Введение в Windows Defender Application Guard для Microsoft Edge

Мы полны решимости сделать Microsoft пограничными самый безопасный и самый безопасный браузер. За последние два года, мы постоянно обновляя, и мы гордимся прогрессом мы сделали. Это качество техники находит свое отражение в уменьшении CVEs при сравнении Microsoft Грань с Internet Explorer за прошедший год.

Browser vulnerabilities (as of September 2016) for Microsoft Edge, Chrome, and Firefox (per the National Vulnerability Database) since Microsoft Edge was released.

Пока нет ни один современный браузер или любое сложное приложение-свободен от уязвимостей, большинство уязвимостей для Microsoft Edge, было ответственно сообщили профессиональных исследователей в области безопасности, которые работают с Центром Microsoft Security Response (MSRC) и команда Microsoft Edge, чтобы обеспечить клиентов защищены задолго до того, любой злоумышленник может использовать эти уязвимости в дикой природе. Еще лучше, нет никаких доказательств того, что какие-либо уязвимости эксплуатируются в условиях дикой природы, как атак нулевого дня.

Однако многие компании по всему миру оказались под возрастающей угрозой целенаправленных атак, когда злоумышленники крафт специализированные атаки против конкретного бизнеса, которые пытаются взять под свой контроль корпоративных сетей и данных. Для большинства безопасности совесть бизнеса, мы представляем новый слой защиты оборонной углубленным: Windows Defender Application Guard для Windows 10 в течение Enterprise. Применение Guard обеспечивает беспрецедентную защиту от угроз, направленных с использованием технологии Microsoft Hyper-V для виртуализации.

Понимание целенаправленных атак против крупных предприятий

Угроза пейзаж значительно изменился в последние годы. Сегодня более 90% атак использовать гиперссылку, чтобы начать атаку, чтобы кражи учетных данных, установить вредоносное ПО или использовать уязвимости.

Понимание целенаправленных атак против крупных предприятий

Это вредит не только к бизнесу атакован, но и тысячи, если не миллионы пользователей, чьи счета и личные данные могут быть украдены. Высоко мотивированные и постоянные злоумышленники часто начинают с социальной инженерии трюк: создание хорошо проработаны и личную электронную почту с известными сотрудниками компании. Это сообщение, которое будет часто, как представляется, от законной власти в компании, может попросить работника щелкнуть ссылку, чтобы прочитать якобы важный документ. К сожалению, эта ссылка на специально созданных вредоносных веб-сайт, который может использовать ранее нераскрытый уязвимость для установки вредоносного программного обеспечения на компьютере пользователя. После создания на этом одном компьютере, злоумышленники могут затем кражи учетных данных и начать исследовать остальную часть сети для других уязвимых машин, повторяя процесс на других компьютерах, пока они не достигают своей цели, будь то кража данных, интеллектуальной собственности, или нарушения бизнес.

Нарушение атакующему сборник пьес

Мы принимаем системный подход к срыве этих атакующим, предоставляя нашим клиентам с инструментами, необходимыми для защиты от этих векторов атаки. Применение Guard предназначен для остановки атакующим создания опоры на локальной машине или от расширения из в остальной части корпоративной сети.

Используя наши лучшие в отрасли технологии виртуализации, потенциальные угрозы не только изолированы от сети и системы, но будет полностью удалена, когда контейнер закрыт.

Копаем глубже в Application Guard

Применение Guard использует технологию виртуализации рожденного в Microsoft Cloud для выполнения этого нарушения.

Когда пользователь просматривает доверенным веб-сайта, например, внутренний веб-приложения, системы учета, Microsoft работает Пограничный, как это делает сегодня. Он имеет доступ к локальной памяти, могут проходить проверку подлинности пользователя на внутренних сайтов с корпоративными учетными данными, стандартные печеньем работы, пользователь может сохранять файлы на локальном компьютере, так и в целом для Windows просто работает. Этот режим, выделены синим цветом на графике ниже, известна как версия хоста из Windows.

Application Guard isolates untrusted sites in a new instance of Windows at the hardware layer.

Тем не менее, когда работник переходит на сайт, который не распознается или доверенным сетевым администратором, Application Guard шаги, чтобы изолировать потенциальную угрозу. Как показано в режиме обведена красным выше, Application Guard создает новый экземпляр Windows, на аппаратном уровне, с совершенно отдельной копии ядра и минимум Windows Platform Services, необходимые для запуска Microsoft Edge. Базовые аппаратные навязывает, что это отдельная копия Windows, не имеет доступа к нормальной рабочей среде пользователя.

Правоприменение Application Guard включает в себя полностью блокирует доступ к памяти, локальное хранилище, другие установленные приложения, сетевые конечные точки корпоративные, или любые другие ресурсы, представляющие интерес для злоумышленника. Это отдельная копия Windows, не имеет доступа к каким-либо учетных данных, включая учетные данные домена, которые могут храниться в постоянной хранилища учетных данных.

Большую часть времени, даже ненадежные сайты не являются вредоносными и совершенно безопасны для посещения, и пользователь просто ожидает, чтобы они работали. Эта изолированная среда позволяет эти сайты функционировать по существу, как если бы они были запущены на хост-версии Windows. В этом случае применение Guard действительно обеспечивает основные функции, которые пользователи будут рассчитывать на работу, даже при просмотре ненадежных сайтов, таких как возможность копировать и вставлять с буфером обмена Windows, и, будучи в состоянии напечатать содержимое из этих веб-сайтов, их работы принтера , Это позволяет пользователю по-прежнему быть производительными, даже в то время как хост защищен от Application Guard. Администратор предприятия имеет контроль над этой функциональности с помощью средств управления Microsoft и политики, и может выбрать то, что они удобны с на основе их собственной оценки риска.

Защита в глубину изоляции для предприятий

Для того, чтобы улучшить безопасность предлагаемых песочницах чисто на основе программного обеспечения, Microsoft работала с несколькими корпоративными и государственными заказчиками по изоляции оборудования на основе подхода для решения этих проблем. С помощью Application Guard, Microsoft Край защищает предприятие от продвинутых атак, которые могут проникнуть в ваш сеть и устройства через Интернет, создавая более безопасный, беззаботной опыт просмотра для клиентов.

Но что происходит, когда ненадежный сайт фактически является частью плана вредоносного злоумышленника? Давайте вернемся к атаке, описанной выше. Злоумышленник отправляет хорошо умыслом электронную почту к невинной сотруднику компании заманив их посетить ссылку на сайт под контролем злоумышленника. Невинный пользователь, не заметив ничего подозрительного о почте, нажимает на ссылку на ненадежного месте. Для того, чтобы активно поддерживать пользовательские и корпоративные ресурсы безопасно, Application Guard координирует свою работу с Microsoft Edge, чтобы открыть этот сайт во временной и изолированной копии Windows. В этом случае, даже если код атакующего является успешным в попытке использовать браузер, злоумышленник находит свой код работает в чистой среде без каких-либо интересных данных, не имеющих доступа к любым учетным данным пользователя, и отсутствие доступа к другим конечным точкам в корпоративной сети , Атака полностью нарушена. Как только пользователь будет сделано, независимо от того, являются ли они даже не знают о нападении, имевших место, этот временный контейнер отбрасывается, и любое вредоносное ПО отбрасывается вместе с ним. Там нет никакого способа для атакующего сохраняться на этом локальном компьютере, и даже экземпляр под угрозу браузер не имеет точку опоры для монтирования дальнейших нападений на сети компании. После удаления, свежий новый контейнер создан для будущих сеансов просмотра.

Веб-разработчики и Application Guard

Хорошие новости для веб-разработчиков является то, что они не должны делать ничего другого с их кода сайта - Microsoft края предоставляет сайтов в Application Guard принципиально так же, как это делает в принимающей версии Windows. Там нет необходимости, чтобы определить, когда Microsoft пограничного работает в этом режиме, ни какой-либо необходимо учитывать различия в поведении. Так как этот временный контейнер разрушается, когда пользователь будет сделано, не существует каких-либо сохранение куки или локального запоминающего устройства, когда пользователь заканчивает.

Мы стремимся к поддержанию корпоративных пользователей и данных безопасных и надежных

Наша миссия в Microsoft заключается в расширении возможностей каждого человека и каждой организации на планете, чтобы добиться большего. С помощью Windows Defender Application Guard, корпоративные пользователи могут воспользоваться огромной силой интернет-сайтов и услуг, в то же время защиты корпоративных и личных данных. Эта возможность делает Microsoft пограничными наиболее безопасный браузер для предприятия.

Защитник Windows Application Guard для Microsoft Edge, станет доступным для Windows, инсайдеров в ближайшие месяцы, и раскатать в более широком плане в следующем году.

- Джон Хейзен, главный менеджер программы, Microsoft Край

- Чес Джеффрис, главный менеджер программы, Application Guard

Перевод статьи с сайта: blogs.windows.com