上はWindows 10でのHyper-V仮想マシンの保護されたEdgeプロセスで、下は通常のEdgeです。 画像:マイクロソフト
昨日、Microsoft Ignite技術会議で、レドモンド社はITプロフェッショナル向けの多数の新しいソフトウェアソリューションとサービスを発表しました。 その中で最も興味深いのは、Windows Defender Application Guardテクノロジです。このテクノロジは、Windows 10 Enterpriseの次のメジャーアップデートで2017年初めに展開されます。 エンタープライズです。 マイクロソフトは、ブラウザー保護は企業バージョンでのみ機能することを決定しました 。
Windows Defender Application Guardは、特別な「保護」モードです。 このモードでは、Hyper-Vハイパーバイザーに基づいた仮想マシン内でEdgeプロセスが開始されます。
なぜこれが必要なのですか?
Edgeの新しいプロセス保護システムは、Microsoft が6月に導入した Virtualization Based Security(VBS)と呼ばれる仮想化システムに基づいています。
VBSは、重要なデータとプロセスをシステムの他の部分から分離します。 したがって、安全でない部分で起動されたプログラムは、コンテナに隠された機密データにアクセスできません。 たとえば、被害者のマシンからパスワードハッシュ、証明書、およびその他の有用な情報を収集するためのMimiKatzプログラムは、Windows 10のCredential Guardコンテナー内のデータにアクセスするだけでなく、Windows 7でもうまく機能します。
Edgeプロセスを分離すると、攻撃者がブラウザを介してエクスプロイトを起動することがより困難になります。 最初に仮想マシンを超える必要があります。
実際、Edgeでは、プロセスは比較的孤立したサンドボックスで起動されるため、システム内の他のリソースへのアクセスが制限されています。 同じサンドボックス内で、プロセスは他のブラウザーのChrome(個々のプロセスにサンドボックスを実装したブラウザーの中で初めて)で起動されます。 実践が示すように、ハッカーはサンドボックスから抜け出し、被害者のコンピューターでコードを正常に実行するために、悪用のチェーンを使用する必要があります。 しかし、これは非常に現実的です。特に、ほとんど毎日ブラウザ、プラグイン、オペレーティングシステムに新しい0day脆弱性が見つかっているためです。
Windows Defender Application Guardは、ブラウザーのサンドボックスよりもはるかに深刻な障害になります。 他のプロセスは仮想マシンから見えず、ドライブ、インストールされたアプリケーションおよびファイルへのアクセスはありません。そして最も重要なことは、オペレーティングシステムのカーネルへのアクセスがありません。
「保護された」プロセスを閉じると、仮想マシンはすべてのCookieおよびその他のデータとともに破棄されることが保証されます。 セキュリティの観点から、これは理想的です。
明らかに、仮想環境では、プログラムの実行は通常の環境よりも遅くなりますが、マイクロソフトはこの問題に関する詳細な情報をまだ提供していません。
ハイパーv
Hyper-Vハードウェア仮想化テクノロジーは、Windows Server 2012 R2、Windows Server 2012、Windows Server 2008 R2、Windows Server 2008のサーバー、およびWindows 8、Windows 8.1、Windows 10のデスクトップ64ビットProおよびEnterpriseバージョンで動作します。
Hyper-Vアーキテクチャによれば、ハイパーバイザーの各インスタンスには、オペレーティングシステムが実行されている親パーティションがあります。 仮想化スタックを実行します。 その後、Hyper-Vで導入されたAPIハイパーバイザーを使用して、親セクションが子セクションを生成します。 各子セクションは、独自の子セクションを生成できます。
子セクションはハードウェアリソースに直接アクセスできませんが、仮想デバイスと呼ばれるリソースの仮想表現を取得します。 仮想デバイスにアクセスしようとすると、VMBus論理チャネルを介して、この要求を処理する親パーティションのデバイスにリダイレクトされます。
Windows Defender Application Guardの場合、Edgeブラウザーは仮想マシンで実行され、ブラウザーの起動に必要なオペレーティングシステムモジュールも実行されます。
公式には、Edge仮想化はWindows 10 Enterpriseでのみ利用可能になります。 他のVBS機能と同様に、グループポリシーを通じて管理機能とともに使用できます。
Hyper-V仮想化システムは、Windows 8、Windows 8.1、およびWindows 10の64ビットバージョンのProオペレーティングシステムでも動作します。理論的には、このコンポーネントがオペレーティングシステムにインストールされている場合、Windows 10 Proサポートされていません。
Hyper-Vには、Intel VTやAMD Virtualizationなどのハードウェアベースの仮想化サポートを備えたx64互換プロセッサーが必要です。 つまり、新しいモードのEdgeはすべてのコンピューターで機能するわけではありません。
ユーザーは、Hyper-Vのインストール後、VMware WorkstationやVirtual Boxなどの他のハイパーバイザーで問題が発生する可能性があることにも注意する必要があります。
マイクロソフトは、OSレベルの仮想化を活用するためのAPIを他のアプリケーションに提供していません。 これまでのところ、この排他的な機能はMicrosoftプログラム専用です。 したがって、Microsoftのブラウザは、Microsoftからオペレーティングシステムの特権的な位置を受け取ります。 この事実が反トラスト当局の関心を喚起するのは驚くことではありません。
以前は、誰もがWindowsを最大構成でインストールしました(家庭用コンピューターでも)。 Microsoftの最新のアクションから判断すると、「プロフェッショナル」バージョンは企業バージョンよりも機能が劣っています。 将来、Windows 10 Enterpriseを自宅のコンピューターとラップトップに設置し、各職場で月額7ドルを支払う必要は本当にあるのでしょうか?