Microsoft reveló una nueva función de seguridad en mayo para Windows 11, que permitiría que las aplicaciones de Windows se ejecuten en entornos de prueba aislados para una mayor seguridad. Ahora sabemos un poco más sobre cómo funcionará.
Microsoft ha lanzado la vista previa pública para el «aislamiento de la aplicación Win32», que tiene como objetivo proporcionar una capa de protección contra las vulnerabilidades de día cero y otras características de seguridad potenciales. Microsoft explicó en una publicación de blog: “El aislamiento de la aplicación Win32 logra su objetivo de limitar el impacto (en caso de que las aplicaciones se vean comprometidas) al ejecutar aplicaciones con pocos privilegios, lo que requiere un ataque de varios pasos para salir del contenedor. Los atacantes deben apuntar a una capacidad o vulnerabilidad específica, en lugar de tener un acceso amplio y dado que el ataque debe dirigirse a una vulnerabilidad específica, los parches de mitigación se pueden aplicar rápidamente, lo que reduce la vida útil del ataque”.
El aislamiento de aplicaciones se parece mucho a las aplicaciones Snap o Flatpak en el escritorio de Linux y, hasta cierto punto, a la estructura de permisos predeterminada en macOS. Las aplicaciones pueden comenzar con algunos permisos cuando se instalan y pueden solicitar más según sea necesario. El acceso a la cámara, el micrófono, la ubicación, las imágenes, los archivos y las carpetas está bloqueado sin el permiso del usuario. Las aplicaciones aisladas también tienen acceso limitado al Registro de Windows. Las aplicaciones pueden solicitar permiso para archivos y carpetas específicos, y si el usuario otorga acceso, los archivos se proporcionan a través de un sistema de archivos de espacio aislado llamado Windows Brokering File System (BFS).
Todo eso suena genial, ya que hay muchas aplicaciones que no necesitan acceso completo a su PC, y bloquearlas de permisos innecesarios mejoraría tanto la privacidad como la seguridad. Sin embargo, Microsoft dejó en claro que esto no se habilitará automáticamente para todo el software. Esta es una medida opcional que requiere algunas modificaciones por parte del desarrollador de la aplicación, a diferencia de las aplicaciones en macOS, que imponen un modelo de permisos para el acceso a archivos y otras funciones para todo el software.
Microsoft ha estado creando mejores indicadores para las aplicaciones que usan datos confidenciales, como la cámara y los íconos de estado de VPN en Windows 11, pero hubiera sido bueno ver el aislamiento de aplicaciones habilitado en todos los ámbitos. Eso podría no ser posible con la estructura actual de Windows, especialmente cuando mantener la compatibilidad con software de décadas de antigüedad es un requisito para los clientes corporativos.
Fuente: Blog de Windows