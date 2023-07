Jestli vám to připadá povědomé, tak zcela oprávněně. Klasické programy pro prostředí Win32 totiž do kontejnerů měly uzavřít Windows 10X . Tenhle systém nakonec světlo světa nespatřil , ale některé nápady z něj Microsoft zužitkoval ve Windows 11, především nabídku Start, rychlé nastavení a kulaté rohy. Teď se uchyluje k dalšímu nápadu z této éry.

Konec přístupu skoro kamkoli

Izolace programů ve Windows 11 bezpečnost zvyšuje tím, že omezuje možný negativní dopad na zabezpečení systému v momentě, kdy dojde ke kompromitování běžícího programu. V tomto pojetí už program nezískává paušálně přístup takřka kamkoli. Právě naopak, přístup dostane jen tam, kam potřebuje – a když mu ho povolíte.

Bavíme se o přístupu k hardwaru, souborům, registru, sítím nebo jiným programům. To v praxi znamená, že programy odstíněné kontejnerem se začnou chovat podobně jako aplikace na mobilech, které rovněž žádají o přístup tam, kam zrovna potřebují.

Po spuštění program běží v režimu se značně omezeným přístupem do prostředí Windows. Má tedy přístup jen k omezenému počtu API. To je ten zásadní rozdíl oproti současnému stavu, který prozrazuje stáří architektury Windows (a které se kvůli kompatibilitě nechceme vzdát).



Izolace tvoří jednu z více vrstev ochrany

Bez izolace platí, že program přebírá oprávnění od uživatelského účtu. To útočníkovi zjednodušuje situaci, protože jeho pole je relativně málo omezené. Navíc se spousta lidí nehodlá omezovat, případně rolím v systému nerozumí, takže automaticky používá účet se správcovským oprávněním. Na problém je zaděláno hned v zárodku. Izolace omezuje operační pole programu, čímž přirozeně a výrazně redukuje možnosti útočníka, kam by mohl zasáhnout.

Rozhodně nebude moct vložit škodlivý kód do citlivých systémových procesů. Musel by využít specifickou díru v tom bodě systému, ke které bude mít program oprávnění. A takových bodů bude výrazně méně. Není to tak, že by izolace představovala všespásné řešení, takové neexistuje. Bezpečnost ale posílí výrazně, pokud se prosadí.