人员进行一些修改 – 与 macOS 上的应用程序不同,macOS 上的应用程序强制对所有软件的文件访问和其他功能使用权限模型。
Microsoft一直在为使用敏感数据的应用程序构建更好的指标,例如 Windows 11 上的相机和 VPN 状态图标,但很高兴看到全面启用应用程序隔离。对于Windows的当前结构来说,这可能是不可能的 – 特别是当保持与数十年前的软件的兼容性是企业客户的要求时。
