Beheer
Internetten in Windows 10 veiliger via virtuele machine
Browsen in Windows 10 wordt veiliger - eerst alleen met Edge, en alleen voor bedrijven.
Browsen in Windows 10 wordt veiliger - eerst alleen met Edge, en alleen voor bedrijven.
Windows Defender Application Guard for Microsoft Edge heet de nieuwe beveiligingstechniek die Microsoft gaat inbouwen in Windows 10 voluit. En dat gaat een stapje verder dan de 'sandbox' waarmee de mogelijkheden om via Edge bij functionaliteit van het besturingssysteem te komen, nu al beperkt worden.
De Application Guard bouwt voort op de Virtualization Based Security-techniek in Windows 10. Die creëert een lichtgewicht virtuele machine om belangrijke gegevens te isoleren van directe toegang vanuit het systeem. De bekendste toepassing ervan is Credential Guard voor het opslaan van inloggegevens en wachtwoordhashes. Door authenticatiegegevens te isoleren in een virtuele machine met geen andere functie dan het managen van dergelijke gegevens, maakt Credential Guard het stukken moeilijker om die gegevens te stelen, en ook om toegang te krijgen tot een systeem met authenticatiegegevens die elders in het netwerk gestolen zijn.
Geïsoleerde omgeving
Application Guard draait de browser op dezelfde manier: in een virtuele machine met alleen de functionaliteit die nodig is om de browser te draaien. Vanuit die virtuele machine kun je geen andere processen op de pc zien, geen toegang krijgen tot lokale opslag, geen andere applicaties op de pc aanroepen en niet de kernel van het besturingssysteem aanvallen. Alleen sites die door beheer goedgekeurd zijn, worden niet onderworpen aan die beperkingen.
Windows Defender Application Guard for Microsoft Edge is, zoals de naam al zegt, alleen beschikbaar voor Microsofts eigen browser. Microsoft publiceert geen Application Programming Interface waarmee andere browsers of andere applicaties op deze techniek kunnen inhaken - mochten ze dat willen.
Alleen voor zakelijke markt
De techniek is bovendien vooralsnog alleen beschikbaar op de Engerprise-editie van Windows 10. Of dat nog gaat veranderen, is onduidelijk. Toepassing ervan heeft namelijk ook nadelen die in de consumentenmarkt zwaarder zullen wegen dan bij zakelijke toepassing. Zo kun je in een virtuele machine zonder toegang tot opslag geen persistente cookies opslaan: die worden gewist bij het afsluiten van de virtuele machine. Virtualisatie stelt ook eisen aan de hardware waar veel consumenten-pc's niet aan voldoen. Dat is in de zakelijke markt overigens ook wel een punt van aandacht. De processor moet hardwarevirtualisatie ondersteunen, en het systeem moet ook in staat zijn tot virtualisatie van de I/O.
Ander punt van aandacht is dat toepassing ervan uitsluit dat er van andere virtualisatie-oplossingen dan Microsofts Hyper-V gebruikgemaakt wordt. Er mag namelijk maar één virutele machine tegelijk draaien. En de toepassing van Windows Defender Application Guard for Microsoft Edge zal zeker ook consequenties hebben voor de prestaties van de pc. Welke, dat is op dit moment onduidelijk.
Windows Defender Application Guard for Microsoft Edge komt nog dit jaar beschikbaar in de proefversies die Microsoft verspreid onder Insiders. Het zal in de loop van 2017 zijn opwachting maken in de productieversie van Windows 10.
is voormalig adjunct-hoofdredacteur AG Connect