Beheer

Windows
Edge kan zich beter verweren tegen bedreigingen

Internetten in Windows 10 veiliger via virtuele machine

Browsen in Windows 10 wordt veiliger - eerst alleen met Edge, en alleen voor bedrijven.

27 september 2016

Browsen in Windows 10 wordt veiliger - eerst alleen met Edge, en alleen voor bedrijven.

De browser is en blijft een zwakke plek in de beveiliging van pc's. Logisch ook, want dat is de plek waar de eigenaar mee de 'cyberstraat' op gaat. Microsoft maakt die straat, als je 'em met Edge onder Windows 10 opgaat, in één klap een stuk veiliger door toepassing van virtualisatietechnologie.

Windows Defender Application Guard for Microsoft Edge heet de nieuwe beveiligingstechniek die Microsoft gaat inbouwen in Windows 10 voluit. En dat gaat een stapje verder dan de 'sandbox' waarmee de mogelijkheden om via Edge bij functionaliteit van het besturingssysteem te komen, nu al beperkt worden.

De Application Guard bouwt voort op de Virtualization Based Security-techniek in Windows 10. Die creëert een lichtgewicht virtuele machine om belangrijke gegevens te isoleren van directe toegang vanuit het systeem. De bekendste toepassing ervan is Credential Guard voor het opslaan van inloggegevens en wachtwoordhashes. Door authenticatiegegevens te isoleren in een virtuele machine met geen andere functie dan het managen van dergelijke gegevens, maakt Credential Guard het stukken moeilijker om die gegevens te stelen, en ook om toegang te krijgen tot een systeem met authenticatiegegevens die elders in het netwerk gestolen zijn.

Geïsoleerde omgeving

Application Guard draait de browser op dezelfde manier: in een virtuele machine met alleen de functionaliteit die nodig is om de browser te draaien. Vanuit die virtuele machine kun je geen andere processen op de pc zien, geen toegang krijgen tot lokale opslag, geen andere applicaties op de pc aanroepen en niet de kernel van het besturingssysteem aanvallen. Alleen sites die door beheer goedgekeurd zijn, worden niet onderworpen aan die beperkingen.

Windows Defender Application Guard for Microsoft Edge is, zoals de naam al zegt, alleen beschikbaar voor Microsofts eigen browser. Microsoft publiceert geen Application Programming Interface waarmee andere browsers of andere applicaties op deze techniek kunnen inhaken - mochten ze dat willen.  

Alleen voor zakelijke markt

De techniek is bovendien vooralsnog alleen beschikbaar op de Engerprise-editie van Windows 10. Of dat nog gaat veranderen, is onduidelijk. Toepassing ervan heeft namelijk ook nadelen die in de consumentenmarkt zwaarder zullen wegen dan bij zakelijke toepassing. Zo kun je in een virtuele machine zonder toegang tot opslag geen persistente cookies opslaan: die worden gewist bij het afsluiten van de virtuele machine. Virtualisatie stelt ook eisen aan de hardware waar veel consumenten-pc's niet aan voldoen. Dat is in de zakelijke markt overigens ook wel een punt van aandacht. De processor moet hardwarevirtualisatie ondersteunen, en het systeem moet ook in staat zijn tot virtualisatie van de I/O.

Ander punt van aandacht is dat toepassing ervan uitsluit dat er van andere virtualisatie-oplossingen dan Microsofts Hyper-V gebruikgemaakt wordt. Er mag namelijk maar één virutele machine tegelijk draaien. En de toepassing van Windows Defender Application Guard for Microsoft Edge zal zeker ook consequenties hebben voor de prestaties van de pc. Welke, dat is op dit moment onduidelijk.

Windows Defender Application Guard for Microsoft Edge komt nog dit jaar beschikbaar in de proefversies die Microsoft verspreid onder Insiders. Het zal in de loop van 2017 zijn opwachting maken in de productieversie van Windows 10.

Lees meer over
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.