Как да одитирате и контролирате разрешенията за приложения в Windows 11

  • Windows 11 използва гранулиран модел на разрешения, подобен на този на мобилните телефони, за контрол на камерата, микрофона, файловете и други ресурси.
  • Приложенията от Microsoft Store имат разрешения, които могат да се управляват от „Поверителност и сигурност“, докато много настолни приложения поддържат широк системен достъп.
  • Прегледът на разрешенията, телеметрията и ключовите настройки за поверителност намалява излагането на лични данни и улеснява спазването на регулаторните изисквания.
  • В корпоративни среди управлението на разрешенията изисква адаптиране на внедряванията, подписването на код, тестването и политиките за сигурност.
Daniel Terrasa

16 Minutos

Одит на разрешенията за приложения в Windows 11

Ако използвате Windows 11 ежедневно, вашият компютър споделя повече данни, отколкото си мислите. Много приложения от Microsoft Store и настолни програми изискват достъп до камера, микрофон, местоположение, файлове или дори системния регистърИ много от тези разрешения остават незабелязани, ако не ги прегледате внимателно. Правилната конфигурация на системата ви вече не е само въпрос на производителност; това е и сериозен проблем с поверителността и сигурността.

Добрата новина е, че Windows 11 направи ясна крачка към модела за мобилни разрешения: сега е много по-опростен. Проверете какво може да прави всяко приложение и отстранете това, което няма смисъл.Въпреки това, има важни разлики между приложенията от Microsoft Store и класическите настолни приложения и е важно да се разбере какво означава всяко разрешение, за да се вземат информирани решения и да се избегне нарушаване на нещо съществено.

Какво се променя в Windows 11 с разрешенията за приложения

С Windows 11, Microsoft пренася модела за контрол на мобилните разрешения на настолните компютри. Това означава, че системата дава много по-голяма тежест на... подписване на код и детайлен контрол на чувствителни ресурси като например камера, микрофон, местоположение или файлова система. За средностатистическия потребител това означава повече известия и повече превключватели, за да реши кой има достъп до какво.

Този подход има ясна цел: намаляване на повърхността на атака и улесняват спазването на разпоредбите за защита на данните както за физическите лица, така и за фирмите. С по-прецизни разрешения е по-лесно да се ограничи приложението до строго необходимото и да се предотврати разпространението на зловреден или лошо проектиран софтуер на устройството.

Този преход обаче не е просто промяна в интерфейса. Той ни принуждава да преосмислим как... Те внедряват, управляват и наблюдават приложения В корпоративни среди груповите политики, инструментите за управление на облака и телеметрията трябва да се адаптират към този нов, по-строг модел, ако искаме да се поддържа контрол, без потребителят да бъде блокиран.

В ежедневната си употреба ще забележите, че много приложения, които инсталирате от Microsoft Store, ясно ви показват какви разрешения са им необходими, преди да докоснете „Инсталиране“. Ако нещо не ви се струва правилно, винаги можете да го решите. Не инсталирайте приложението или отидете в Настройки по-късно, за да ограничите разрешенията.При традиционните настолни приложения нещата се променят и именно тук одитът трябва да бъде по-прецизен.

Управление на разрешенията в Windows 11

Разлики между приложенията от Microsoft Store и настолните приложения

Екосистемата на Windows 11 се състои от две основни софтуерни семейства. От една страна, има модерни приложения от Microsoft Store, които следват гранулиран модел на разрешения, подобен на този на Android или iOS. От друга страна, има класически настолни програми, които все още имат... по-широк достъп до системата без много от контролите на страницата за поверителност.

Приложенията от Microsoft Store са проектирани да се възползват от специфични функции на устройството: приложение за снимки може да се нуждае от камераРесторантски справочник може да изисква вашето местоположениеМедиен плейър може да поиска достъп до вашата музикална или видео библиотека. Тази информация се показва в неговата обява в магазина или на онлайн страницата на продукта.

