#security #windows-container
Вопрос:
Поскольку я задаю этот вопрос специалистам по Windows, я начну с краткого описания ситуации в Linux.
В Linux контейнеры реализуются пространствами имен ядра Linux и группами управления (в основном) и присутствуют во всех современных системах. Контейнеры позволяют запускать один процесс в ограниченной среде без дополнительных затрат процессора или необходимости установки дополнительного программного обеспечения (например, Docker) для виртуализации.
Контейнеры Linux позволяют точно контролировать доступ к сети, разрешения на чтение/запись/выполнение файловой системы, взаимодействие между процессами, использование ЦП и многое другое, что потенциально значительно снижает риски для безопасности. Любой дочерний процесс процесса contain(er)ed также будет ограничен. Несколько экземпляров программы могут запускаться в отдельном контейнере с различными ограничениями, например, веб-браузер с рабочим профилем, который может получить доступ только к нескольким рабочим папкам, и веб-браузер для частного использования, который может получить доступ только к другому списку папок. Никто из них не может убежать или просто передать «запрещенные» задачи другому процессу (!).
Вопрос: Предоставляет ли Windows такую же или аналогичную, гибкую и настраиваемую функциональность контейнера для собственных, неизмененных программ Windows?
Я знаю, что Windows поддерживает контейнеры Docker и виртуальные машины, которые, однако, являются совершенно разными вещами. Могу ли я запустить, например, MS Office в контейнере без Интернета, веб-браузер, который не может получить доступ ни к какой папке, кроме «Загрузки», средство просмотра PDF-файлов без доступа к Интернету или хосту сценариев Windows? Все это без использования исправлений на уровне драйверов или фильтрации (например, брандмауэра), которые можно каким-либо образом обойти с помощью контейнерного процесса с правами администратора (например, с помощью эксплойта EoP).
Такая функциональность, конечно, сделала бы невозможным большинство атак вымогателей, поэтому я предполагаю, что ее не существует — если только нет политической причины не включать ее, например, не желая препятствовать сбору и отправке статистических данных/данных отслеживания для коммерческого использования…
Однако это задумано как технический вопрос, а не политический.