Stai leggendo un articolo su Microsoft Windows
Per tutti gli articoli e le guide che riguardano il più popolare sistema operativo per PC, sfoglia il "Canale Windows".
Per impostazione predefinita, Windows Defender Application Guard è blindatissimo: Microsoft ha infatti disattivato il copia-incolla, i Preferiti, la stampa e il download dei file al fine di fornire un prodotto che, di default, sia già configurato per garantire il massimo livello di protezione. Se però queste funzioni sono imprescindibili per svolgere il nostro lavoro, possiamo facilmente abilitarle tramite il Registro di sistema oppure impostando le opportune policy con Editor criteri di gruppo locali
nota: in questa guida vedremo, nello specifico, come attivare copia-incolla, Preferiti, stampa e download quando Microsoft Edge gira all'interno di Windows Defender Application Guard. Per la guida generale a Windows Defender Application Guard:
Come attivare le funzioni mancanti in Windows Defender Application Guard
Scarichiamo questo archivio:
» Download: Sblocca funzionalità Microsoft Edge in Windows Defender Application Guard
All'interno troveremo i file che consentono di attivare o disattivare le singole funzioni:
-
Copia-incolla - Abilita.reg: abilita il copia-incolla da e verso il computer "reale" -
Stampa - Abilita.reg: rende possibile stampare dal browser sicuro -
Download - Abilita.reg: al momento in cui scrivo non funziona e l'impostazione viene resettata al primo riavvio del PC. Allo scopo, è necessario impostare la policy equivalente (vedi seguito). In futuro, mi aspetto che consentirà di scaricare file sul computer e conservare così i download effettuati durante la navigazione sicura -
Persistenza - Abilita.reg: consente di salvare Preferiti, Cronologia, cookie, password e altre informazioni immesse all'interno della sessione protetta. Tali dati non saranno condivisi con l'istanza tradizionale di Microsoft Edge, ma sopravviveranno al riavvio di Application Guard e/o del PC
Per rendere effettiva ogni modifica apportata tramite i file .reg presentati è necessario:
- chiudere tutte le istante di Microsoft Edge e/o Application Guard
- fare doppio click sul .reg che attiva o disattiva la funzione desiderata e confermare ripetutamente
- riavviare il PC
Ripristinare il blocco
Nell'archivio sono forniti anche i corrispondenti file con desinenza Blocca (default).reg: quando applicati, ripristinano il blocco e consentono così di tornare alla situazione originaria.
Attivare le funzioni mancanti in Windows Defender Application Guard tramite policy
Per gli amministratori di sistema e il pubblico aziendale risulterà probabilmente più semplice raggiungere il medesimo risultato tramite Editor criteri di gruppo locali:
- premere la combinazione da tastiera
Win+Rper richiamareEsegui - impartire
gpedit.msc - seguire
Criteri computer locale -> Configurazione computer -> Modelli amministrativi -> Componenti di Windows -> Windows Defender Application Guard
Troveremo qui le stesse opzioni appena descritte, più altre che consentono, ad esempio, di abilitare l'accesso diretto da parte della macchina virtuale alla GPU hardware per il rendering delle pagine (un privilegio che, in un contesto di massima sicurezza, è certamente saggio mantenere disabilitato)
Da notare che il testo di queste policy indica che sono supportate solo in Windows 10 Enterprise. In verità, ho verificato sperimentalmente che funzionano correttamente anche con l'edizione Pro.
Anche in questo caso, le impostazioni vengono recepite solo dopo aver riavviato il PC.
Consentire il download dei file
Come detto, il file Download - Abilita.reg non è ancora funzionante. Il salvataggio dei file dall'istanza protetta al PC fisico è infatti attualmente possibile solo impostando una policy (v. sopra). Nello specifico, si tratta di quella denominata Consenti il download e salvataggio dei file nel sistema operativo host da Windows Defender Application Guard
Dopo averla attivata, i file scaricati da Microsoft Edge con Application Guard non resteranno più imprigionati nell'istanza virtuale. Verranno invece salvati nella sottocartella File non attendibili della directory Download del PC fisico
Ovviamente questo apre le porte allo scaricamento di malware e altro software indesiderato, che non avrebbe invece modo di raggiungere il computer in caso venisse eseguito Windows Defender Application Guard con le impostazioni di default.
» Leggi: Analizzare i file sospetti Online con numerosi antivirus
Conclusioni
In questa guida abbiamo visto come attivare copia-incolla, Preferiti, stampa e download da Microsoft Edge quando il browser è in esecuzione nella modalità super-sicura gestita da Windows Defender Application Guard.
Ovviamente ogni caratteristica che sblocchiamo abbassa un pochino il livello di sicurezza, ma migliora la comodità d'utilizzo.
In linea di massima, possiamo pensare di attivare la persistenza (Preferiti, cookie, password ecc.) e l'accesso alla stampante senza troppi pensieri.
Il download dei file è più delicato: fino a quando siamo consapevoli del pericolo e adottiamo ogni cautela nell'aprire quanto scaricato "ci può stare": è infatti l'unico modo che abbiamo per aprire documenti in allegato alle email ricevute e visualizzate all'interno di Application Guard, magari per poi archiviarli sul PC. Si tratta comunque di qualcosa che, in ambito aziendale, tenderei a sconsigliare.
L'abilitazione del copia-incolla va invece soppesato: l'istanza protetta diviene infatti in grado di leggere l'area Appunti, comprese eventuali password che dovessimo aver temporaneamente copiato da un software di gestione come Keepass.
