Время на прочтение2 мин
Количество просмотров10K
Microsoft ранее уже анонсировала специальные защитные меры от вредоносного ПО и кибератак, которые основаны на механизме виртуализации Hyper-V. С выпуском Windows 10 компания представила так называемую среду Virtual Secure Mode (VSM) и две основанные на VSM защитные меры: Device Guard и Credential Guard (доступны для enterprise версий Windows 10). Основное их предназначение заключается в изоляции критических для безопасности операций в мини-ОС, которая работает в отдельной виртуальной машине с высоким уровнем доверия.
К таким критическим операциям относится проверка легитимности данных UEFI-прошивки компьютера, драйверов режима ядра (Device Guard) и выполнение процедур, которые относятся к аутентификации пользователей (Credential Guard). Новая функция безопасности под названием Windows Defender Application Guard для веб-браузера Edge выполняет аналогичную изоляцию на основе Hyper-V, но только, в этом случае, ненадежных источников контента в веб-браузере.
Ниже на рисунке представлена архитектура VSM, которая основана Hyper-V. Схожую архитектуру использует и App Guard.
Как видно выше, основная копия Windows 10 (хост) отделена от VSM изоляцией на уровне гипервизора. Схожий подход применяет и App Guard для Edge. Когда пользователь посещает недоверенный веб-сайт в браузере, он открывается не в контексте виртуальной машины хоста, а в другой, которая создана именно для таких потенциально опасных операций как просмотр контента на небезопасных веб-сайтах.
…when an employee browses to a site that is not recognized or trusted by the network administrator, Application Guard steps in to isolate the potential threat. Application Guard creates a new instance of Windows at the hardware layer, with an entirely separate copy of the kernel and the minimum Windows Platform Services required to run Microsoft Edge. The underlying hardware enforces that this separate copy of Windows has no access to the user’s normal operating environment.
Таким образом, если злоумышленник планирует кибератаку на сотрудников организации и использует для этого фишинговую ссылку, которая может использоваться для организации атаки типа drive-by download, она будет открыта в изолированном на уровне гипервизора окружении. В таком контексте исполнения атакующий не сможет получить для себя никакой новой информации, поскольку в этой виртуальной машине ограничен доступ к любой информации пользователя, располагающейся на хосте. При этом для самого пользователя Edge будет создаваться ощущение, что процесс вкладки работает в системе хоста.
Windows Defender Application Guard для веб-браузера Edge станет доступна пользователям копий Windows программы Insiders в ближайшие месяцы, а для пользователей релизных копий Windows 10 Enterprise в следующем году.
Windows Defender Application Guard for Microsoft Edge will become available to Windows Insiders in the coming months, and roll out more broadly next year.
Мы хотим, чтобы Microsoft Edge оставался самым безопасным и защищенным браузером. Последние два года мы постоянно внедряем инновации и очень гордимся результатами. Усилия наших инженеров привели к тому, что Microsoft Edge гораздо менее уязвим, чем популярный браузер Internet Explorer для Windows.
Количество уязвимостей в браузерах Microsoft Edge, Chrome и Firefox по состоянию на сентябрь 2016 г. по данным National Vulnerability Database (с момента выхода Microsoft Edge).
Ни один современный браузер (как и любое другое приложение со сложной архитектурой) не является абсолютно надежным. Однако о большинстве уязвимостей Microsoft Edge нам добросовестно сообщают профессиональные партнеры по безопасности. Эти исследователи сотрудничают с нашим Центром реагирования на проблемы в области безопасности (Microsoft Security Response Center, MSRC) и группой разработки Microsoft Edge. Вместе мы успеваем защитить пользователей до того, как злоумышленники смогут воспользоваться уязвимостями. Более того, пока не зафиксировано случаев использования этих уязвимостей для проведения атак нулевого дня.
https://www.youtube.com/watch?v=McP8ZGAInwI
Многие компании по всему миру все чаще сталкиваются с угрозой целевых атак. Злоумышленники специально разрабатывают такие атаки для инфраструктуры конкретной организации, чтобы получить контроль над ее сетями и данными. Для самых бдительных корпоративных клиентов мы представляем новый уровень глубокой защиты: Windows Defender Application Guard для Windows 10 Корпоративная. Windows Defender Application Guard использует технологию виртуализации Microsoft Hyper-V, которая обеспечивает беспрецедентную защиту от целевых угроз.
Целевые атаки против крупных предприятий
В последние годы общая картина возникновения угроз существенно изменилась. Сегодня более 90 % атак начинается с перехода по ссылке, после чего злоумышленники крадут учетные данные, устанавливают вредоносное ПО или используют уязвимости.
При этом страдают не только атакованные компании, но и тысячи, а порой и миллионы пользователей. Их учетные и персональные данные могут быть украдены. Особо заинтересованные и настойчивые злоумышленники часто используют приемы социальной инженерии — отправляют грамотно составленное личное письмо известным сотрудникам компании. Отправитель такого письма представляется кем-либо из руководителей организации и просит сотрудника перейти по ссылке, чтобы тот прочитал якобы важный документ. Эта ссылка ведет на специально созданный вредоносный сайт, где с помощью еще не обнаруженной уязвимости на компьютер устанавливается вредоносное ПО. Установив связь с этим компьютером, злоумышленник может украсть учетные данные и начать поиск других уязвимых компьютеров в остальной сети. Этот процесс повторяется, пока не будет достигнута цель — например, кража данных и интеллектуальной собственности или подрыв бизнеса.
Как помешать планам злоумышленника
Мы противостоим угрозам с помощью системного подхода и предлагаем клиентам необходимые средства для защиты на различных направлениях атаки. Windows Defender Application Guard не позволяет злоумышленникам установить связь с локальным компьютером или расширить присутствие в корпоративной сети.
У нас лучшая в отрасли технология виртуализации. Она не только изолирует потенциальные угрозы от сети и системы, но и полностью устраняет их, когда контейнер закрывается.
Подробности работы Windows Defender Application Guard
Windows Defender Application Guard использует для защиты от атак облачную технологию виртуализации.
Когда пользователь переходит на проверенный сайт (например, открывает внутреннее веб-приложение бухгалтерии), Microsoft Edge работает в обычном режиме. Браузер обращается к локальному хранилищу, аутентифицирует пользователя на внутренних сайтах с корпоративными учетными данными, работает с файлами cookie обычным образом, позволяет сохранять файлы на локальный компьютер, — словом, Windows работает так, как вы привыкли. Этот режим обведен на схеме синим цветом и называется хост-версией Windows.
Application Guard изолирует непроверенные сайты на аппаратном уровне.
Когда сотрудник переходит на сайт, которого нет в списке известных или доверенных, в дело вступает Application Guard и изолирует потенциальную угрозу. На схеме этот режим обведен красным цветом. Application Guard создает на аппаратном уровне новый экземпляр Windows с отдельной копией ядра и минимальным количеством служб платформы Windows для работы Microsoft Edge. Оборудование системы запрещает этой отдельной копии Windows доступ к обычной операционной среде пользователя.
Application Guard полностью блокирует доступ к памяти, локальному хранилищу, другим установленным приложениям, конечным точкам корпоративной сети и другим ресурсам, интересующим злоумышленника. Этой отдельной копии Windows недоступны никакие учетные данные, включая доменные, которые могут храниться в постоянном хранилище учетных данных.
Конечно, в большинстве случаев непроверенные сайты являются абсолютно безопасными, и пользователь просто хочет, чтобы они работали как надо. Изолированная среда позволяет сайтам функционировать, как обычно (как если бы они выполнялись на хост-версии Windows). Application Guard предоставляет для этого необходимые функции, которые позволяют работать с непроверенными сайтами, как обычно: копировать и вставлять их данные с помощью буфера обмена Windows, а также печатать контент сайтов на рабочем принтере. Таким образом, продуктивность работы останется прежней, даже если хост защищен с помощью Application Guard. Администратор предприятия может управлять этой функциональностью с помощью средств и политик управления Microsoft, выбирая доступные функции по результатам оценки рисков.
Многоуровневая изоляция для защиты предприятий
Чтобы повысить безопасность, которую предлагают сугубо программные «песочницы», корпорация Microsoft при поддержке корпоративных и государственных клиентов разработала аппаратную изоляцию. Благодаря Windows Defender Application Guard браузер Microsoft Edge защищает организацию от самых сложных атак и попыток внедриться в вашу сеть и устройства через Интернет. Браузер создает безопасную и комфортную среду для просмотра веб-страниц.
Но что происходит, если непроверенный сайт — инструмент злоумышленника? Вернемся к описанному сценарию атаки.
Злоумышленник отправляет искусно составленное электронное письмо ничего не подозревающему сотруднику компании. Ссылка в этом письме приглашает перейти на сайт, который контролирует злоумышленник. Сотрудник, не увидев в письме ничего подозрительного, кликает ссылку, ведущую на непроверенный сайт. Чтобы заранее обезопасить пользователя и корпоративные ресурсы, Application Guard работает вместе с Microsoft Edge и открывает такой сайт во временной и изолированной копии Windows. Теперь даже в случае успешного взлома браузера вредоносный код будет выполняться в пустой среде, где нет ничего, что интересует злоумышленника, — нет данных, доступа к учетным данным пользователей и к другим конечным точкам корпоративной сети. Сценарий атаки полностью нарушен. Когда пользователь (даже не зная об атаке) закончит работу, этот временный контейнер удаляется вместе с вредоносным ПО. Таким образом, злоумышленник не сможет установить связь с локальным компьютером и даже взломанный экземпляр браузера не позволит атаковать корпоративную сеть. После удаления текущего контейнера для последующих сеансов каждый раз создается новый.
Веб-разработчики и Application Guard
Хорошие новости для веб-разработчиков: специально изменять код сайта не требуется. Microsoft Edge отображает сайты в Application Guard тем же способом, что и в хост-версии Windows. Определять, когда Microsoft Edge работает в данном режиме, не нужно — как не нужно и учитывать различия в его поведении. Поскольку временный контейнер уничтожается после окончания сеанса, файлы cookie и прочая информация локально не сохраняются.
Мы стремимся обезопасить и защитить корпоративных пользователей и данные
Миссия Microsoft — помочь каждому человеку и каждой организации в мире работать эффективнее и достигать большего. С инструментом Windows Defender Application Guard корпоративные пользователи смогут свободно работать с множеством интернет-сайтов и служб без риска для корпоративных и персональных данных. Благодаря этому Microsoft Edge становится самым безопасным браузером для предприятия.
Функция Windows Defender Application Guard для Microsoft Edge станет доступна участникам программы предварительной оценки Windows уже в ближайшие месяцы, а более обширное развертывание ожидается в следующем году.
Авторы статьи: Джон Хейзен, главный программный менеджер, Microsoft Edge, и Чез Джеффриз, главный программный менеджер, Application Guard.
If you are a Windows user, then it is likely that you are familiar with Windows Security, formerly known as “Microsoft Defender.” Windows Security is a Windows-native application that protects your PC from malware and attacks – a replacement for third-party antivirus software.
An integral part of Windows Security is Microsoft Defender Application Guard. This is a component of Windows Security that keeps you protected from online threats while browsing in Microsoft Edge, or from opening malicious files in Microsoft office.
That said, this feature needs to be installed and enabled manually on our computer. Only when will you be able to provide additional security for your computer and time spent online.
Moreover, the Microsoft Defender Application Guard can be used in enterprise environments so that the network is not penetrated due to an employee’s negligence while surfing the web.
In this article, you will find all there is to know about the Microsoft Defender Application Guard, how to enable it, how it works, and how to manage it.
Table of Contents
What is Microsoft Defender Application Guard
Microsoft Defender Application Guard is a security feature in Windows 11 and Windows 10 that helps prevent old and new cyberattacks. This utility works with Microsoft Office, Internet Explorer (deprecated), and Microsoft Edge.
In the case of Microsoft Edge, Application Guard isolates all websites running that are not mentioned in the whitelist created by the IT administrator by running them in a virtualized bubble using a Hyper-V container.
In other words, any URL not mentioned in the whitelist will automatically run in an isolated environment. This way, if an attacker attempts to penetrate your session, and then tries to gain access t your computer or network, they would not be able to. This is due to the fact that the online session would be in standalone mode.
Similarly, in the case of Microsoft Office, if an employee opens a malicious file in Word or Excel (or any other Office application), it would be isolated from the rest of the network, hence securing it from threats.
Microsoft Defender Application Guard can be installed on your Windows 10/11 PC to be used in Edge or Office, or you can install its extension for Chrome and Firefox (links shared below). But before we show you how to install and configure it, the question you should be asking is do you really need it?
Which Devices should Run Microsoft Defender Application Guard
Although the Application Guard can be installed on any supported device, you should know whether you need it or not.
Of course, no amount of digital security is sufficient these days, but not all security parameters should be used simultaneously.
Here is a list of the supported devices that can run Application Guard:
-
Standalone devices:
- Windows 10 Enterprise edition, version 1709 or higher
- Windows 10 Pro edition, version 1803 or higher
- Windows 11
-
Domain-controlled devices:
- Windows 10 Enterprise edition, version 1709 or higher
- Windows 11
-
System requirements:
- 64-Bit CPU architecture
- Supports virtualization
- Minimum 8 GB of RAM
- Minimum 5 GB of free storage space
We believe that all enterprise devices, may it be desktops, laptops, mobile devices, or tablets, should be running Application Guard.
Since these devices are usually joined to a domain, they are more likely at risk as they can lead to greater enterprise secrets and data sources. Therefore, all necessary security features ought to be enabled on enterprise devices.
In the case an enterprise allows you to connect your own device to their network, Application Guar should be enabled beforehand. Even though it is obvious why, connecting to an enterprise network gives access to any non-isolated devices.
In case you have a personal device, like a private laptop, then the decision comes down to an individual user. If they have sensitive information stored on their computer, such as financial passwords, client information, etc., then enabling Microsoft Defender Application Guard is recommended.
However, if they only use it for casual work, then the Application Guard might be overkill.
Now that you know what Microsoft Defender Application Guard is and where it can be used, let us discuss how it works.
How Microsoft Defender Application Guard Works
Considering Microsoft Edge as an example, the process starts when a user clicks on a link or enters a URL. If the URL is found within the whitelist created by the sysadmin, then it runs in a regular Edge instance without isolating it.
However, if the URL is not in the whitelist, then Microsoft Edge automatically opens the URL inside a Hyper-V container and remains there till the URL is open.
This is a simple mechanism that Microsoft Defender Application Guard uses to protect your devices and networks.
How to Enable/Install Microsoft Defender Application Guard
As we mentioned earlier, Microsoft Defender Application Guard needs to be installed manually. Once it is installed, you can configure it to allow or restrict further functionality.
You can enable Application Guard using the Optional Features applet, or from Windows PowerShell.
From Optional Features
Here are the steps to enable the feature using the Optional Features applet:
-
Open the Optional Features window by typing in “optionalfeatures” in the Run Command box.
Open Windows Optional Features -
Select “Microsoft Defender Application Guard” and click Ok.
Enable Microsoft Defender Application Guard The feature will now install on your PC.
-
Click “Restart now” to finalize the installation.
Restart computer
Using PowerShell
Perform these steps to install Microsoft Defender Application Guard using PowerShell:
-
Launch an elevated PowerShell instance.
-
Now run the following cmdlet:
Enable-WindowsOptionalFeature -Online -FeatureName Windows-Defender-ApplicationGuard
Enable Microsoft Defender Application Guard using PowerShell When asked to restart the computer, enter “Y” for Yes.
When the computer reboots, Microsoft Defender Application Guard will be enabled. By default, it will have the maximum restriction mode, which means that you would not be able to copy, data, save data, print files, or access the camera or microphone while running the Edge browser inside Application Guard.
However, these features can be enabled on demand.
Allow Copy, Paste, Saving, Printing, Camera, Mic Access in Application Guard
Once Microsoft Defender Application Guard is enabled, it is pretty restrictive towards resource access. It blocks all URLs inside the protective bubble from accessing your storage, RAM, connected peripherals, network, etc. However, you can allow certain access. Here is how:
-
Navigate to:
Settings app >> Privacy & security >> Windows Security >> App & browser control
App and browser control in Windows Security -
Click “Change Application Guard settings” under the Isolated browsing section.
Change Application Guard settings -
Here, toggle the slider into the On position under the setting that you want to allow.
Allow changes to Application Guard settings -
When done, restart the computer for the changes to take effect.
Alternatively, you can also manage Microsoft Defender Application Guard from Group Policy settings. These settings can be found at the following path within the Group Policy editor:
Local Computer Policy >> Computer Configuration >> Administrative Templates >> Windows Components >> Microsoft Defender Application Guard
Open Application Guard in Microsoft Edge
Although Edge automatically isolates the tabs/windows for the URLs that are not found inside the whitelist, you can also optionally open a new, isolated Edge window manually.
Inside Edge, click on the 3 dots in the top-right corner of the browser, then click “New Application Guard window.”
Alternatively, you can also use the CTRL + Shift + Q shortcut keys to open a new Application Guard window in Edge.
Inside the new window, you may scroll through the different website URLs as they will now be isolated from the rest of your environment.
Additionally, if you use Google Chrome or Mozilla Firefox, then you may use the Application Guard browser extension to keep your systems safe:
Download Microsoft Defender Application Guard extension for Chrome
Download Microsoft Defender Application Guard extension for Firefox
Final Thoughts
Microsoft Defender Application Guard uses Hyper-V virtualization technology to isolate web URLs in Edge from the rest of your environment, keeping it safe in case of an attack.
This functionality can be useful for both enterprise users as well as individuals. Additionally, you can also get Application Guard on your mobile devices, which we recommend you should use.
After closing an Application Guard instance, all data is deleted and removed from your PC, with zero chance of infiltration.
Львиная доля случаев заражения компьютера вирусами приходится на веб-серфинг, на момент посещения пользователем сайта с вредоносным программным обеспечением. Хорошо, если антивирус вовремя распознает и остановит угрозу, но ведь хорошо известно, что так бывает не всегда. Да и как быть, если подозрительный сайт всё же нужно посетить? В таких случаях здорово могут выручить инструменты виртуализации, тот же VirtualBox или иная похожая программа. Но есть и другой, альтернативный вариант, реализуемый средствами самой операционной системы. В инсайдерских сборках Windows 10 есть такая функция как Windows Defender Application Guard, позволяющая запускать штатные браузеры Internet Explorer и Microsoft Edge в изолированной виртуальной среде, тем самым предотвращая проникновении вирусов в систему. Все данные, получаемые браузером при посещении сайтов сохраняются в особый контейнер, который по закрытии обозревателя автоматически очищается.
Как в Windows 10 включить песочницу Defender Application Guard
Оценить новое средство дополнительной защиты могут пользователи Windows 10 Enterprise не младше сборки 16227 и Windows 10 Pro не младше сборки 17063. Также важными условиями для корректной работы браузерной песочницы являются:
{banner_google1}
1. 64-битная операционная система.
2. Поддержка аппаратной виртуализации.
3. Наличие на компьютере как минимум 8 Гб оперативной памяти.
Теперь давайте посмотрим, как включить песочницу. Командой optionalfeatures.exe
или через Панель управления откройте апплет включения/отключения компонентов Windows, найдите в списке пункт Windows Defender Application Guard и отметьте его флажком.
По завершении установки компонента вам будет предложено перезагрузить компьютер. Активировать компонент можно также с помощью консоли PowerShell, выполнив в ней такую команду:
Enable-WindowsOptionalFeature -online -FeatureName Windows-Defender-ApplicationGuard
А теперь представим, что вам нужно пошариться на неком подозрительном сайте. Откройте Microsoft Edge, нажатием на три точки в правом верхнем углу вызовите его меню и выберите в опцию New Application Guard window (Открыть приложение в новом окне).
Сайт будет открыт в новом окне, при этом в левом верхнем углу окна появится оранжевая «кнопка», указывающая на активность Defender Application Guard.
Если у вас Windows 10 Enterprise и при этом вы намерены пользоваться песочницей на постоянной основе, можете занести доверенные сайты в белый список. Для этого вам нужно перейти в редакторе локальных групповых политик по цепочке настроек Конфигурация компьютера → Административные шаблоны → Сеть → Сетевая изоляция, выбрать справа политику «Домены корпоративных ресурсов, расположенные в облаке» и добавить в открывшемся окне доверенные сайты через вертикальный разделитель как показано на скриншоте.
Есть также и другие политики, позволяющие управлять функцией Application Guard. Если вы ими заинтересуетесь, подробные сведения об их применении можете получить на официальной странице компании:
docs.microsoft.com/ru-ru/windows/threat-protection/windows-defender-application-guard/configure-wd-app-guard
Windows Defender Application Guard is a security tool built into Microsoft Edge that isolates browser sessions from the desktop in a virtual machine (VM) to prevent any malicious activity from reaching the desktop.
Windows Defender Application Guard is part of the Windows Defender security program that comes built in to Windows 10. Microsoft first added Microsoft Windows Defender to Windows Vista deployments in 2006. The company debuted Windows Defender Application Guard in the Fall Creators Update for Windows 10 in 2017.
IT professionals can set a whitelist of sites that do not need to run Windows Defender Application Guard, and all other sites that users access open through the security tool. When a user accesses a site through Windows Defender Application Guard, Edge runs the site through an isolated container stored in Microsoft Hyper-V Cloud.
Purpose
Windows Defender Application Guard runs isolated browser sessions to protect against several vulnerability types, including malware and zero-day attacks.
When Windows Defender Application Guard opens a site, the browser display changes so the user knows he is on a non-whitelisted site and his current browser session is isolated. Microsoft Edge is automatically set as the preferred browser in Windows 10, so IT must ensure that users maintain this setting through Group Policy to take advantage of Windows Defender Application Guard.
After each session ends, the container deletes all of its history and is immediately ready to run a new session. The session doesn’t store any cookies from the session and prevents the browser from accessing local storage.
Windows Defender Application Guard has two settings for administration: stand-alone and enterprise-managed modes. Stand-alone mode allows the desktop user to manage his settings on his own. Enterprise-managed mode allows IT professionals to control the tool.
What it protects
IT professionals can use Windows Defender Application Guard for various device use cases. PCs and laptops are the simplest to manage and protect because IT can guarantee these devices typically run their connection through the corporate network. This allows IT to manage the endpoints with Microsoft System Center Configuration Manager.
For BYOD laptops, IT has less control over the devices. If users work remotely, the devices won’t always connect to the internet through the corporate network. Generally, users retain administrator privileges for the devices they own, so IT must use Microsoft Intune, Group Policy or a similar tool to manage these devices.
Microsoft designed Windows Defender Application Guard for Microsoft Edge, but Internet Explorer also supports the tool if an organization uses that browser to support legacy applications or because its users prefer Internet Explorer.
This was last updated in September 2018
Continue Reading About Windows Defender Application Guard
- Learn about Edge’s other features
- Details on other Windows 10 update features
- Dive into Windows Defender’s tools
- Configuring Windows Defender Application Guard Group Policies
Dig Deeper on Windows OS and management
-
Microsoft Windows Defender Device Guard
By: Kelly Stewart
-
Windows Defender Exploit Guard
By: Alexander Gillis
-
Windows 10 (Microsoft Windows 10)
By: Stephen Bigelow
-
Microsoft focuses on remote security with Windows 11 update
By: Antone Gonsalves
