它不像一般SandBox是透過模擬一個環境來隔離程序,它是透過控制了程序的權限,讓程序只能在電腦中的特定範圍(受控制範圍)中活動,如果有惡意行為的話,因為權限不足而無法對電腦進行破壞。
由於是透過Windows的權限設計,所以AccessSandBox本身並不需要任何的驅動程式,也不需進Ring0,僅透過安裝一個Service跟呼叫Windows權限相關API來進行控制。
目前的設計分成三種權限控制的層級:
- High Level:高度限制程序的權限,包括 降低Integrity Level為Low 、程序的UI權限將受到控制
- Normal Level:一般權限控制,程序的UI權限將受到控制
- Low Level:程序的UI權限將不會受到控制
High Level
Normal Level
Low Level
No comments:
Post a Comment