O EPM Windows oferece o modo sandboxing, um recurso de segurança que permite executar aplicações em um espaço isolado no disco rígido. Isso impede que as aplicações façam alterações no sistema operacional, em outros softwares, na rede ou nos dados do usuário. O modo sandboxing está sempre associado ao tipo de Lista de Acesso Isolate. Quando as aplicações são executadas a partir de uma lista do tipo Isolate, elas são sempre iniciadas em um ambiente isolado.
Aplicabilidade
O modo sandboxing foi desenvolvido para aumentar a segurança da execução de aplicações em endpoints, especialmente ao lidar com softwares não confiáveis ou potencialmente arriscados. Suas principais aplicações incluem:
- Execução de aplicações de terceiros ou desconhecidas com acesso restrito ao sistema operacional e aos dados do usuário.
- Prevenção de acesso ou modificação de recursos fora do sandbox pela aplicação.
- Proteção do endpoint contra malwares, ransomwares e outros comportamentos maliciosos durante a execução de aplicações.
Funcionalidade
Quando o tipo de Lista de Acesso Isolate está configurado, todas as aplicações atribuídas a essa lista são executadas em modo sandbox por padrão. O recurso pode ser acessado pelo módulo Aplicação, onde a opção Executar em Modo Isolado é exibida.
O EPM Windows também conta com um sistema automatizado de análise de malwares. Esse sistema analisa o comportamento de cada aplicação executada no sandbox. Caso seja detectada alguma atividade suspeita — por exemplo, execução de ransomware — o sistema bloqueia imediatamente a aplicação e finaliza a execução, mesmo dentro do ambiente isolado.
Todas as execuções em modo sandboxing são registradas como ações do tipo Isolate. Os administradores podem revisar esses eventos acessando EPM > Relatórios > Eventos.
As execuções em modo isolado são monitoradas e podem ser auditadas pelo sistema de relatórios de eventos, auxiliando os administradores na identificação de atividades potencialmente maliciosas ou uso não conforme de aplicações.
Caso de uso
Um administrador de sistemas precisa permitir que usuários executem uma aplicação de um fornecedor não verificado. Em vez de liberar o acesso irrestrito, o administrador adiciona a aplicação a uma Lista de Acesso do tipo Isolate. Quando o usuário inicia a aplicação, ela é executada em um ambiente isolado, com análise comportamental em tempo real. Se a aplicação tentar realizar operações não autorizadas, como criptografar arquivos ou acessar recursos de rede, o EPM Windows bloqueia e encerra o processo automaticamente. Toda a atividade é registrada para futura revisão.