Informationen zur AppContainer-Isolation

Isolation ist das primäre Ziel einer AppContainer-Ausführungsumgebung. Durch das Isolieren einer Anwendung von nicht benötigten Ressourcen und anderen Anwendungen werden die Möglichkeiten für böswillige Manipulationen minimiert. Das Gewähren des Zugriffs basierend auf den geringsten Rechten verhindert, dass Anwendungen und Benutzer auf Ressourcen zugreifen, die über ihre Rechte hinausgehen. Die Steuerung des Zugriffs auf Ressourcen schützt den Prozess, das Gerät und das Netzwerk.

Die meisten Sicherheitsrisiken in Windows beginnen mit der Anwendung. Einige häufige Beispiele sind eine Anwendung, die aus ihrem Browser ausbricht oder ein fehlerhaftes Dokument an das Internet Explorer sendet, sowie die Nutzung von Plug-Ins, z. B. Flash. Je mehr diese Anwendungen in einem AppContainer isoliert werden können, desto sicherer sind das Gerät und die Ressourcen. Selbst wenn das Sicherheitsrisiko in einer App ausgenutzt wird, kann die App nicht auf Ressourcen zugreifen, die über das hinausgehen, was dem AppContainer gewährt wird. Schädliche Apps können den Rest des Computers nicht übernehmen.

Isolation von Anmeldeinformationen

Durch die Verwaltung von Identitäten und Anmeldeinformationen verhindert der AppContainer die Verwendung von Benutzeranmeldeinformationen, um Zugriff auf Ressourcen zu erhalten oder sich bei anderen Umgebungen anzumelden. Die AppContainer-Umgebung erstellt einen Bezeichner, der die kombinierten Identitäten des Benutzers und der Anwendung verwendet, damit die Anmeldeinformationen für jeden Benutzer und jede Anwendung eindeutig sind und die Anwendung nicht die Identität des Benutzers annehmen kann.

Geräteisolierung

Das Isolieren der Anwendung von Geräteressourcen wie passiven Sensoren (Kamera, Mikrofon, GPS) und Geldpumpen (3G/4G, Telefon wählen) durch die AppContainer-Umgebung verhindert, dass die Anwendung das Gerät böswillig ausnutzt. Diese Ressourcen sind standardmäßig blockiert und können bei Bedarf Zugriff erhalten. In einigen Fällen werden diese Ressourcen durch "Broker" weiter geschützt. Einige Ressourcen, z. B. Tastatur und Maus, stehen für den AppContainer und die residente Anwendung immer zur Verfügung.

Dateiisolation

Die AppContainer-Umgebung steuert den Datei- und Registrierungszugriff und verhindert, dass die Anwendung Dateien ändert, die sie nicht ändern sollte. Lese-/Schreibzugriff kann bestimmten persistenten Dateien und Registrierungsschlüsseln gewährt werden. Schreibgeschützter Zugriff ist weniger eingeschränkt. Eine Anwendung hat immer Zugriff auf die speicherresidenten Dateien, die speziell für diesen AppContainer erstellt wurden.

Netzwerkisolation

Durch Das Isolieren der Anwendung aus Netzwerkressourcen, die über die speziell zugewiesenen Ressourcen hinausgehen, verhindert AppContainer, dass die Anwendung ihre Umgebung "entweicht" und Netzwerkressourcen böswillig ausnutzt. Präziser Zugriff kann für Internetzugriff, Intranetzugriff und Serverfunktion gewährt werden.

Prozessisolation

Die AppContainer-Umgebung verhindert, dass die Anwendung andere Anwendungsprozesse beeinflusst oder von ihnen beeinflusst wird. Dadurch wird verhindert, dass eine ordnungsgemäß enthaltene Anwendung im Falle einer Ausnahme andere Prozesse beschädigt.

Fensterisolation

Wenn die Anwendung von anderen Fenstern getrennt wird, verhindert die AppContainer-Umgebung, dass sich die Anwendung auf andere Anwendungsschnittstellen auswirkt.