За разлика от това, много настолни приложения на Windows работят на много по-мощен модел. Някои де факто имат право да използват всички системни ресурси (файлове, периферни устройства, мрежа, регистър и др.). В тези случаи страницата за поверителност на Windows 11 не ви позволява да контролирате техните разрешения по същия начин: те просто не са изброени в няколко раздела, защото се считат за софтуер с повече привилегии по дизайн.

Следователно, ако искате да разберете напълно какво прави едно приложение от Microsoft Store, е важно да отидете на неговата страница и да прегледате секцията с разрешения, преди да го инсталирате. Ако приложението е от надежден разработчик и разрешенията са логични, продължете. Ако видите нещо необичайно, като например пъзел игра, изискваща достъп до историята на обажданията или имейлаНай-добре е да помислите два пъти за това.

Как да получите достъп до настройките за поверителност и разрешения в Windows 11

Windows 11 групира повечето контроли за поверителност и разрешения за приложения в един панел. Пътят до него е прост и си струва да се запомни. От този панел можете Проверявайте кой използва вашата камера, микрофон, местоположение и други сензори..

Основните стъпки са следните:

  1. Отворете настройките на WindowsМожете да направите това от иконата на зъбно колело в менюто „Старт“ или като натиснете комбинацията от клавиши Windows + I.
  2. В менюто в лявото странично меню въведете секцията Поверителност и сигурност.
  3. Превъртете надолу, докато намерите блока, наречен Разрешения за приложение.
  4. В този раздел ще видите категории като Местоположение, Камера, Микрофон, Контакти, История на обажданията и др. Докосването на всяка категория отваря списък с приложения, които могат да използват този ресурс.

От всеки от тези раздели можете индивидуално да решите кои приложения имат достъп и кои не. Това е система, проектирана така, че да можете да извършите бърз одит само за няколко минути и да запазите само най-важното. Освен това, всички промени са... обратимо по всяко времеТака че, ако някоя програма спре да работи както трябва, просто активирайте отново разрешението и опитайте отново.

За разлика от предишни версии като Windows 10, където тези настройки съществуваха, но бяха донякъде разпръснати, секцията „Поверителност и сигурност“ на Windows 11 има по-изчистен дизайн, което улеснява дори от хора с ограничени технически познания да разберат какво правят. Въпреки това е важно да знаете какво означава всяко разрешение, преди да започнете да го деактивирате безразборно.

Ако искате да научите повече за това как тези контроли са организирани в Windows, вижте ръководството. Разрешения за приложения и поверителност в Windows 11 за да видите практически примери и екранни снимки на системата.

Разрешения за приложения в Windows 11

Най-важните разрешения за приложения и какво включват те

Всяко разрешение, което виждате в Windows 11, има различно въздействие върху вашата поверителност и какво може да прави приложението. Струва си да прегледате най-подходящите от тях и да разберете, накратко, какво включва предоставянето или отказването на всяко от тях. Много от тях са наследени от официалната документация на Microsoft, но си струва да ги преведете на по-достъпен език.

Едно от най-деликатните е разрешението, което позволява на дадено приложение Достъп до всички ваши файлове, устройства, приложения, програми и системния регистърС това ниво на достъп приложението може да чете или записва във всички ваши документи, снимки и музика, да променя ключове в системния регистър на Windows и да използва всички свързани периферни устройства (камера, микрофон, принтери и др.), без да иска разрешение всеки път. То може също да използва вашето местоположение, история на местоположенията и други данни, които обикновено са ограничени за повечето приложения в Магазина.

Друг набор от разрешения, които трябва да се наблюдават, са тези, свързани с информация за акаунтаНякои приложения може да поискат достъп до данните на потребителския ви акаунт: име, снимка, свързан имейл адрес или идентификатори, използвани в услугите на Microsoft. Предоставянето на това разрешение може да е разумно за приложения, които интегрират вход или синхронизация, но няма смисъл за програми, които не изискват никаква идентификация.

Има и разрешение за позволяват повдиганепроектирано така, че приложението да може да работи с администраторски права, без да ви пита всеки път.

