196

Windows 10 1809: Application Guard

В этой заметке кратко поговорим о технологии Application Guard защитника WIndows.

Данная технология позволяет запускать браузер Microsoft Edge в изолированном виртуальном контейнере. Application Guard создает  новый экземпляр WIndows с минимальным количеством  служб для работы Microsoft Edge. Считайте, что браузер запускается в виртуальной машине.


Потенциально опасный сайт, открытый в таком режиме не сможет получить доступ к данным пользователя, к локальной сети, памяти компьютера и приложениям основной системы.

После закрытия браузера, контейнер удаляется.

Более подробно можно почитать в Windows Blog


Для того, что-бы включить режим, откроем "компоненты Windows" - пункт так и называется.


Для тех, кто не знает: в Windows 10 классическую панель управления можно открыть:

WIN+R и вводим control

Windows 10 1809: Application Guard Windows 10, Microsoft Edge, Edge, Apptication Guard, Windows, Длиннопост

В контейнер можно попасть как через меню браузера, так и настроить автоматическое открытие сайтов через GPO.

Windows 10 1809: Application Guard Windows 10, Microsoft Edge, Edge, Apptication Guard, Windows, Длиннопост

При запуске режима, мы увидим процесс создания образа контейнера.

Windows 10 1809: Application Guard Windows 10, Microsoft Edge, Edge, Apptication Guard, Windows, Длиннопост

Контейнер хранится в AppData.

Windows 10 1809: Application Guard Windows 10, Microsoft Edge, Edge, Apptication Guard, Windows, Длиннопост

Для контейнера будет создан отдельный сетевой адаптер

Windows 10 1809: Application Guard Windows 10, Microsoft Edge, Edge, Apptication Guard, Windows, Длиннопост

Послесловие: Application Guard защищает ваши данные от потенциально опасного сайта. Даже пойманный шифровальщик не будет представлять большого вреда, так как ему недоступны ресурсы сети и локального компьютера, а контейнер удаляется при выходе. Не стоит путать это с режимами Инкогнито.

Дубликаты не найдены

+14

надо отметить, жрет ресурсов прилично, на моем 6006U/8gb/SSD сайты в таком режиме тормозят знатно.

раскрыть ветку 7
+7
Я думпю тут дело не столько в самой системе, сколько в настройках этой самой ВМ, которые от нас любезно скрыты, полагаю. Но в любом случае гиперв я так понимаю прозрачно выдавать весь проц не сможет, а значит, этот режим будет де-факто тормознее, чем обычный...

Надо уже мне сходить с этих current branch for business, все интересное олучаю с запазданием.
раскрыть ветку 1
+1

Там ещё и браузер как RemoteApp отображается. RDP в последних реализациях очень хорош - хоть фильмы смотри. Но согласен - настроек мы не видим.

+3

Я для таких целей легкий linux в виртуалке поднимаю и не парюсь.

раскрыть ветку 3
+2

А я просто не ползаю куда не надо, но ситуации бывают разные. В целом, для разовой акции - режим прикольный, просто, удобно, стильно, молодёжно (С). Для постоянного использования... как-то и сомнительно, и тормознуто, да и вообще не ясно на кого режим рассчитан. Не для домашних пользователей первый же вопрос от старшего поколения будет:

-А как я пойму что вот этот сайт подозрительный?

Не для гиков. У тех виртуалки, торы, no script прочее. Да и вообще люди понимают что делают.


В целом я отношусь к этому режиму скорее положительно, чем отрицательно - нихай себе будет, есть не просит, глядишь и пригодится... где-нибудь...когда-нибудь...может быть.

раскрыть ветку 1
0

Это лишние телодвижения + знания надо уметь. Тут намного проще.

0

я думаю, такой функционал скорее нацелен на девелоперов или мазохистов

+1

Прочитал, поддался любопытству, включил. Ну, то, что фича распространяется только на Edge, здесь уже упомянуто, а вот момент, заключающийся в установке ядра Hyper-V при активации Application Guard был для меня сюрпризом. Собственно, если бы эмулятор Android не ругнулся, я бы и не узнал про это. В общем, правило "Не ставь новую винду, пока не выйдет сервис-пак" всё еще работает. Пока что AG не более чем свистоперделка.

