Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Isolation ist das primäre Ziel einer AppContainer-Ausführungsumgebung. Durch isolieren einer Anwendung von nicht benötigten Ressourcen und anderen Anwendungen werden Möglichkeiten für böswillige Manipulationen minimiert. Die Gewährung des Zugriffs auf der Grundlage der geringsten Rechte verhindert, dass Anwendungen und Benutzer über ihre Rechte hinaus auf Ressourcen zugreifen. Die Steuerung des Zugriffs auf Ressourcen schützt den Prozess, das Gerät und das Netzwerk.
Die meisten Sicherheitsrisiken in Windows beginnen mit der Anwendung. Einige gängige Beispiele sind eine Anwendung, die aus dem Browser herausbricht oder ein schlechtes Dokument an den Browser sendet, sowie die Nutzung von Plug-Ins und Erweiterungen. Je mehr diese Anwendungen in einem AppContainer isoliert werden können, desto sicherer sind das Gerät und die Ressourcen. Selbst wenn die Sicherheitsanfälligkeit in einer App ausgenutzt wird, kann die App nicht auf Ressourcen zugreifen, die dem AppContainer gewährt werden. Schädliche Apps können den Rest des Computers nicht übernehmen.
Anmeldeinformationsisolation
Das Verwalten von Identitäten und Anmeldeinformationen verhindert appContainer die Verwendung von Benutzeranmeldeinformationen, um Zugriff auf Ressourcen zu erhalten oder sich bei anderen Umgebungen anzumelden. Die AppContainer-Umgebung erstellt einen Bezeichner, der die kombinierten Identitäten des Benutzers und der Anwendung verwendet, sodass Anmeldeinformationen für jede Benutzer-/Anwendungspaarung eindeutig sind und die Anwendung die Identität des Benutzers nicht imitieren kann.
Geräteisolation
Das Isolieren der Anwendung von Geräteressourcen, z. B. passive Sensoren (Kamera, Mikrofon, GPS) und Geldpumpen (3G/4G, Wähltelefon), verhindert die AppContainer-Umgebung, dass die Anwendung das Gerät böswillig ausnutzt. Diese Ressourcen werden standardmäßig blockiert und können bei Bedarf Zugriff erhalten. In einigen Fällen werden diese Ressourcen durch "Broker" weiter geschützt. Einige Ressourcen, z. B. Tastatur und Maus, sind immer für den AppContainer und die residente Anwendung verfügbar.
Dateiisolation
Durch die Steuerung des Datei- und Registrierungszugriffs verhindert die AppContainer-Umgebung, dass die Anwendung nicht zu ändernde Dateien ändert. Lese-/Schreibzugriff kann bestimmten persistenten Dateien und Registrierungsschlüsseln gewährt werden. Schreibgeschützter Zugriff ist weniger eingeschränkt. Eine Anwendung hat immer Zugriff auf die speicherresidenten Dateien, die speziell für diesen AppContainer erstellt wurden.
Netzwerkisolation
Das Isolieren der Anwendung von Netzwerkressourcen über die speziell zugewiesenen Ressourcen hinaus verhindert AppContainer, dass die Anwendung seine Umgebung "entkapselt" und netzwerkressourcen böswillig ausnutzt. Granularer Zugriff kann für Internetzugriff, Intranetzugriff und als Server gewährt werden.
Prozessisolation
Das Sandkastening der Anwendungskernobjekte, die AppContainer-Umgebung verhindert, dass die Anwendung andere Anwendungsprozesse beeinflusst oder von ihnen beeinflusst wird. Dadurch wird verhindert, dass eine ordnungsgemäß enthaltene Anwendung andere Prozesse im Falle einer Ausnahme beschädigt.
Fensterisolation
Durch das Isolieren der Anwendung aus anderen Fenstern verhindert die AppContainer-Umgebung, dass sich die Anwendung auf andere Anwendungsschnittstellen auswirkt.