應用程式隔離

Win32 應用程式隔離

Win32 應用程式隔離是設計為 Windows 用戶端預設隔離標準的安全性功能。 其建置在 AppContainer上，並提供數個新增的安全性功能，可協助 Windows 平臺抵禦在應用程式或第三方連結庫中使用弱點的攻擊。 若要隔離其應用程式，開發人員可以使用Visual Studio加以更新。

Win32 應用程式隔離遵循兩個步驟的程式：

• 在第一個步驟中，Win32 應用程式會使用AppContainer以低完整性程序啟動，Windows 會將此程式辨識為安全性界限。 根據預設，此程式僅限於一組特定的 Windows API，且無法將程式代碼插入任何在較高完整性層級運作的進程
• 在第二個步驟中，會將 Windows 安全性實體對象的授權存取權授與最低許可權。 此存取取決於透過 MSIX 封裝新增至應用程式指令清單的功能。 此內容中的安全性實體物件是指其存取受到功能保護的 Windows 資源。 這些功能可讓您在 Windows 上擷取任意 存取控制 清單

為了協助確保隔離的應用程式順利執行，開發人員必須透過應用程式套件指令清單中的存取功能宣告來定義應用程式的存取需求。 應用程式功能分析工具 (ACP) 可讓應用程式以低許可權在學習模式中執行，以簡化整個程式。 如果功能不存在，ACP 會允許存取，並在應用程式要獨立執行時記錄存取所需的其他功能，而不是拒絕存取。

若要建立與無解析的原生 Win32 應用程式一致的順暢用戶體驗，應該考慮兩個主要因素：

• 存取數據和隱私權資訊的方法
• 整合 Win32 應用程式以與其他 Windows 介面相容

第一個因素是實作方法來管理隔離界限 AppContainer 內和外部檔案和隱私權資訊的存取權。 第二個因素是整合 Win32 應用程式與其他 Windows 介面，有助於啟用順暢的功能，而不會造成使用者同意提示。

瞭解更多資訊

• Win32 應用程式隔離概觀
• 應用程式功能分析工具 (ACP)
• 使用 Visual Studio 封裝 Win32 應用程式隔離應用程式
• 使用 Win32 應用程式隔離的沙箱化 Python

應用程式容器

除了 Win32 應用程式的 Windows 沙箱 之外，通用 Windows 平台 (UWP) 應用程式會在稱為應用程式容器的 Windows 容器中執行。 應用程式容器可作為進程和資源隔離界限，但不同於 Docker 容器，這些是專為執行 Windows 應用程式而設計的特殊容器。

在應用程式容器中執行的進程會以低完整性層級運作，這表示它們對於不擁有的資源存取權有限。 因為大部分資源的預設完整性層級都是中等完整性層級，所以 UWP 應用程式只能存取檔案系統、登錄和其他資源的子集。 應用程式容器也會強制執行網路連線的限制。 例如，不允許存取本機主機。 因此，惡意代碼或受感染的應用程式在逸出時的使用量有限。

瞭解更多資訊

• Windows 和應用程式容器

Windows 沙箱

Windows 沙箱 提供輕量型桌面環境，可使用與 Hyper-V 相同的硬體型虛擬化技術，安全地隔離執行不受信任的 Win32 應用程式。 安裝在 Windows 沙箱 中的任何不受信任 Win32 應用程式只會保留在沙盒中，而且不會影響主機。

關閉 Windows 沙箱 之後，裝置上就沒有任何內容。 關閉不受信任的 Win32 應用程式之後，所有具有其所有檔案和狀態的軟體都會永久刪除。

瞭解更多資訊

• Windows 沙箱

適用於 Linux 的 Windows 子系統 (WSL)

使用 Windows 子系統 Linux 版 (WSL) 您可以在 Windows 裝置上執行 Linux 環境，而不需要個別的虛擬機或雙重開機。 WSL 的設計目的是為想要同時使用 Windows 和 Linux 的開發人員提供順暢且具生產力的體驗。

Windows 11 版本 24H2 的新功能

• Hyper-V 防火牆 是一種網路防火牆解決方案，可對 Windows 裝載的 WSL 容器進行輸入和輸出流量的篩選
• DNS 通道 是一種網路設定，可改善不同網路環境中的相容性，並利用虛擬化功能來取得 DNS 資訊，而不是網路封包
• 自動 Proxy 是一種網路設定，可強制 WSL 使用 Windows 的 HTTP Proxy 資訊。 在 Windows 上使用 Proxy 時開啟 ，因為它會讓該 Proxy 自動套用至 WSL 散發套件

這些功能可以使用裝置管理解決方案來設定，例如 Microsoft Intune^[7]。 適用於端點的 Microsoft Defender (MDE) 與 WSL 整合，使其能夠監視 WSL 散發版本內的活動，並將其報告至 MDE 儀錶板。

瞭解更多資訊

• Hyper-V 防火牆
• DNS 通道
• 自動 Proxy
• WSL 的 Intune 設定
• 適用於 WSL 的 適用於端點的 Microsoft Defender 外掛程式

以虛擬化為基礎的安全性記憶體保護區

虛擬化型安全性記憶體保護區是軟體型信任執行環境， (主應用程式內的 TEE) 。 VBS 記憶體保護區可讓開發人員使用 VBS 來保護其應用程式的秘密，以防止系統管理員層級的攻擊。

從 x64 和 ARM64 的 Windows 11 版本 24H2 和 Windows Server 2025 開始，都提供 VBS 記憶體保護區。

瞭解更多資訊

• 虛擬化型安全性記憶體保護區