раскрыть ветку 3
0

Сервиспаков больше не будет

раскрыть ветку 2
+1

Я в курсе, Леонид.

раскрыть ветку 1
+2

.vhdx - это что, отдельная виртуалка запускается? А виртуализации отдельной включенной оно требует? На Home редакциях запускается?

раскрыть ветку 4
+4

В 10ке Pro есть Hyper-V(конфликтует в VmWare кстати, если стоит Варя то Hyp не включишь), видимо на его основе реализовано, там у ТСа на скрине стоит что установлена Hyp. И в Home скорее всего не взлетит(

раскрыть ветку 1
-1

На этом компьютере от Hyper-V стоит только консоль. Но судя по процессам в диспетчере задач и по имени сетевого адаптера, Hyper-V там есть. Как то суслик. Ну Вы поняли.

+2

Виртуализацию оно требует, насчет WIndows 10 Home - проверю.

раскрыть ветку 1
0
а от возможностей процессора зависит? не все поддерживают VT-x или VT-d (уж не знаю в чём разница)
0

Опция,  принципе, полезная, но есть нюанс: на сокете 775 не работает.

Иллюстрация к комментарию
раскрыть ветку 1
0

Там нет поддержки SLAT скорее всего.

0

не поддерживается, говорит, апликейшн гард :)

Иллюстрация к комментарию
0

Раньше я пользовался такой программой как Sandbox. Создавала локальный реестр, локальную файловую структуру (не всю, естественно).

раскрыть ветку 2
+1

Вы, видимо, имеете в виду Sandboxie.
Я тоже её использую, неплохая вещь.
Проблема в том, что почти все песочницы ОЧЕНЬ легко детектятся, даже в сравнении с большими виртуалками. В среднем, на детект нужно 2-3 строчки кода.

Например, Sandboxie детектилась так:

if (GetModuleHandleA("sbiedll.dll"))
{
....run_fake_payload();
}

Сейчас, мб, тоже детектится точно так же. То есть просто поиском подгруженной DLL - это ппц провал. А что происходит дальше? Запускается фэйковая нагрузка, вводящая в заблуждение. И очень часто после этого выполняется запуск на реальных машинах. Чего делать категорически нельзя. Лучше сначала чекнуть IDA Pro.

В любом случае, можно пробежать адресное пространство процесса и почекать сигнатуры, проверить имя компьютера, некоторые специфические ключи реестра, попытаться выполнить нетипичную операцию (типа манипуляций с FLS) - и пустить процесс по фэйковому пути. Песочница никаких характерных признаков вредоносного ПО не покажет)

Это можно рассматривать как защиту от скрипткидди, но не адекватного человека, который хотя бы раз в месяц читает подборки и бюллетени и умеет копипастить код с гитхаба.

раскрыть ветку 1
0

да мне для запуска триалок и шаровар хватало ее возможностей. Первоначально и порнуху в ней смотрел )

0

насколько я помню у Касперского есть такая фича, типа запуск сайта в песочнице
и вот он тоже тянет ресурсов прилично

думаю этим стоит пользоваться разве что на сайтах, где вводишь данные карты, например, ну или очень важные данные, но не повсеместно

0

@moderator, поправьте ссылку в посте, пожалуйста, указана с ошибкой зачем-то https://blogs.windows.com/russia/2016/10/05/windows-defender...

0

Кстати, то, что написано в посте в ультимативной форме, не совсем верно, так как выйти за пределы виртуальной машины можно - это раз. И если браузер окажется уязвимым, то данные, с которыми он работает, всё равно будут скомпрометированы - это два.


Кстати, эксплоиты для выхода из виртуальной машины (VMWare) на хост только недавно демонстрировали китайцы. А если администратор дурак,то при помощи, скажем, dll-хайджекинга, атаки на сетевую инфраструктуру и прочие способы можно обойтись и без зеродеев.

раскрыть ветку 3
-1

Выход вредонос из виртуалки - а там Линукс.

раскрыть ветку 2
0

Вполне реально, кстати, т.к. десятка дружит с линуксами. Получится такой своеобразный шлюз, через который пройти будет несколько сложнее

0

И что, думаете, нельзя написать модуль для Linux?) Не факт, что настраивалось это прямыми руками.

-8

такая же бесполезная вещь как и сам Edge

раскрыть ветку 3
+1

откуда вы беретесь?

