The host operating system running on the computing device monitors the network communication of the computing device to identify the network resources requested by the computing device. The host operating system compares the requested network resources with security policies to determine whether the requested network resources are trusted. When untrusted network resources are identified, the host operating system uses the techniques discussed herein to access untrusted network resources in containers isolated from the host operating system kernel. By restricting access to untrusted network resources to isolated containers, the host operating system is protected from even kernel-level attacks or infections that may be caused by untrusted network resources.
【技术实现步骤摘要】
【国外来华专利技术】基于硬件的虚拟化安全隔离
技术介绍
当用户浏览互联网到不受信任的网站或当他们下载或打开不受信任的网络资源(如应用和文档)时,通常会发生计算设备感染。这些感染允许攻击者窃取用户的凭证,甚至可以控制计算设备,将其改用于攻击者自己的目的。虽然用于抵抗这些内核级攻击的一种解决方案是关闭对计算设备的网络访问,但这严重限制了许多现代计算设备的功能。另外,在工作场所环境中,禁用网络访问会妨碍雇员的工作效率和工作满意度。作为妥协,许多雇主通过防止雇员访问不受信任的网络资源来实现有限的网络访问。然而,这种有限的网络访问导致雇主的管理成本增加,这是因为雇主必须不断更新定义哪些网络资源是不受信任的策略。这可能导致用户和雇主二者都对计算设备的使用感到沮丧。
技术实现思路
提供本
技术实现思路
以便以简化的形式对下面在具体实施方式中进一步描述的构思的选择进行介绍。本
技术实现思路
并不旨在标识要求保护的主题的关键特征或重要特征,也不旨在用于限制要求保护的主题的范围。根据一个或多个方面,应用在主机操作系统中运行。响应于检测到所述应用正在尝试访问网络资源,所述主机操作系统确定所述网络资源是受信任的网络资源还是不受信任的网络资源。响应于确定所述网络资源是不受信任的网络资源,所述主机操作系统激活与所述主机操作系统相隔离并被配置为运行容器内的所述应用的版本的容器。然后所述主机操作系统允许在所述容器中运行的所述应用的所述版本访问所述不受信任的网络资源。根据一个或多个方面,检测到主机操作系统的启动。响应于检测到所述主机操作系统的启动,确定所述主机操作系统是否包括容器基础映像(baseimage)。如本文所讨论的, ...
【技术保护点】
1.一种方法,包括:在主机操作系统中运行应用;检测所述应用对网络资源的访问;确定所述网络资源是受信任的网络资源还是不受信任的网络资源;以及响应于确定所述网络资源是不受信任的网络资源:由所述主机操作系统激活与所述主机操作系统相隔离并被配置为运行所述应用的版本的容器;以及由所述主机操作系统允许在所述容器中运行的所述应用的所述版本访问所述不受信任的网络资源。
【技术特征摘要】
【国外来华专利技术】2016.06.02 US 15/171,9171.一种方法,包括:在主机操作系统中运行应用;检测所述应用对网络资源的访问;确定所述网络资源是受信任的网络资源还是不受信任的网络资源;以及响应于确定所述网络资源是不受信任的网络资源:由所述主机操作系统激活与所述主机操作系统相隔离并被配置为运行所述应用的版本的容器;以及由所述主机操作系统允许在所述容器中运行的所述应用的所述版本访问所述不受信任的网络资源。2.根据权利要求1所述的方法,还包括:允许在所述容器中运行的所述应用的所述版本访问一个或多个另外的不受信任的网络资源,以及防止在所述容器中运行的所述应用访问受信任的网络资源。3.根据权利要求1或2所述的方法,还包括:检测所述主机操作系统对文件或应用的访问,以及响应于确定所述文件或所述应用是不受信任的网络资源,允许在所述容器内打开所述文件或所述应用。4.根据权利要求1至3中的任意一项权利要求所述的方法,其中,所述容器包括所述主机操作系统的实例、以及与所述主机操作系统的内核分开且隔离的内核。5.根据权利要求1至4中的任意一项权利要求所述的方法,还包括:接收至少包括受信任的网络资源的枚举列表的至少一个策略,其中,确定所述网络资源是受信任的网络资源还是不受信任的网络资源包括:将所述网络资源与所述受信任的网络资源的枚举列表进行比较,所述受信任的网络资源的枚举列表是基于以下各项中的一项或多项识别的:所述网络资源的文件类型、与所述网络资源相关联的网络位置、或者正在尝试访问所述网络资源的应用类型。6.根据权利要求1至5中的任意一项权利要求所述的方法,其中,所述容器是针对登录到所述主机操作系统的用户激活的,所述方法还包括:确定不同的用户登录到所述主机操作系统,以及针对所述不同的用户激活与所述主机操作系统和所述容器相隔离的不同容器。7.根据权利要求1至6中的任意一项权利要求所述的方法,还包括:确定对所述网络资源的所述访问是通过不受信任的网络接口请求的,以及响应于确定对所述网络资源的所述访问是通过不受信任的网络接口请求的:将所述主机操作系统中的所述应用的网络通信限制为虚拟专用网络(VPN)接口;允许在所述容器中运行的所述应用的所述版本通过所述不受信任的网络接口执行网络通信;以及向所述容器的网络栈指示所述容器的网络通信被隔离到所述不受信任的网络接口。8.根据权利要求1至7中的任意一项权利要求所述的方法,还包括:由所述主机操作系统拦截对用户凭证的网络代理提示的响应,以及将一个或多个用户凭证插入到对所...
【专利技术属性】
技术研发人员:N·N·帕伊,C·G·杰弗里斯,G·维斯瓦纳坦,B·M·舒尔茨,F·J·史密斯,L·鲁瑟,M·B·埃伯索尔,G·迪亚兹奎利亚尔,I·D·帕绍夫,P·R·加德奥苏尔,H·R·普拉帕卡,V·M·拉奥,
申请(专利权)人:微软技术许可有限责任公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。