tiistai 27. syyskuuta 2016

Microsoft haluaa virtualisoida Edgen

Microsoft haluaa virtualisoida EdgenMicrosoft suunnittelee siirtävänsä Edge -selaimen toimimaan virtuaalikoneessa, uusi ominaisuus olisi turvallinen mutta asettaa rajoituksia sekä epäyhteensopivuuksia sitä käyttäviin järjestelmiin.

Uusi Edgen suojaustoiminto ollaan tuomassa seuraavaan suureen Windows 10 päivitykseen, tosin tuolloinkin se olisi tulossa vain Windowsin Enterprise -versioon joka on rajoitetusti saatavilla.

Tekniikka tunnetaan nimellä “Windows Defender Application Guard for Edge”, tekniikan tarkoituksena on suojata selaimen tietyt osat niin että ne toimivat pienessä ja erittäin kevyessä Hyper-V virtuaalikoneessa.

vaikka virtuaalikone onkin hyvin kevyt, syö se silti hieman enemmän järjestelmän resursseja kuin perinteisesti ajossa oleva sovellus, joten sivut jotka toimivat suojatussa tilassa, saattavat toimia hitaammin kuin ei virtuaalitilassa toimivat. Ylläpitäjät pystyvätkin määrittämään ryhmäkäytännöissä (group policy) mitkä sivut toimivat virtuaalikoneen kautta ja mitkä eivät.

Turvalliseksi luokitellut sivut pyörivät perustilassa, ilman virtualisointia.

Edge tulee oletuksena joka tapauksessa suojaamaan esimerkiksi selaimen muistamat salasanat ja käyttäjäkohtaiset tiedot pieneen virtuaalikoneeseen jonka tietää ja johon on pääsy vain Edgen tietyistä osista.

Tekniikan yhtenä tarkoituksena on suojata niin sanottua selaimen valtauksia, joiden avulla hyökkääjät pääsevät järjestelmään käsiksi. Jos ja kun selain toimii virtuaalikoneessa, ei hyökkääjä pysty näkemään selaimen avulla isäntäjärjestelmää, eli Windowsia josta virtuaalikoneessa toimiva Edge selain on käynnistetty.

Mikäli selaimen jostakin komponentista oltaisiin löydetty aukko jota hyödyntämällä hyökkääjällä olisi pääsy koko Windows järjestelmään, mikäli selain olisi kyseisen komponentin osalta virtuaalikoneen alaisuudessa, ei hyökkääjä tuolloin pystyisi näkemään eikä hyödyntämään isäntäjärjestelmän resursseja.

Ei täydellinen ratkaisu tämäkään:

Uusi suojautumismuoto kuitenkin luo myös epäyhteensopivuuksia, kuten sen ettei Hyper-V:n ajon aikana voida ajaa muita virtuaalikoneita, kuten suosittua VirtualBoxia tai VMWaren virtualisointituotteita. Toiminto ei myöskään toimi kaikissa järjestelmissä koska se vaatii rautatason tukea prosessorilta, tosin suurin osa nykyaikaista työpöytäsuorittimista virtualisointituen tarjoaa oletuksena.

Application Guard for Edge -suojaukseen ei päästetä ainakaan vielä muita kehittäjiä, Microsoft ei tarjoa sille API-komentoja.

Application Guard tullaan julkaisemaan aluksi Windowsin Insider versioihin ja Enterpriseen se tulee päätymään seuraavan suuren päivityksen yhteydessä vuoden 2017 puolella.

LÄHDE: Ars Technica