вы в информационной безопасности понимаете что-нибудь?

читали о чем написано?

раскрыть ветку 2
-4

еще в старом авасте было вирт машина. А тута на винде мать его, ТЕХНОЛОГИИ итить (нет, говно не нужное)

раскрыть ветку 1
-7
Потенциально опасный сайт, открытый в таком режиме не сможет получить доступ к данным пользователя, к локальной сети, памяти компьютера и приложениям основной системы.

Но Microsoft  с любезностью будет получать телеметрию с этой виртуальной оболочки.

Иллюстрация к комментарию
раскрыть ветку 2
0

Телеметрии там нет скорее всего. Зачем она им от туда?

раскрыть ветку 1
-1

телеметрия нынче берется со всего, тем более в защищенном режиме будут открывать самое вкусное. и вообще..обычный эдж стучит как член партии, а защищенный резко не будет, что за бред?

Иллюстрация к комментарию
-9

С целью защиты устройства от вредоносных программ нужно просто удалить Edge.


который в отличие от ФФ и Хрома - с закрытым исходным кодом, т.е. кот в мешке.

раскрыть ветку 8
0

Firefox и chrom не защитят ваши данные и данные в сети от сайтов. Они работают в одной области памяти с Вами.

раскрыть ветку 7
+2
Т.е. теперь, я через эдж могу смотреть порно, не боясь подцепить бенер?
раскрыть ветку 1
+1

В одной области памяти? Что за ядерный бред? У каждого процесса свое адресное пространство.

-7

я знаю где они работают и как работают. а вы просто форсите очередную ненужную хрень от M$.

раскрыть ветку 3
ещё комментарии
-9
Данная технология позволяет запускать браузер Microsoft Edge

Проще говоря - очередная ненужная функция, способная только впустую жрать ресурсы компьютера.

раскрыть ветку 33
+15

Так вся винда, по мнению авторов книг из 90ых это ненужная функция жрущая ресурсы компьютера. Как впрочем и другие графические ОС )

+2
ну почему же виртуализация приложений это даже хорошо, по типу Docker'а или BSDшного джейла. меньше мусора в системе, защита от вредоносных действий, возможно даже кросплатформенность и переносимость без переустановки. Представь тебе нужно на 100 конторских машин накатить туеву гору уже настроенных приложений, через AD не всегда это получается, а тут вкатал ось, при включении sysprep накатил драйвера, подключил репозиторий накатил образы этих приложений и все счастливы, быстро и удобно. Почему до сих пор такого нет... ну или я не могу найти.. подскажите кто умеет, буду благодарен!
раскрыть ветку 6
+1
APP-V, SCCM, который бывший SMS.

Но вообще у меня еще не было задач на наших 2000 машинах, которые не удавалось решить AD и павершеллом.
+1
App-v как раз для этого
раскрыть ветку 1
-2
p.s.: наверное, именно по этой причине больше тянет к 'nix системам..
раскрыть ветку 2
0

Смею не согласиться. Например: требуется посетить потенциально опасный сайт ( по работе например). Что проще: виртуалку поставить и систему туда накатывать или галочку включить?

раскрыть ветку 24
0

может вместо того что бы засовывать браузер в виртуалку мы сделаем не дырявый браузер? да неее бреед.. к тому же кем вы работаете что вам надо лазить по настолько опасным сайтам?

раскрыть ветку 1
-4

Вот если бы этот функционал реализовали для других приложений - тогда да. А так, какой смысл, если она реализована только для никому ненужного Edge? А вообще, для таких случаев должно быть нормальное антивирусное решение, а не костыли в виде запуска зашквар-браузера, встроенного в систему.

раскрыть ветку 13
-7

проще использовать некоммерческий софт с открытым исходным кодом

раскрыть ветку 7
ещё комментарии
-9

нафиг это

чуваки всё хорошее уже давно придумано)

http://www.shadowdefender.com/index.html

http://www.shadowdefender.com/download.html

https://hobbyits.com/zashhita-windows-s-pomoshhyu-programmy-...

Программа Shadow Defender поставит систему Windows в режим тени с выборочным сохранением данных, что поможет предотвратить потерю важной информации и защитить операционную систему от проникновения разного рода вируса. На сегодняшний день программа совместима только со всеми версиями операционной системой Windows (XP/7/8).

