Windows Defender Application Guard for Microsoft Edge fungerer som et isolat som beskytter resten av pc-en mot skadevare som kommer inn via nettleseren. (Bilde: Microsoft)

Windows Defender Application Guard

Microsoft skal putte nettleseren i en separat, virtuell maskin

Skal gi bedre sikkerhet i bedriftene.

Microsoft lover å gjøre nettleseren Edge til den sikreste nettleseren for bedrifter. Dette kunngjorde Yussof Mehdi, corporate vice president for Microsofts Windows and Devices Group, under selskapets Ignite-konferanse i Atlanta i går. 

I løpet av neste år skal Windows 10 Enterprise få en funksjon som kalles for Windows Defender Application Guard. Med denne teknologien kan bedriftenes IT-administratorer opprette en liste over tiltrodde nettsteder, ved hjelp av gruppepolicyer. Når brukeren besøker disse, vil nettleseren kjøres på vanlig måte. 

Leste du denne? Kjør Windows 10 i Windows 10 i Windows 10

Virtualisering

Men når brukeren ønsker å besøke et nettsted som ikke finnes på listen, blir Edge i stedet kjørt i en separat, virtuell og minimalisert Windows-instans. Denne kjøres igjen oppå hypervisoren Hyper-V og er maskinvare-isolert fra den vanlige Windows 10-instansen til brukeren. 

Dette bygger på sikkerhetsteknologi som allerede er tilgjengelig i Windows 10, Virtualization Based Security (VBS). Dette brukes allerede av Credential Guard, som i Enterprise-utgave av operativsystemet lagrer autentiseringsinformasjon, som passordhasher, inne i en separat konteiner med svært begrenset funksjonalitet. Dette skal kunne hindre angrep basert på vanlige teknikker som «pass the hash».

Windows Defender Application Guard fungerer litt på motsatt måte, ved at det er hovedinstansen av Windows 10 som skal beskyttes mot det som foregår innen i den vesle, virtuelle maskinen, ikke omvendt. 

Det er foreløpig begrenset hva Microsoft har utgitt av informasjon om Windows Defender Application Guard, men Ars Technica har en mer omfattende gjennomgang.

Les også: Nå kan vanlige Windows-programmer lastes ned fra Windows Store

Isolasjon

Blant annet vil ikke prosessene som kjøres i den lille instansen få tilgang til prosesser, lokalt lagrede data, installerte applikasjoner eller kjernen til hovedsystemet. Denne separasjonen skal utgjøre en langt større barriere mot angrep enn det som er mulig med programvarebaserte sandkasser, som mange nettlesere benytter i dag. 

Ars Technica skriver videre at den første utgaven av Windows Defender Application Guard ikke vil være tilgjengelig i andre utgaver av Windows 10 enn Enterprise-utgaven, og heller ikke for annen programvare enn Edge. 

Utvides kanskje senere

Men Microsoft skal erkjenne at dette er funksjonalitet som man kan ønske seg også i andre utgaver av Windows 10, og for andre applikasjoner – både enkelte av Microsofts egne og tredjepartsprodukter. 

Det understrekes også at maskinvaren må ha innebygd støtte for virtualisering (noe de aller fleste har i dag), men også at det kun kan kjøres én hypervisor på systemet om gangen. Det er derfor ikke mulig å benytte andre virtualiseringsprodukter, som Oracle VirtualBox eller VMware Workstation, samtidig med Hyper-V på disse systemene. 

Les også: Microsoft bringer virtuell virkelighet til nettleseren

Kommentarer (5)

Kommentarer (5)
Til toppen