Браузер Edge поместят в виртуальную машину внутри Windows 10
Сверху — защищённый процесс Edge в виртуальной машине Hyper-V под Windows 10, снизу — обычный Edge. Изображение: Microsoft
Вчера на технической конференции Microsoft Ignite редмондская компания анонсировала ряд новых программных решений и сервисов для IT-профессионалов. Самым интересным среди них выглядит технология Windows Defender Application Guard, которую выкатят в начале 2017 года с ближайшим крупным обновлением Windows 10 Enterprise. Именно Enterprise. Microsoft решила, что защита браузера должна работать только в корпоративной версии.
Windows Defender Application Guard — это специальный «защищённый» режим. В этом режиме процессы Edge запускаются внутри виртуальной машины на основе гипервизора Hyper-V.
Зачем это нужно?
Новая система защиты процессов Edge работает на основе системы виртуализации под названием Virtualization Based Security (VBS), которую компания Microsoft представила в июне.
С помощью VBS происходит изоляция критических данных и процессов от остальной системы. Таким образом, запущенные в незащищённой части программы не имеют доступа к конфиденциальным данным, спрятанным в контейнере. Например, программа MimiKatz для сбора парольных хэшей, сертификатов и прочей полезной информации с машины жертвы не должна просто так получить доступ к данным внутри контейнера Credential Guard в Windows 10, а вот под Windows 7 программа работает замечательно.
Изоляция процессов Edge усложнит злоумышленникам запуск эксплоита через браузер. Нужно будет сначала выйти за пределы виртуальной машины.
Вообще-то, в Edge и сейчас процессы запускаются в относительно изолированной «песочнице», у которой ограничен доступ к остальным ресурсам в системе. В такой же «песочнице» запускаются процессы в Chrome (он вообще первым среди браузеров внедрил «песочницу» для отдельных процессов) и в других браузерах. Как показывает практика, чтобы выйти из «песочницы» и успешно запустить код на компьютере жертвы, хакеру приходится использовать цепочку эксплоитов, иногда с несколькими 0day-уязвимостями. Но это вполне реально, тем более что новые 0day-уязвимости в браузерах, плагинах и операционных системах находят почти каждый день.
Windows Defender Application Guard станет гораздо более серьёзным препятствием, чем «песочница» в браузере. Из виртуальной машины не видны другие процессы, нет доступа к накопителю, к установленным приложениям и файлам, и, самое главное, нет доступа к ядру операционной системы.
При закрытии «защищённого» процесса виртуальная машина гарантированно уничтожается, вместе со всеми куками и прочими данными. С точки зрения безопасности это идеальный вариант.
Очевидно, что в виртуальном окружении программа будет работать медленнее, чем в обычном, но Microsoft пока не сообщает подробную информацию на этот счёт.
Hyper-V
Технология аппаратной виртуализации Hyper-V работает в серверных Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, а также в настольных 64-битных Pro и Enterprise версиях Windows 8, Windows 8.1, Windows 10.
Согласно архитектуре Hyper-V, в каждом экземпляре гипервизора есть родительский раздел с запущенной операционной системой. В нём запускается стек виртуализации. После этого родительский раздел порождает дочерние разделы при помощи API-гипервизора, представленного в Hyper-V. Каждый дочерний раздел может порождать собственные дочерние разделы.
Дочерние разделы не имеют непосредственного доступа к аппаратным ресурсам, но зато получают виртуальное представление ресурсов, называемое виртуальными устройствами. Любая попытка обращения к виртуальным устройствам перенаправляется через логический канал VMBus к устройствам родительского раздела, которые и обработают данный запрос.
В случае с Windows Defender Application Guard в виртуальной машине работает браузер Edge, а также те модули операционной системы, которые необходимы для запуска браузера.
Официально функция виртуализации Edge будет доступна только в версии Windows 10 Enterprise. Как и другие функции VBS, она доступна вместе с административными функциями через групповые политики.
Система виртуализации Hyper-V работает также в 64-битных версиях Pro операционных систем Windows 8, Windows 8.1 и Windows 10. Теоретически, ничего не мешает запускать Edge с гипервизором на Windows 10 Pro, если этот компонент установлен в операционной системе, но официально такая конфигурация не поддерживается.
Для работы Hyper-V требуется x64-совместимый процессор с аппаратной поддержкой виртуализации, например, Intel VT или AMD Virtualization. То есть Edge в новом режиме сможет работать не на каждом компьютере.
Пользователям также следует иметь в виду, что после установки Hyper-V могут возникнуть проблемы с работой других гипервизоров, таких как VMware Workstation или Virtual Box.
Microsoft не предоставляет API, чтобы функцией виртуализации на уровне ОС воспользовались другие приложения. Пока эта эксклюзивная возможность оставлена только для программ Microsoft. Поэтому браузер от Microsoft получит привилегированное положение в операционной системе от Microsoft. Ничего удивительного, если этот факт вызовет интерес антимонопольных органов.
Раньше все устанавливали Windows в максимальной конфигурации даже на домашние компьютеры. Судя по последним действиям Microsoft, теперь «профессиональная» версия уступает по функциональности корпоративной версии. Неужели в будущем придётся ставить на домашние компьютеры и ноутбуки Windows 10 Enterprise — и платить 7 долларов в месяц за каждое рабочее место?