ещё комментарии
-2

Первое полезное нововведение в обновлениях десятки. (вообще идея с Appguard и Secure Core годная, но завязка на secure boot и прочую проприетарщину напрочь убивает)

раскрыть ветку 3
+1

А еще половину этого добра руками включать надо. Я х.з. почему, но на 2\3 приезжающих к нам ПК виртуализация отключена, TPM отключен, secure boot отключен (да-да у нас фирма на виндузе)

раскрыть ветку 2
0

TPM? Вы не в России случайно?

Есть ощущение, что MS будет продавать фичи безопасности за отдельные деньги, но... посмотрим, в общем

раскрыть ветку 1
Похожие посты
305

Песочница Windows

Windows 10 1903 принесла нам песочницу Windows Sandbox. Это очередная технология Microsoft, использующая возможности Hyper-V без установки последнего. Ранее я писал уже про подобный подход в Application Guard защитника Windows. Она стала первой технологией, использующей функции Hyper-V для запуска браузера в изолированном окружении, доступная владельцу Windows 10 Pro и старше без танцев с бубном. Песочница позволяет быстро создать временную изолированную среду для запуска потенциально опасных приложений и документов. Все изменения, внесенные в песочницу не сохраняются и при её закрытии будут утеряны.

Системные требования:


- Windows 10 Pro или Enterprise 1903 (билд 18305 и выше)

- Архитектура AMD64 (64-х разрядная система и процессор)

- 4 Гб RAM (8 рекомендуется)

- 1 Гб дискового пространства ( рекомендуется использовать SSD)

- Включенная поддержка аппаратной виртуализации в UEFI/BIOS

- 2-х ядерный процессор ( рекомендуется 4-х ядерный с Hyper-Threading)


Преимущества перед виртуальной машиной


- Высокая готовность. Первоначально нужно лишь включить компонент. Не нужно ничего скачивать или устанавливать. Песочница запускается менее минуты.

- Оперативное восстановление. Подобно восстановлению ВМ из снимка, песочница оживает при её перезапуске. Не нужно ничего восстанавливать, если песочница повредилась. Закрыли и открыли — всё уже работает.

- Безопасность. Песочница использует аппаратную виртуализацию. Hyper-V изолирует ядро песочницы от ядра основной системы.

- Отсутствие следов. После закрытия песочницы её данные удаляются, а дисковое пространство, занятое файлом виртуального жесткого диска мгновенно возвращается системе.

- Производительность. Используется аппаратное ускорение GPU, умное управлениепамятью и интегрированный планировщик задач.

- Это бесплатно. Операционную систему песочницы не нужно отдельно лицензировать в отличии от системы на том-же VirtualBox.


Включение Windows Sandbox


Для включения песочницы нам следует ввести команду в PowerShell:

Enable-WindowsOptionalFeature -FeatureName "Containers-DisposableClientVM" –Online


Или в командной строке:

Dism /online /Enable-Feature /FeatureName:"Containers-DisposableClientVM" -All


Или найти апплет включения компонентов в панели управления. После установки компьютер следует перезагрузить.

Песочница Windows Windows 10, Виртуализация, Sandbox, Microsoft, Windows, Длиннопост

Использование


Воспользовавшись поиском Windows мы легко найдем песочницу. Ярлык так-же есть в главном меню.

Песочница Windows Windows 10, Виртуализация, Sandbox, Microsoft, Windows, Длиннопост

На запуск песочницы уходит около минуты, при этом формируется контейнер со своим виртуальным диском.

Песочница Windows Windows 10, Виртуализация, Sandbox, Microsoft, Windows, Длиннопост

В списке процессов её так-же никто не прятал. В моём случае, это процессы 5816 и 17976:

Песочница Windows Windows 10, Виртуализация, Sandbox, Microsoft, Windows, Длиннопост

Как видно, используется Hyper-V, хоть в его оснастке и пусто. Но давайте взглянем на саму песочницу. Это такая же Windows, как у нас. Характеристиками система не обделена: ядер процессора как у хоста, 4 гигабайта памяти и 40 гб жесткий диск. Достаточно для большинства задач подобного рода. Стоит отметить, что виртуальный диск увеличивается динамически по мере использования. память так-же в системе используется динамическая, но в отличие от виртуального диска, возвращает системе неиспользованное пространство.


