L'isolamento delle app Win32 è una nuova funzionalità di sicurezza che esegue le app Win32 in un contenitore con privilegi limitati per limitare l'accesso alle risorse di sistema e ai dati utente.
Microsoft ha annunciato una nuova caratteristica per Windows che aiuta a migliorare la sicurezza e la privacy delle app desktop e degli utenti del Sistema operativo. Gli sviluppatori possono già utilizzare gli strumenti forniti da Microsoft per configurare le proprie app per l'isolamento delle app Win32. La funzionalità è disponibile in anteprima pubblica.
Cos'è l'isolamento delle app Win32?
L'isolamento delle app Win32 è una nuova funzionalità di sicurezza basata su AppContainers, una tecnologia introdotta in Windows 8 per isolare e limitare l'esecuzione dei processi. Gli AppContainer sono progettati per garantire che le app funzionino con privilegi limitati, comunemente indicati come livelli di integrità bassi. Ciò significa che le app possono accedere solo alle risorse di cui hanno bisogno e che sono esplicitamente concesse dal sistema o dall'utente.
L'isolamento delle app Win32 aggiunge diverse funzionalità di sicurezza agli AppContainer, ad esempio:
- Una politica di negazione predefinita per l'accesso alla rete, il che significa che le app possono accedere alla rete solo se dichiarano una capacità specifica nel loro file manifest.
- Un criterio di negazione predefinito per l'accesso al file system, il che significa che le app possono accedere solo ai file e alle cartelle di cui hanno bisogno e sono esplicitamente concesse dal sistema o dall'utente.
- Un criterio di negazione predefinito per l'accesso al registro, il che significa che le app possono accedere solo alle chiavi e ai valori del registro di cui hanno bisogno e sono esplicitamente concesse dal sistema o dall'utente.
- Un criterio di negazione predefinito per l'accesso ai dispositivi, il che significa che le app possono accedere solo ai dispositivi di cui hanno bisogno e sono esplicitamente concesse dal sistema o dall'utente.
Eseguendo le app Win32 in un contenitore con privilegi limitati, l'isolamento delle app Win32 mira a raggiungere due obiettivi principali:
- Limita i danni: se un'app viene compromessa da un utente malintenzionato che sfrutta una vulnerabilità nell'app o in una libreria di terze parti, l'utente malintenzionato avrà un accesso limitato al sistema e ai dati dell'utente. L'attaccante dovrà eseguire un attacco in più passaggi per uscire dal contenitore e aumentare i propri privilegi. Ciò rende più difficile per l'attaccante causare danni e più facile per il sistema applicare le patch di mitigazione.
- Proteggi la privacy: se un'app viene eseguita con gli stessi privilegi dell'utente, può potenzialmente accedere alle informazioni dell'utente senza il suo consenso. Ciò comporta il rischio di accesso non autorizzato ai dati sulla privacy dell'utente da parte di malintenzionati. Eseguendo le app in un contenitore con privilegi limitati, l'isolamento delle app Win32 aiuta a salvaguardare le scelte di privacy dell'utente in caso di violazione.
Come funziona l'isolamento delle app Win32?
L'isolamento delle app Win32 è una nuova funzionalità di sicurezza progettata per essere lo standard di isolamento predefinito nei client Windows. È disponibile in anteprima pubblica per Windows 11 e Windows 10 versione 21H2 e successive.
Per isolare le proprie app, gli sviluppatori possono utilizzare gli strumenti forniti da Microsoft, come Visual Studio 2023 o MSIX Packaging Tool. Questi strumenti aiuteranno gli sviluppatori ad aggiornare i file manifest dell'app con le funzionalità e le dichiarazioni richieste per l'isolamento delle app Win32. Gli sviluppatori possono anche usare i comandi o le API di PowerShell per configurare le proprie app per l'isolamento delle app Win32.
Dopo che un'app è stata configurata per l'isolamento delle app Win32, verrà eseguita in un contenitore con privilegi limitati quando viene avviata dall'utente. Il sistema applicherà i criteri di negazione predefiniti per l'accesso alla rete, al file system, al registro e al dispositivo in base al file manifest dell'app. L'utente avrà anche un maggiore controllo sulla concessione o negazione delle autorizzazioni alle app isolate tramite impostazioni o prompt.
Per ulteriori informazioni sull'esperienza degli sviluppatori di isolamento delle app Win32, visita questa pagina GitHub.
Perché dovresti usare l'isolamento delle app Win32?
L'isolamento delle app Win32 è una nuova funzionalità di sicurezza che offre numerosi vantaggi a sviluppatori e utenti:
- Aiuta a migliorare la sicurezza delle app Win32 limitandone la superficie di attacco e riducendone l'impatto in caso di compromissione.
- Aiuta a proteggere la privacy degli utenti rispettando il loro consenso e le preferenze per l'accesso ai dati.
- Aiuta a migliorare le prestazioni delle app Win32 riducendo il consumo di risorse e l'interferenza con altri processi.
- Aiuta a semplificare la distribuzione e la gestione delle app Win32 utilizzando strumenti e formati standard come MSIX.
L'isolamento delle app Win32 fa parte della visione Microsoft di portare la potenza dell'intelligenza artificiale in Windows 11 e sbloccare una nuova era di produttività per clienti e sviluppatori, contribuendo a rendere Windows ancora più sicuro, privato e performante.
