Am Puls von Microsoft

Für mehr Sicherheit: Klassische Windows-Programme können künftig in Containern laufen

Für mehr Sicherheit: Klassische Windows-Programme können künftig in Containern laufen

Windows-Entwickler können ihre Anwendungen in Zukunft sicherer gestalten, indem sie Win32-Applikationen in Container packen: Win32 App Isolation heißt die neue Funktion, die jetzt in den Testbetrieb gestartet ist.

Bei klassischen Windows-Programmen bestand schon immer das Problem, dass sie schwer bis gar nicht zu kontrollieren sind. Mit der Benutzerkontensteuerung führte Windows Vista eine wichtige Barriere ein, um zumindest die Ausführung mit Administratorrechten besser zu kontrollieren. Aber auch eine im normalen Benutzer-Kontext gestartete Anwendung hat weitgehende Rechte, sie hat etwa Zugriff auf alle persönlichen Dateien. Mir fällt oft auf, dass die Leute heutzutage zwar ein deutlich gesteigertes Sicherheitsbewusstsein haben, sich gleichzeitig aber nicht im Klaren darüber sind, dass ein Programm auch ohne Administratorrechte erhebliches Missbrauchspotenzial hat.

In den vergangenen Jahren hat Microsoft daher viel in die Absicherung von Windows-Anwendungen investiert, sei es durch Sandbox-Technologien, Verbesserungen beim Microsoft Defender oder die im letzten Jahr eingeführte Sicherheitsfunktion Smart App Control.

Mit Win32 App Isolation soll nun die nächste Evolutionsstufe gezündet werden. Microsoft schreibt in der Ankündigung, dass diese Isolierung auf Basis der AppContainer der neue Sicherheitsstandard unter Windows werden soll.

Wie es der Name schon sagt, wird jede Anwendung in einer isolierten Umgebung ausgeführt und ihr wird genau “auf die Finger geschaut”. Der Zugriff auf persönliche Dateien und andere sensible Daten und Informationen ist nur mit expliziter Zustimmung des Anwenders möglich. Derzeit kann man unter Windows 11 den Zugriff etwa auf Kamera und Mikrofon für Win32 Anwendungen nur generell zulassen oder verbieten. Wenn ein Programm die Win32 App Isolation nutzt, können die Berechtigungen für diese Anwendung gezielt festgelegt werden.

Die restriktive Ausführung birgt logischerweise das Risiko, dass eine Anwendung nicht mehr korrekt funktioniert. Entwickler haben daher die Möglichkeit, ihre Programme in einem “Lernmodus” auszuführen, der alle erforderlichen Zugriffe und Berechtigungen protokolliert.

Die Win32 App Isolation steht als Public Preview zur Verfügung, Entwickler finden im Blogpost und auf GitHub weitere Informationen.

Über den Autor

Martin Geuß

Martin Geuß

Ich bin Martin Geuß, und wie unschwer zu erkennen ist, fühle ich mich in der Windows-Welt zu Hause. Seit mehr als 17 Jahren lasse ich die Welt an dem teilhaben, was mir zu Windows und anderen Microsoft-Produkten durch den Kopf geht, und manchmal ist das sogar interessant. Das wichtigste Motto meiner Arbeit lautet: Von mir - für Euch!

Anzeige