Работать с песочницей предельно просто. Окно, что мы видим — это подключение по RDP, его можно развернуть в полный экран — система масштабируется. Принтеры проброшены в момент подключения. Интернет будет из коробки. В зависимости от настроек виртуального коммутатора, будет видна локальная сеть (по умолчанию видна). Файлы можно передать в песочницу через копировать — вставить, буфер обмена работает.

Песочница Windows Windows 10, Виртуализация, Sandbox, Microsoft, Windows, Длиннопост
Песочница Windows Windows 10, Виртуализация, Sandbox, Microsoft, Windows, Длиннопост
Песочница Windows Windows 10, Виртуализация, Sandbox, Microsoft, Windows, Длиннопост
Песочница Windows Windows 10, Виртуализация, Sandbox, Microsoft, Windows, Длиннопост
Песочница Windows Windows 10, Виртуализация, Sandbox, Microsoft, Windows, Длиннопост

Что любопытно, в песочнице пользователь по умолчанию называется: WDAGUtilityAccount. Первые четыре буквы — это сокращение от Windows Defender Application Guard, что намекает на развитие технологии Application Guard.


Подробности от команды разработчиков Windows Sandbox


Песочница Windows построена на технологии, которая называется Windows Containers. Контейнеры разрабатывались (и давно используются) для работы в облаке. Microsoft взял уже достаточно зрелую и протестированную технологию и доработал её для пользователей десктопной Windows.


Ссылка на статью в блоге разработчиков.

Ссылка на перевод статьи на Хабре


Динамически генерируемый образ


Песочница является хотя и легковесной, но всё же виртуальной машиной. И, как любой виртуальной машине, ей требуется образ, с которого она может загрузится. Важнейшей особенностью Песочницы является то, что Вам не нужно откуда-то качать или создавать этот образ. Он создастся на лету, из файлов вашей текущей ОС Windows.


Мы хотим всегда получить одно и то же «чистое» окружение для Песочницы. Но есть проблема: некоторые системные файлы могут меняться. Решением было создание «динамически генерируемого образа»: для изменённых файлов в него будут включаться их оригинальные версии, но вот неизменные файлы физически в этот образ входить не будут. Вместо них будут использоваться ссылки на реальные файлы на диске. Как показала практика — такими ссылками будут большинство файлов в образе. Лишь малая их часть (около 100 МБ) войдут в образ полностью — это и будет его размер. Более того, когда Вы не используете Песочницу, эти файлы хранятся в сжатом виде и занимают около 25 МБ. При запуске Песочницы они разворачиваются в тот самый «динамический образ» размером около 100 МБ.

Песочница Windows Windows 10, Виртуализация, Sandbox, Microsoft, Windows, Длиннопост

Умное управление памятью


Управление памятью для Песочницы — ещё одно важное усовершенствование. Гипервизор позволяет запускать на одной физической машине несколько виртуальных и это, в общем, неплохо работает на серверах. Но, в отличии от серверов, ресурсы обычных пользовательских машин значительно более ограничены. Для достижения приемлемого уровня производительности Microsoft разработал специальный режим работы памяти, при котором основная ОС и Песочница могут с некоторых случаях использовать одни и те же страницы памяти.


В самом деле: поскольку основная ОС и Песочница запускают один и тот же образ ОС, то большинство системных файлах в них будут одни и те же, а значит нет смысла дважды загружать в память одинаковые библиотеки. Можно сделать это один раз в основной ОС, а когда тот же файл понадобится в памяти Песочнице — ей можно дать ссылку на ту же страницу. Конечно, требуются некоторые дополнительные меры для обеспечения безопасности подобного подхода, но Microsoft позаботилась об этом.

Песочница Windows Windows 10, Виртуализация, Sandbox, Microsoft, Windows, Длиннопост

Интегрированный планировщик


В случае использования обычных виртуальных машин гипервизор контролирует работу виртуальных процессоров, работающих в них. Для Песочницы была разработана новая технология, которая называется «интегрированный планировщик», которая позволяет основной ОС решать когда и сколько ресурсов выделить Песочнице. Работает это так: виртуальный процессоры Песочницы работают как потоки внутри процесса Песочницы. В итоге они имеют те же «права», что и остальные потоки в вашей основной ОС. Если, к примеру, у вас работают какие-то высокоприоритетные потоки, то Песочница не будет отнимать у них много времени для выполнения своих задач, которые имеют нормальный приоритет. Это позволит пользоваться Песочницей, не замедляя работу критически важных приложений и сохраняя достаточную отзывчивость UI основной ОС, аналогично тому, как работает Linux KVM.


