Během konference Build 2023 Microsoft uvedl, že k chystaným novinkám ve Windows patří izolace klasických programů pro prostředí Win32. V červnu začalo veřejné testování téhle funkce, tak si ji pojďme přiblížit. Z bezpečnostního hlediska půjde o jednu z nejvýznamnějších novinek za poslední roky.
Minimálně jde o zajímavý filozofický obrat. Letité prostředí kromě dlouhodobé kompatibility nevyhnutelně přináší spoustu bezpečnostních problémů. Redmondští se s nimi pokusili vypořádat vytyčením de facto eliminace tohoto prostředí. Windows 8 nabídly první generaci tzv. moderních aplikací a UWP.
Microsoft se tvářil, že ty představují budoucnost. Dokonce hned uvedl variantu operačního systému, kde instalaci klasických programů zabránil. Windows RT ovšem mátly zevnějškem a šlo o jasný neúspěch. Redmondský gigant pak něco podobného zkusil posléze znovu, když klasické programy zakázal ve Windows 10 S.
Microsoft ukazuje koncept žádosti programu o přístup. Zrovna soubory ale explicitně schvalovat nebudeme
Po neúspěšných pokusech je jasné, že publikum od Windows očekává, že v nich poběží běžné programy pro Windows. Tentokrát tak Microsoft nechce klasické programy z rovnice vyškrtnout, místo toho se je snaží učinit bezpečnějšími. Izolace, kterou nabídnou Jedenáctky, staví zejména na technologii AppContainer.
Jestli vám to připadá povědomé, tak zcela oprávněně. Klasické programy pro prostředí Win32 totiž do kontejnerů měly uzavřít Windows 10X. Tenhle systém nakonec světlo světa nespatřil, ale některé nápady z něj Microsoft zužitkoval ve Windows 11, především nabídku Start, rychlé nastavení a kulaté rohy. Teď se uchyluje k dalšímu nápadu z této éry.
Konec přístupu skoro kamkoli
Izolace programů ve Windows 11 bezpečnost zvyšuje tím, že omezuje možný negativní dopad na zabezpečení systému v momentě, kdy dojde ke kompromitování běžícího programu. V tomto pojetí už program nezískává paušálně přístup takřka kamkoli. Právě naopak, přístup dostane jen tam, kam potřebuje – a když mu ho povolíte.
Bavíme se o přístupu k hardwaru, souborům, registru, sítím nebo jiným programům. To v praxi znamená, že programy odstíněné kontejnerem se začnou chovat podobně jako aplikace na mobilech, které rovněž žádají o přístup tam, kam zrovna potřebují.
Po spuštění program běží v režimu se značně omezeným přístupem do prostředí Windows. Má tedy přístup jen k omezenému počtu API. To je ten zásadní rozdíl oproti současnému stavu, který prozrazuje stáří architektury Windows (a které se kvůli kompatibilitě nechceme vzdát).
Izolace tvoří jednu z více vrstev ochrany
Bez izolace platí, že program přebírá oprávnění od uživatelského účtu. To útočníkovi zjednodušuje situaci, protože jeho pole je relativně málo omezené. Navíc se spousta lidí nehodlá omezovat, případně rolím v systému nerozumí, takže automaticky používá účet se správcovským oprávněním. Na problém je zaděláno hned v zárodku. Izolace omezuje operační pole programu, čímž přirozeně a výrazně redukuje možnosti útočníka, kam by mohl zasáhnout.
Rozhodně nebude moct vložit škodlivý kód do citlivých systémových procesů. Musel by využít specifickou díru v tom bodě systému, ke které bude mít program oprávnění. A takových bodů bude výrazně méně. Není to tak, že by izolace představovala všespásné řešení, takové neexistuje. Bezpečnost ale posílí výrazně, pokud se prosadí.
Potenciál musí využít výrobci softwaru
Microsoft otevřeně říká, že s novou bezpečnostní funkcí počítá jako s novým standardem izolace programů ve Windows. Nepůjde to ale samo. Izolaci totiž na své straně musí implementovat tvůrce programu. Dokumentaci najdete na Githubu.
Udělování oprávnění má vedlejší efekt v tom, že víte, kam si program chce sáhnout. Kdyby chtěl sáhnout někam, kam by dle deklarované funkcionality sahat nemusel, naznačí vám to potenciální zlý úmysl.
Jakákoli ochrana musí být komplexní, aby byla robustní. Izolace představuje jen jednu vrstvu, další je Smart App Control, které jsme se dočkali ve Windows 11 22H2. Jejím úkolem je zamezit v běhu programům, které nejsou důvěryhodné.
Programy musí o povolení žádat, ne vždy explicitně
Obecně se tedy Microsoft snaží o to, aby v počítači běžely jen důvěryhodné programy. Ty má proti možnému zneužití držet v bezpečné vzdálenosti od ostatních součástí systému izolace programů. Na široké nasazení si zřejmě počkáme. Nedávno začal veřejný test technologie a i po jeho skončení lze předpokládat, že ne všichni výrobci softwaru zareagují rychle.
Klíčové bude, jak je Microsoft motivuje, respektive jak je bude nutit do použití technologie. Pokud nechá izolaci jako volitelnou funkci, řada programů je nejspíš bude ignorovat. Jeden z dokumentů na Githubu napovídá, že izolace je momentálně podporována ve Windows 11 Insider Preview v kanále Canary. Izolaci čeká dlouhá cesta s nejistým výsledkem.
Nezmást a neumlátit uživatele
Microsoft si uvědomuje, že příliš mnoho žádostí o přístup není automaticky výhra. Jde také o to, aby vás nezmátly. K citlivým zařízením jako mikrofon nebo webkamera si program bude muset přístup vyžádat. Lze předpokládat, že většina lidí pochopí, co program požaduje.
Úplně všechno nebudete muset schvalovat osobně, to by bylo kontraproduktivní. Víme, jak příliš časté dotazy Řízení uživatelských účtů otupily uživatelky a uživatele ve Windows Vista.
Izolovaný program může chtít přístup ke knihovnám .NET nebo chráněným klíčům v registru. Microsoft přiznává, že případný dotaz na přístup do registru by nejspíš většinu lidí akorát zmátl. Aby se vás nemusel dotazovat, sází Redmondští na virtualizaci. Program tudíž nebude mít přímý přístup k těmto souborům nebo klíčům, přitom ale bude moct normálně fungovat.
Abyste nemuseli schvalovat přístup ke každému souboru zvlášť, výběr souboru skrze systémový dialog se bude vnímat jako povolení přístupu programu k tomuto konkrétnímu souboru. Soubor jste vybrali, takže se bude předpokládat, že chcete, aby s ním program pracoval. Sám od sebe si ale na vaše osobní soubory už nesáhne.
Zdroje: Microsoft Learn | win32-app-isolation / Github | Windows Developer Blog
Windows 11 se přiblíží mobilním systémům. Programy poběží izolovaně, takže neudělají paseku - Živě.cz
Read More
No comments:
Post a Comment