Обажданията диагностика на приложенията Те позволяват на приложението да получава диагностична информация от други работещи приложения. В корпоративни среди това може да се използва за наблюдение на състоянието на собственически софтуер, но за домашен потребител това е разрешение, което рядко е от съществено значение и може да разкрие повече от необходимото за това как се използват други програми.

Разрешения, свързани с хардуера и сензорите на устройството

В допълнение към разрешенията на високо ниво за файлове и система, Windows 11 включва редица оторизации, свързани с хардуера и сензорите на компютъра. Тук влизат в действие [следните] Bluetooth, камера, микрофон, GPS, четец на пръстови отпечатъци, разпознаване на лице, акселерометър и други компоненти, които могат да разкрият силно лични данни.

  • Разрешението на Bluetooth Това позволява на приложението да активира и използва всяка такава връзка между вашето устройство и други (слушалки, мобилни телефони, контролери и др.). Това е логично за музикален плейър или инструмент за синхронизиране на устройства, но не толкова за обикновен текстов редактор.
  • Разрешението на календар Това позволява на приложение да има достъп до вашите календари. Полезно е за приложения за календари, имейл клиенти или инструменти за управление на задачи, но не се препоръчва за софтуер, несвързан с ежедневното ви планиране.
  • Категорията на Контакти Разрешете достъп до вашата адресна книга или инсталирани приложения за контакти. Това разрешение е особено чувствително, защото включва данни от трети страни (имена, телефонни номера, имейл адреси). Преди да го предоставите, помислете дали приложението действително предоставя ясна функционалност, използвайки тази информация.
  • Разрешението на ИмейлТова позволява на приложението да има достъп както до вашия имейл, така и до информацията за вашия имейл акаунт. Това има смисъл в имейл клиенти или приложения, които управляват комуникациите, но е напълно неуместно в други категории.
  • Разрешителните на разпознаване на лице и четец на пръстови отпечатъци Те активират и използват съответния хардуер (Windows Hello, биометрични четци и др.). Тези функции добавят удобство и сигурност при влизане, но също така събират изключително чувствителна информация. Само системни или защитни приложения, които наистина трябва да управляват биометричното удостоверяване, трябва да имат достъп.

Преименувайте файлове едновременно в Windows

Достъп до личната файлова система и библиотеки

Друг критичен набор от разрешения се отнася до достъпа до файлове и папки. Windows 11 разделя този достъп на няколко нива, за да даде на потребителя повече контрол, но е лесно да се объркате, ако не сте наясно с разликите. Някои приложения изискват глобален достъп, докато други са ограничени до конкретни секции, като например библиотека с изображения, музика или видеоклипове.

Общото разрешение за файлова система Това позволява на приложението да има достъп до същите файлове и папки, до които имате достъп като потребител. Това означава четене и запис на всички ваши документи, снимки, музика и почти всяко съдържание на вашите устройства, с изключение на всичко, което е специално защитено.

В допълнение към този глобален достъп, има и по-специфични разрешения, като например музикална библиотекаТова позволява на приложението да има достъп до музикалните файлове, съхранени във вашата музикална библиотека. Обичайна практика е музикалните плейъри, органайзерите на колекции или стрийминг приложенията с офлайн режим да изискват това.

La библиотека с изображения Работи по подобен начин: това разрешение оторизира приложението за достъп до вашите снимки и екранни снимки, съхранявани в папката „Снимки“. Често се среща във фоторедактори, приложения за галерии и инструменти за архивиране в облака. То позволява по-контролиран достъп от пълното разрешение за файлова система, но все пак трябва да следите кой го получава.

La видео библиотека Това съответства на видео библиотеката на устройството. Приложенията за редактиране на видео, напредналите плейъри и инструментите за локално стрийминг обикновено изискват това разрешение. Ако програма, несвързана с мултимедия, поиска достъп до това съдържание, си струва да се вдигне червен флаг.