Главной задачей было сделать Песочницу с одной стороны просто обычным приложением, а с другой — дать гарантию её изоляции на уровне классических виртуальных машин.

Использование «снимков»


Как уже говорилось выше, Песочница использует гипервизор. Мы по сути запускаем одну копию Windows внутри другой. А это означает, что для её загрузки понадобится какое-то время. Мы можем тратить его при каждом запуске Песочницы, либо сделать это лишь раз, сохранив после загрузки всё состояние виртуальной ОС (изменившиеся файлы, память, регистры процессора) на диске. После этого мы сможем запускать Песочницу из данного снимка, экономя при этом время её старта.


Виртуализация графики


Аппаратная виртуализация графики — это ключ к плавному и быстрому пользовательскому интерфейсу, особенно для «тяжелых» в плане графики приложений. Однако, классические виртуальные машины изначально ограничены в возможностях напрямую использовать все ресурсы GPU. И здесь важную роль выполняют средства виртуализации графики, которые позволяют преодолеть данную проблему и в какой-то форме использовать аппаратную акселерацию в виртуальном окружении. Примером такой технологии может быть, например, Microsoft RemoteFX.


Кроме того, Microsoft активно работала с производителями графических систем и драйверов для того, чтобы интегрировать возможности виртуализации графики непосредственно в DirectX и WDDM (модель драйверов в ОС Windows).


В результате графика в Песочнице работает следующим образом:


Приложение в Песочнице использует графические функции обычным образом, не зная кто и как будет их выполнять

Графическая подсистема Песочницы, получив команды отрисовки графики, передаёт их основной ОС

Основная ОС, получив команды отрисовки графики, воспринимает их так, как будто они пришли от локально запущенного приложения и соответствующим образом выполняет их, выделяя и управляя необходимыми ресурсами.


Это процесс можно изобразить так:

Песочница Windows Windows 10, Виртуализация, Sandbox, Microsoft, Windows, Длиннопост

Это позволяет виртуальному окружению получать полноценный доступ к аппаратно акселерируемой графике, что даёт как прирост производительности, так и экономию некоторых ресурсов (например, заряда батареи для ноутбуков) в следствие того, что для отрисовки графики больше не используются тяжелые расчёты на CPU.


Использование батареи


Песочница имеет доступ к информации о заряде батареи и может оптимизировать свою работу для его экономии.


Как обычно, привожу ссылку на оригинал статьи в моём блоге.

Показать полностью 12
170

Windows 10 предупреждает пользователей Chrome и Firefox о повышенном потреблении энергии

ОС показывает уведомление о быстром расходе заряда аккумулятора и рекомендует перейти на Edge.

Windows 10 предупреждает пользователей Chrome и Firefox о повышенном потреблении энергии Microsoft, Windows 10, Edge, Маркетинг, Geektimes

Как бы там ни было, но некоторые приемы Microsoft вызывают сомнения в правомерности их использования. Это далеко не первый раз, когда компания пытается влиять на пользователя с целью перевода его на собственные продукты.

В 1990-х корпорация Microsoft столкнулась с обвинениями в нарушении антимонопольного законодательства из-за включения браузера Internet Explorer в Windows. Сейчас ситуация иная, а Edge не владеет и малой долей того рынка браузеров, которую некогда занимал Internet Explorer. Но Microsoft явно ищет новые способы получить новых пользователей — как за счет перевода на новый браузер поклонников IE, так и за счет тех, кто использует Chrome или Firefox.

https://geektimes.ru/post/278654/

990

Пользователям ЭЦП для Госзакупок: НЕ обновляйтесь до Windows 10 !!!

Обновился, словил грабли: на ЭТП-ММВБ не зайти, пишет подавай Эксплорер. Эксплорер не поставить - пишет на компе должна быть установлена Windows.

Хром с Крипто-Про не работает, по крайней мере у меня.
Ушел читать интернеты....
Похожие посты закончились. Возможно, вас заинтересуют другие посты по тегам: