Microsoft Edge bude zocelen proti internetovým útokům pomocí virtualizace – a to přímo virtualizace hardwarové.
Pro Instaluj.cz SEO specialista a copywriter Daniel Beránek:
Microsoft zabezpečí Edge virtualizací
Microsoft na konferenci Ignite 2016 v Atlantě představil plán zvýšení zabezpečení nativního browseru operačního systému Windows 10 Microsoft Edge. Dovybaví ho utilitou odlehčeného virtualizovaného prostředí Windows Defender Application Guard, díky čemuž nejen izoluje systém od internetového obsahu, ale i naopak zabezpečí data webových aplikací od nebezpečí číhajících v systému.
Funkce Windows Defender Application Guard je pokračováním snahy Microsoftu oslovit především korporátní prostředí defaultním prohlížečem Windows – Microsoft Edge. Edgi se totiž stále nedaří nacházet uživatelskou základnu a s ukončováním podpory Internet Exploreru jsme svědky spíše migrace směrem k jiným prohlížečům (dle čísel dominuje Google Chrome) než nahrazování jednoho modrého Éčka druhým.
Právě proto Microsoft přichází s fičurou od systému odděleného browseru tak, jak ji známe v podání některých bezpečnostních balíků. „Windows Defender Application Guard využívá technologii založenou na virtualizaci, aby zabezpečil počítač vůči pokročilým útokům přicházejícím z internetu. Pomáhá chránit podniková zařízení, zaměstnance, data a dokonce i podnikové sítě. Tato vrstva zabezpečení nebyla ještě nikdy tak potřebná, neboť nejvíce útoků dneška začíná v prohlížeči,“ přibližuje poslání funkce virtualizační funkce Yusuf Mehdi, viceprezident skupiny Windows a zařízení Microsoftu.
Edge má ale přeci jen výhodu proti sandboxovaným prohlížečům, které jsou součástí bezpečnostních balíků. Jeho virtualizace totiž není jen softwarová. O té Mehdi tvrdí, že se přeci jen může stát branou do systému pro malware a zranitelnosti využívající exploity. „Microsoft Edge využívá Application Guard k tomu, aby izoloval prohlížeč a uživatelovu aktivitu za pomocí hardwarových kontejnerů. Tím pádem zabraňuje útočnému kódu v napadení zařízení či podnikové sítě,“ vysvětluje Mehdi.
Windows Defender Application Guard využívá především dvou funkcí:
- Credential Guard, který ukládá zašifrované ověřovací údaje mimo browser, rovněž ve virtualizovaném prostředí, a
- Application Guard, jenž prohlížeči poskytuje virtualizované a na nutnost minimalizované prostředí operačního systému. Toto prostředí není schopnost zasahovat do procesů hostitelského operačního systému, nemůže přistupovat k místnímu úložišti a především nemůže zaútočit na jádro hostitelského systému.
Microsoft uvolní Windows Defender Application Guard nejprve pouze pro korporátní verzi Windows 10 Enterprise. Očekává se, že posléze se by se mohl objevit i v edicích Pro a Education, které také podporují funkci Hyper-V, která je klíčem k virtualizaci. Správa Windows Defender Application Guard bude podléhat skupinovým politikám (Group Policy), jejichž prostřednictvím budou moci administrátoři nastavit i whitelist povolených webových stránek. Ty pak mohou běžet nevirtualizovaně, stránky nedůvěryhodné poběží virtualizovaně a Edge jejich okna označí ikonkou štítu. Windows Defender Application Guard bude již brzo uvolněn pro účastníky programu Windows Insider, uživatelé Windows 10 Enterprise ho budou mít k dispozici v prvním čtvrtletí roku 2017.
Výhodou oddělení prohlížeče od systému (sandboxováním, virtualizací) není jen ochrana systému a na něj navazující sítě před útoky vedenými právě přes prohlížeč, ale i naopak ochrana dat aktuální, virtualizované seance před útoky z již napadeného systému. Ve virtualizovaném prohlížeči můžeme přistupovat například k internetovému bankovnictví, aniž bychom se museli bát, že naše přihlašovací údaje odposlechne keylogger infikovaného systému. Tento způsob zabezpečení odpovídá změně pohledu na bezpečnost. Zabezpečení počítače od internetu se už nedá považovat za spolehlivé, naopak je vhodné předpokládat, že systém sám je kompromitován. Proto je třeba kriticky zabezpečovat citlivé seance (netbanking) a celé prostředí považovat za potenciálně nepřátelské.