Друг малко известен аспект е разрешението за Корекция на съвместимостта при пренасочване на запис на пакетиТова разрешение позволява на приложението да създава, променя или изтрива файлове в собствената си инсталационна папка. На практика то се използва за поддържане на съвместимост с програми, които очакват да пишат в инсталационния му път, но може също така да усложни пълното почистване на софтуера при деинсталиране.

Местоположение, комуникации и известия

Разрешенията, свързани с местоположението и личните комуникации, са особено важни както за поверителността, така и за съответствието с регулаторните изисквания (напр. с GDPR). Windows 11 предлага сравнително ясни контроли за този тип достъп, въпреки че ще трябва да отделите няколко минути, за да ги персонализирате по ваш вкус.

  • Разрешението на местоположение Активирайте и използвайте GPS или други методи за локализиране на устройството (WiFi, мобилни мрежи и др.). С това разрешение приложението може да проверява местоположението ви и да го използва за карти, услуги за препоръки или функции за геолокация.
  • Разрешението на съобщения Това позволява на приложението да има достъп до вашите незабавни съобщения и свързаната с тях информация за акаунта (напр. синхронизирани SMS, чатове от определени интегрирани приложения и др.).
  • El микрофон Това е друг ключов момент. Съответното разрешение ви позволява да активирате и използвате микрофона на устройството. То е от съществено значение за видео разговори, аудио запис, диктовка или гласови асистенти. За много други просто не е необходимо.
  • на Известия Те също имат собствено разрешение. Това позволява на приложенията да имат достъп до известията, показани в Центъра за действия. Макар че може да изглежда незначително, приложение с широк достъп до вашите известия би могло да чете теми на имейли, съобщения или напомняния от други инструменти. Ето защо е добра идея да прегледате кои приложения действително се нуждаят от тази възможност.
  • Що се отнася до свързаността, разрешения като например WiFi и кабелни връзки Те позволяват на приложението да активира и използва безжични и кабелни (USB, Ethernet, сериен) връзки между устройството, интернет и друго оборудване.

Поверителност на Windows

Ключови настройки за поверителност в Windows 11 освен разрешенията

Одитирането на разрешенията за приложения е само част от уравнението. Windows 11 включва редица общи настройки за поверителност, които също трябва да прегледате, ако искате компютърът ви да е защитен. споделяйте възможно най-малко данни без да престанат да функционират правилно. Тези промени са бързи за внедряване и не изискват експертиза.

Една от първите препоръчителни корекции е да деактивирате история на дейността Ако не ви е необходима. Тази функция събира информация за отворени файлове, посетени уебсайтове и скорошна употреба, за да осигури по-безпроблемно изживяване на всички устройства.

Друг важен момент е регулирането на разрешения за предварително инсталирани приложенияВ много „чисти“ инсталации на Windows 11 е наблюдавано, че повече от дузина приложения идват с активирани по подразбиране разрешения за местоположение или други чувствителни данни. Отиването в „Настройки“ > „Поверителност и сигурност“ > „Разрешения за приложения“ и прегледът на разрешенията за камера, микрофон, местоположение и подобни може да повлияе на нивото ви на излагане на риск.

La персонализирана реклама Заслужава си да се спомене и това. Windows 11 използва „рекламен идентификатор“, свързан с потребителския ви профил, за да ви показва персонализирани реклами в приложенията и услугите на Microsoft. Ако не сте доволни от това, отидете в Настройки > Поверителност и сигурност > Общи и изключете рекламния идентификатор и други опции за проследяване. Това не елиминира рекламите, но намалява проследяването, свързано с вашата самоличност.

La синхронизиране с облак Това е друга област за наблюдение. Windows 11 ви позволява да синхронизирате пароли, настройки и други данни, за да улесните превключването между устройства, но това също означава, че много информация се съхранява на сървърите на Microsoft.

Преглед на диагностични данни: разширен одит на това, което излиза от вашия компютър

За напреднали потребители и екипи по сигурността, Преглед на диагностични данни Функцията за телеметрия на Windows 11 е много полезен инструмент. Microsoft я актуализира, за да предложи по-голяма прозрачност, позволявайки на потребителите да виждат в почти суров формат какви данни се изпращат към сървърите им като част от системната телеметрия.

