Microsoft представила защитную технологию Windows Defender Application Guard для веб-браузера Edge

    Microsoft ранее уже анонсировала специальные защитные меры от вредоносного ПО и кибератак, которые основаны на механизме виртуализации Hyper-V. С выпуском Windows 10 компания представила так называемую среду Virtual Secure Mode (VSM) и две основанные на VSM защитные меры: Device Guard и Credential Guard (доступны для enterprise версий Windows 10). Основное их предназначение заключается в изоляции критических для безопасности операций в мини-ОС, которая работает в отдельной виртуальной машине с высоким уровнем доверия.


    К таким критическим операциям относится проверка легитимности данных UEFI-прошивки компьютера, драйверов режима ядра (Device Guard) и выполнение процедур, которые относятся к аутентификации пользователей (Credential Guard). Новая функция безопасности под названием Windows Defender Application Guard для веб-браузера Edge выполняет аналогичную изоляцию на основе Hyper-V, но только, в этом случае, ненадежных источников контента в веб-браузере.

    Ниже на рисунке представлена архитектура VSM, которая основана Hyper-V. Схожую архитектуру использует и App Guard.


    Как видно выше, основная копия Windows 10 (хост) отделена от VSM изоляцией на уровне гипервизора. Схожий подход применяет и App Guard для Edge. Когда пользователь посещает недоверенный веб-сайт в браузере, он открывается не в контексте виртуальной машины хоста, а в другой, которая создана именно для таких потенциально опасных операций как просмотр контента на небезопасных веб-сайтах.

    ...when an employee browses to a site that is not recognized or trusted by the network administrator, Application Guard steps in to isolate the potential threat. Application Guard creates a new instance of Windows at the hardware layer, with an entirely separate copy of the kernel and the minimum Windows Platform Services required to run Microsoft Edge. The underlying hardware enforces that this separate copy of Windows has no access to the user’s normal operating environment.

    Таким образом, если злоумышленник планирует кибератаку на сотрудников организации и использует для этого фишинговую ссылку, которая может использоваться для организации атаки типа drive-by download, она будет открыта в изолированном на уровне гипервизора окружении. В таком контексте исполнения атакующий не сможет получить для себя никакой новой информации, поскольку в этой виртуальной машине ограничен доступ к любой информации пользователя, располагающейся на хосте. При этом для самого пользователя Edge будет создаваться ощущение, что процесс вкладки работает в системе хоста.

    Windows Defender Application Guard для веб-браузера Edge станет доступна пользователям копий Windows программы Insiders в ближайшие месяцы, а для пользователей релизных копий Windows 10 Enterprise в следующем году.

    Windows Defender Application Guard for Microsoft Edge will become available to Windows Insiders in the coming months, and roll out more broadly next year.
    ESET NOD32
    Company
    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 16

      –5
      То есть теперь веб браузер не позволит мне скачать файл и потом открыть его?
        –3
        Почему не позволит? Позволит, а потом за каждый скачанный торрент и каждую просушенную в плеере в ВК песенку американских правообладателей, предъявит счёт, это же «Виндовс 10 — Все ходы записаны (с) Реклама».
        Останется только скрипт написать, который при пересечении границы ЕС\США будет подбивать кассу и выставлять счёт. А кто не заплатит — Частный ГУЛАГ Уол-Стрита — всегда к Вашим Услугам. (Частные тюрьмы кстати уже появились в Эстонии — «Мы ближе чем выдумаете (с) реклама»)

        но это была шутка. Мне просто любопытно, о какой безопасности браузера можно вести речь, если Win10 постоянно качает Ваши данные с Вашего диска через весь интернет, сомнительный WiFi в аэропортах, гостиницах и кафе, причём Вы никак не можете регулировать и контролировать этот процесс?
        Что то типа ЯБ + Яндекс ДНС + ДНСКрипт мне кажется будет на порядок безопаснее в бытовом плане (прежде всего онлайн банки и онлайн магазины).
          –2
          Видимо, речь идет о защите от чисто софтверных угроз, типа вирусов и эксплойтов
          . Хоть гипервизор — не полноценная виртуалка, но и это все же лучше, чем работа в окружении пользователя (тем более, что чаще всего пользователь работает с правами Администратора).
            0
            Только как то браузер должен взаимодействовать с реальным железом, принтеры, сохранение файлов, звук, ускорение видео. Вот интересно как оно реализовано.
            И интересно Hyper-V вроде раньше не давал работать VirtualBox и VMWare это поправили уже?
              0
              > гипервизор — не полноценная виртуалка

              Какое-то новое слово в виртуализации. Hyper-V относится к гибридному типу гипервизоров(I+). Гибридный гипервизор состоит из двух частей: из тонкого гипервизора, контролирующего процессор и память, а также работающей под его управлением специальной сервисной ОС в кольце пониженного уровня.

              Да, гипервизор вообще не виртуалка, а вот виртуалки работающие под его управлением вполне себе настоящие, не игрушечные.
              0
              По идее — HTTPS,SSh, etc позволяют безопасно работать даже через сомнительные точки доступа.
                0
                Выбрасывайте свой Андройд, Яблоид или что у вас там? Потому что на серверах хранится ваш голос с запросами поиска. И вы сами нажали клавишу «Принять». Да-да. Сдувайте пыль с Р-159, хватайте автомат и каску, бегите в леса, копать себе бункер. Шутка.
                Кстати, есть дистрибутивы Linux для сохранения анонимности. Опенсорс же. Пилите, Шура.
              –2
              Новая «технология» может быть и хороша, но не доверия продукту, которому не верит сам разработчик.

              Пример: Вы попробуйте открыть браузер IE или его новую реинкарнацию EDGE в Windows 10 из под стандартной учетной записи «Администратор». Не получается? Все верно, эта невинная функция заблокирована по умолчанию.

              Возможно, это такой хитрый ход для борьбы с возмутительным скачиванием других браузеров.
                0
                Нужно скачать и запустить потом с правами администратора. Запускать браузер с правами админа, тем более ИЕ, это равноцено выстрелу себе в ногу.
                  0
                  Причём тут браузеры? Под встроенным администратором плиточные приложения не запускаются
                    0
                    Конечно не верит! Правильно делает!!! Если для работы браузеру не нужны права админа, то он может не хотеть их брать.

                    0-Day уязвимости находили во всех значимых браузерах, их ещё найдут во всех значимых браузерах. Microsoft прекрасно понимает что и их браузер(ы :)) не исключение. Если Microsoft разрешит запустить IE из под админа, а потом кто-то заэсплойтит такую уязвимость, то… Короче нормальное, ответственное поведение.

                    P.S. Даже странно защищать IE, сам не юзаю его %):)
                    0
                    Операционным системам нужен своего рода программный Firewall. Где каждая программа должна иметь профиль в котором оговаривается, что она может делать, а что нет.

                    Пару примеров:

                    1. notepad.exe — может работать с дисками, но вот никак не может работать с сетью
                    напрямую и никак не может менять настройки операционной системы.
                    2. iexplore.exe — может работать с сетью, но никак не может менять критические настройки операционной системы.

                      –1
                      Называется такой подход MAC, самая известная реализация — SELinux. В итоге все гладко на бумаге, только правила никто писать не хочет, а для программ посложнее блокнота само написание таких правил — весьма нетривиальное занятие. Ну и пользователи (или администраторы, что случается намного чаще) не выносят прокрустового ложа MAC и отключают его начисто. Ничего личного, просто в очередной раз при выборе между безопасностью и удобством использования выбрали удобство.
                        0
                        Вы изобрели SELinux и AppArmor, а для конкретных приложений вы изобрели snap и Flatpak.
                          0
                          Второе — да, а первое не позволит открыть документ на сетевом диске (не знаю, правда. зачем для этого неудобный блокнот, но кто-то может пользоваться).
                          0
                          Microsoft, как всегда, скопировали фишку из линуховых решений(как когда-то скопировав часть функций Beryl'а они «создали» свой Aero) и будут рассказывать, что это все круто и инновационно. А что они просто украли идею из давно прекрасно работающей Qubes OS они нигде не скажут.

                          Only users with full accounts can post comments. Log in, please.