Isolamento dell'applicazione

Isolamento dell'app Win32

L'isolamento delle app Win32 è una funzionalità di sicurezza progettata per essere lo standard di isolamento predefinito nei client Windows. È basato su AppContainer e offre diverse funzionalità di sicurezza aggiuntive per aiutare la piattaforma Windows a difendersi dagli attacchi che usano vulnerabilità nelle applicazioni o nelle librerie di terze parti. Per isolare le applicazioni, gli sviluppatori possono aggiornarle usando Visual Studio.

L'isolamento dell'app Win32 segue un processo in due passaggi:

• Nel primo passaggio, l'applicazione Win32 viene avviata come processo a bassa integrità usando AppContainer, riconosciuto come limite di sicurezza da Windows. Il processo è limitato a un set specifico di API windows per impostazione predefinita e non è in grado di inserire codice in qualsiasi processo che opera a un livello di integrità superiore
• Nel secondo passaggio, il privilegio minimo viene applicato concedendo l'accesso autorizzato agli oggetti a protezione diretta di Windows. Questo accesso è determinato dalle funzionalità aggiunte al manifesto dell'applicazione tramite la creazione di pacchetti MSIX. Gli oggetti a protezione diretta in questo contesto si riferiscono alle risorse di Windows il cui accesso è tutelato dalle funzionalità. Queste funzionalità consentono l'impianto di un elenco di Controllo di accesso discrezionali in Windows

Per garantire che le applicazioni isolate vengano eseguite senza problemi, gli sviluppatori devono definire i requisiti di accesso per l'applicazione tramite dichiarazioni di funzionalità di accesso nel manifesto del pacchetto dell'applicazione. Application Capability Profiler (ACP) semplifica l'intero processo consentendo l'esecuzione dell'applicazione in modalità Learn con privilegi bassi. Invece di negare l'accesso se la funzionalità non è presente, ACP consente l'accesso e registra le funzionalità aggiuntive necessarie per l'accesso se l'applicazione deve essere eseguita isolata.

Per creare un'esperienza utente uniforme che si allinea con applicazioni Win32 native nonsolate, è necessario prendere in considerazione due fattori chiave:

• Approcci per l'accesso ai dati e alle informazioni sulla privacy
• Integrazione di app Win32 per la compatibilità con altre interfacce di Windows

Il primo fattore riguarda l'implementazione di metodi per gestire l'accesso ai file e alle informazioni sulla privacy all'interno e all'esterno del limite di isolamento AppContainer. Il secondo fattore prevede l'integrazione di app Win32 con altre interfacce di Windows in modo da consentire funzionalità semplici senza causare richieste di consenso utente perplessi.

Ulteriori informazioni

• Panoramica dell'isolamento dell'app Win32
• Application Capability Profiler (ACP)
• Creazione del pacchetto di un'applicazione di isolamento dell'app Win32 con Visual Studio
• Sandboxing di Python con l'isolamento dell'app Win32

Contenitori di app

Oltre alle Sandbox di Windows per le app Win32, le applicazioni piattaforma UWP (Universal Windows Platform) (UWP) vengono eseguite in contenitori windows noti come contenitori di app. I contenitori di app fungono da limiti di isolamento dei processi e delle risorse, ma a differenza dei contenitori Docker, si tratta di contenitori speciali progettati per eseguire applicazioni Windows.

I processi eseguiti nei contenitori di app funzionano a basso livello di integrità, ovvero hanno accesso limitato alle risorse di cui non sono proprietari. Poiché il livello di integrità predefinito della maggior parte delle risorse è il livello di integrità medio, l'app UWP può accedere solo a un subset del file system, del Registro di sistema e di altre risorse. Il contenitore di app applica anche restrizioni alla connettività di rete. Ad esempio, l'accesso a un host locale non è consentito. Di conseguenza, il malware o le app infette hanno un footprint limitato per la fuga.

Ulteriori informazioni

• Contenitore windows e app

Sandbox di Windows

Sandbox di Windows offre un ambiente desktop leggero per eseguire in modo sicuro applicazioni Win32 non attendibili in isolamento, usando la stessa tecnologia di virtualizzazione basata su hardware di Hyper-V. Qualsiasi app Win32 non attendibile installata in Sandbox di Windows rimane solo nella sandbox e non può influire sull'host.

Una volta chiuso Sandbox di Windows, non viene mantenuto nulla nel dispositivo. Tutto il software con tutti i file e lo stato vengono eliminati definitivamente dopo la chiusura dell'applicazione Win32 non attendibile.

Ulteriori informazioni

• Sandbox di Windows

Sottosistema di Windows per Linux (WSL)

Con sottosistema Windows per Linux (WSL) è possibile eseguire un ambiente Linux in un dispositivo Windows, senza la necessità di una macchina virtuale separata o di un doppio avvio. WSL è progettato per offrire un'esperienza facile e produttiva per gli sviluppatori che vogliono usare contemporaneamente Windows e Linux.

Novità di Windows 11 versione 24H2

• Il firewall Hyper-V è una soluzione firewall di rete che consente di filtrare il traffico in ingresso e in uscita da/verso contenitori WSL ospitati da Windows
• Il tunneling DNS è un'impostazione di rete che migliora la compatibilità in ambienti di rete diversi, usando le funzionalità di virtualizzazione per ottenere informazioni DNS anziché un pacchetto di rete
• Il proxy automatico è un'impostazione di rete che impone a WSL di usare le informazioni del proxy HTTP di Windows. Attivare quando si usa un proxy in Windows, in quanto tale proxy viene applicato automaticamente alle distribuzioni WSL

Queste funzionalità possono essere configurate usando una soluzione di gestione dei dispositivi, ad esempio Microsoft Intune^[7]. Microsoft Defender per endpoint (MDE) si integra con WSL, consentendo di monitorare le attività all'interno di una distribuzione WSL e segnalarle ai dashboard di MDE.

Ulteriori informazioni

• Hyper-V Firewall
• DNS Tunneling
• Proxy automatico
• impostazione Intune per WSL
• plug-in Microsoft Defender per endpoint per WSL

Enclave di sicurezza basati sulla virtualizzazione

Un enclave di sicurezza basato su virtualizzazione è un ambiente di esecuzione attendibile basato su software (TEE) all'interno di un'applicazione host. Gli enclave VBS consentono agli sviluppatori di usare VBS per proteggere i segreti dell'applicazione da attacchi a livello di amministratore.

Gli enclave VBS sono disponibili a partire da Windows 11 versione 24H2 e Windows Server 2025 su x64 e ARM64.

Ulteriori informazioni

• Enclave di sicurezza basato sulla virtualizzazione