За да го активирате, първо отидете в Настройки > Поверителност и сигурност > Диагностика и обратна връзка. Там можете да активирате опцията за преглед на диагностични данни. Това ще ви подкани да отворите или инсталирате приложението Diagnostic Data Viewer от Microsoft Store. След като го инсталирате, можете да прегледате събраните събития подробно.

В рамките на програмата за преглед данните се показват като записи във формат, подобен на JSON, с информация за дата, вид събитие и категория (например „Ядро на Windows“ или „Общи Windows“). Вътрешна търсачка ви позволява да филтрирате по ключови думи като „микрофон“ или „местоположение“, за да намерите бързо всяко събитие, свързано с тези теми.

Прегледът ви позволява също да филтрирате по широки категории, като например отчети за проблеми или диагностични услуги. Това е полезно, за да избегнете изгубване в море от записи и да се съсредоточите върху това, което наистина е важно. Препоръчително е периодично да отделяте няколко минути за преглед на тези данни, особено след големи промени в конфигурацията или инсталиране на нови приложения.

Ако искате да направите още една крачка напред, можете да принудите изпращането на чакащи данни и да рестартирате определени диагностични услуги, като изпълните команда като Стоп-Услуга - Принудително DiagTrack в PowerShell (като администратор). Това ви помага да започнете от нулата и да проверите точно какво се генерира. В корпоративни среди запазването на криптирани копия на най-чувствителния JSON може да служи като лог за одит за по-късни прегледи.

Въздействие върху бизнеса, информационните технологии и разработването на софтуер

В организациите новият подход към разрешенията и контролите в Windows 11 има както технически, така и оперативни последици. Добре управляван, той може да предложи... допълнителен слой защита срещу злонамерени двоични файлове и много по-фин контрол върху софтуера, работещ на всяка крайна точка.

За ИТ екипите и екипите по киберсигурност това означава и повече работа по проектирането и автоматизацията на политики. Не е достатъчно просто да се инсталира и да е готово: трябва да се дефинират кои разрешения се предоставят по подразбиране, как се обработват изключенията и кои процеси... одобрение и одит Те са създадени за нови приложения. Ключовата тук е комбинацията от локални политики с облачни решения за управление и услуги за идентичност.

От гледна точка на разработката, Windows 11 принуждава софтуерните компании – както вътрешни, така и търговски – да засилят... верига за доставки на софтуерЦифровото подписване на код се превръща от препоръка в практическо изискване и всяка зависимост или компонент от трета страна трябва да бъде внимателно проверен, за да се избегнат сривове или предупреждения за сигурност в производствения процес.

интегрират тестове за съвместимост и разрешения В рамките на CI/CD конвейерите това става почти задължително. Предотвратява появата на нова версия на приложението в производствената среда, изискваща неочаквани разрешения или задействаща предупреждения за сигурност. Освен това, документирането на обосновката за всяко разрешение помага на екипите за съответствие и сигурност да валидират и одобряват внедряването с по-малко триене.

В много случаи тази нова динамика отваря вратата за модернизиране на наследени приложения: мигриране на компоненти към облачни архитектури, използване на управлявани услуги за мониторинг (на AWS, Azure или други платформи) и препроектиране на работни процеси, за да се минимизират необходимите разрешения. Делегирането на критични функции на добре управлявани външни услуги може да намали риска, свързан с крайните точки.

Крайният резултат е, че организациите, които възприемат най-добрите практики за подписване, тестване, управление на разрешения и модернизиране на приложенията, ще имат конкурентно предимство както в сигурността, така и в съответствиетоТези, които го отлагат, ще се сблъскат с повече блокировки, ad hoc изключения и потребители, разочаровани от приложения, които не работят както се очаква.

урок за достъп
Свързана статия:
AccessEnum: Пълният урок за одит на разрешения в Windows