Microsoft a publié des informations détaillées sur l'entreprise est engagée à de nouveaux projets du Linux. Le projet, intitulé Application des politiques d' intégrité (IPE) le est, le module de sécurité Linux (Linux Security Module, LSM), qui permet aux politiques configurables pour respecter les exigences d'intégrité du système.
IPE est la tentative de Microsoft pour résoudre le problème de Linux et l'intégrité du code de conduite. Il est divisé en deux parties principales: fournies par les politiques configurables LSM ( « IPE de base »), ainsi que des attributs déterministes ( « Propriétés IPE ») utilisés pour évaluer les documents fournis par le noyau. À l' heure actuelle, est encore dans IPE le RFC (demande de commentaires) Etat .
Sur l'IPE activé système Linux, l'administrateur système peut créer une liste de fichiers autorisés à effectuer binaire, puis ajoutez le noyau avant d'exécuter chaque fichier binaire doivent être vérifiés pour vérifier les propriétés. Si un attaquant de modifier les binaires, peut également empêcher IPE l'exécution de code malveillant.
Microsoft a dit, l'IPE est conçu pour les appareils avec un but spécifique, comme les systèmes embarqués (par exemple, les dispositifs de pare-feu de réseau dans le centre de données), dans lequel tous les logiciels et la configuration par les administrateurs pour construire et livrer. Idéalement, l'utilisation de l'IPE ne concerne pas les systèmes informatiques à usage général, ne pas utiliser un logiciel tiers ou la configuration construite.
IPE supporte deux modes de fonctionnement: le mode permissive (similaire à SELinux en mode permissif) et appliquer le mode. Ce qui, d'appliquer le mode est le mode par défaut. mode permissif pour effectuer les mêmes contrôles et de faire respecter le mode et les violations de la politique enregistrer les cas, mais il ne l'applique pas la politique, qui permet aux utilisateurs de le tester avant de faire respecter la politique.
En outre, Microsoft, le noyau Linux pour le code existant LSM pour l' intégrité (par exemple, l'IMA ) est différent, IPE ne dépend pas des métadonnées du système de fichiers et propriétés comme IPE est présent uniquement dans la propriété déterministe du noyau donc il n'a pas besoin, comme le besoin IMA IMA comme d' autres signature de code.