web-dev-qa-db-ja.com

LinuxのWindowsサブシステムは、ネイティブWindowsプログラムの実行に対して追加のセキュリティ(VMのような分離)を提供しますか?

Windows 10マシンで、Windowsバージョンを実行する代わりに、LinuxのWindowsサブシステムを使用してブラウザーのLinuxバージョンを実行する方が安全ですか?

ウィキペディアのLinux用Windowsサブシステム(WSL)に関するウィキペディアの記事 を読んだので、質問します。セキュリティに関してどのように機能するのかわかりません。それは言う

WSLは、Microsoftが開発したLinux互換のカーネルインターフェイス(Linuxカーネルコードを含まない)を提供し、その上でLinuxユーザーランドを実行できます。

そして

WSLは完全に仮想化されたマシンよりも少ないリソースを使用します

このLinuxユーザーランドは、Windowsユーザーランドから十分に分離されていますか?つまり、WSLは他のシステムから分離された一種の仮想マシンですか? LinuxバージョンのFirefoxを使用して完全に侵害する悪意のあるWebサイトにアクセスするとすると、このWSL内に閉じ込められるとマルウェアの効果が低下しますか、それともWindowsのネイティブFirefoxが侵害されたのと同じ結果になりますか?
または別の言い方をすると、安全でない可能性のあるサイトにアクセスするために使用できる分離されたシステムが必要な場合、WSLを使用するだけで十分ですか、それとも本格的な仮想マシンが必要ですか?

同様の質問 を見つけましたが、これは攻撃面に関するものです。つまり、-beforeシステムが危険にさらされています。代わりに、WSLが緩和策を示唆しているかどうかを尋ねていますafterシステムが侵害されています。さらに、その質問はWSLがリリースされる前に行われたものであり、一部の詳細は当時は明確ではありませんでした。

簡単に言えば、WSLは単なるLinux [〜#〜] abi [〜#〜] 互換性レイヤー、つまり、LinuxシステムコールをWindowsカーネルが実行できるものに変換する一連のライブラリです。

一般的な考え方は、この互換性レイヤーをできるだけ薄くして、LinuxバイナリがWindowsでほぼネイティブに高速で実行されるようにすることです。したがって、仮想マシンの近くにはありません。例えば。 すべてのWindowsファイルシステムがWSLにマウントされます/mntを使用すると便利です。 (すでに指摘したように)攻撃面をいくらか制限することを除いて、WSLは安全な分離を提供しません。

3
ximaera

この調査 によると、現在のセキュリティツールに関する限り、実際には悪いことです。

Linuxバイナリは、セキュリティソフトウェアが通常傍受する通常のWin32またはNT APIを経由せずに、カーネルドライバと直接対話します。また、Win32プロセステーブルには表示されないため、可視性が低くなります...

2
billc.cn