Stai leggendo un articolo su Microsoft Windows
Per tutti gli articoli e le guide che riguardano il più popolare sistema operativo per PC, sfoglia il "Canale Windows".
Windows Defender Application Guard è una tecnologia integrata in Windows 10 che consente di navigare su web in totale sicurezza. Il browser viene infatti eseguito all'interno di una macchina virtuale leggera e invisibile all'utente che lo mantiene totalmente isolato dal resto del sistema operativo. In caso un sito malevolo riuscisse a sfruttare con successo una vulnerabilità, l'attaccante non avrebbe spazio di manovra per raggiungere i documenti o eseguire il proprio malware (payload) sul sistema "reale": tutte le azioni del codice malevolo sarebbero infatti limitate alla sterile macchina virtuale che, inoltre, viene completamente distrutta alla fine della sessione di lavoro. Vediamo allora come proteggere il PC Windows 10 con Windows Defender Application Guard quando navighiamo su web
La principale limitazione che ho rilevato in questo momento è che Windows Defender Application Guard funziona solo con Microsoft Edge: non potremo dunque utilizzare il nostro browser preferito in modalità "super-protetta", ma solamente il navigatore fornito in dotazione a Windows 10.
Windows Defender Application Guard: Requisiti di sistema
Windows Defender Application Guard utilizza la tecnologia di virtualizzazione Hyper-V: di conseguenza, sono necessari Windows 10 Pro (o edizioni superiori) a 64 bit, almeno 4 GB di RAM e una CPU con supporto hardware alla virtualizzazione:
La funzionalità ha esordito contestualmente a Windows 10 1703 (Creators Update), ma era inizialmente riservata all'edizione Enterprise. A partire da Windows 10 1803 (aggiornamento di Aprile 2018), è disponibile anche agli utenti di Windows 10 Pro. Rimane preclusa all'edizione Home.
Passo 1: Installare Windows Defender Application Guard su Windows 10
Windows Defender Application Guard è un componente opzionale di Windows 10. Dobbiamo dunque attivarlo manualmente.
Cercare funzionalità nel menu Start ed aprire Attiva o disattiva funzionalità di Windows
Dalla scomodissima finestra di dialogo apertasi, spuntare la casella di controllo relativa a Windows Defender Application Guard. Confermate, attendete qualche istante e riavviate quando richiesto
In caso l'elemento dovesse essere disattivato ("in grigetto"), significa che il computer non soddisfa i requisiti hardware richiesti
Passo 2: Eseguire il browser in modalità protetta
Lanciamo ora Microsoft Edge come al solito dal menu Start o dalla Barra delle applicazioni.
Per passare alla modalità sicura, cliccare ... e scegliere la voce Nuova finestra di Application Guard
L'avvio iniziale della nuova istanza protetta richiede parecchi secondi. Al termine, otterremo una nuova finestra di Microsoft Edge con un'indicatore grafico arancione, proprio a segnalare che si tratta di una finestra protetta con tecnologia Windows Defender Application Guard
Passo 3: Navigare su web in sicurezza
L'istanza protetta funziona grossomodo come quella tradizionale: possiamo dunque navigare e visualizzare i siti di nostro interesse, ma con la tranquillità che nessun operatore ostile potrà compromettere il nostro PC.
Ricordiamo però che la macchina virtuale invisibile all'interno della quale sta girando Microsoft Edge verrà distrutta e resettata non appena chiuderemo l'istanza protetta. Da un lato, questo garantisce la massima sicurezza ma, dall'altro, introduce alcune limitazioni.
In particolare, nell'istanza sicura non funzionano i Preferiti....
... né le impostazioni. Tutti i settaggi vengono infatti letti dall'istanza regolare di Microsoft Edge e non possono poi essere modificati dalla modalità sicura
Nemmeno le estensioni sono operative, né installabili dalla modalità sicura.
La Cronologia viene mantenuta, ma solo fino a quando la finestra rimane aperta. Alla chiusura del programma, viene spazzato via tutto.
Da citare l'impossibilità di eseguire copia-incolla da e verso le applicazioni del PC "fisico". Possiamo comunque fare Ctrl+C e Ctrl+V come al solito per movimentare dati all'interno della specifica istanza virtuale o del computer fisico, ma non per spostare dati fra i due mondi
Il download dei file funziona, ma non come ci aspettiamo. Il materiale rimane infatti intrappolato nella macchina virtuale. Ecco dunque che, provando ad installare un programma, vedremo il filesystem virtualizzato. Il setup di un applicativo come Notepad++ non riesce poi comunque a terminare, e torna un errore di permessi insufficienti
Passo 4: Attivare copia-incolla, Preferiti e download
Per impostazione predefinita, Windows Defender Application Guard è blindatissimo: Microsoft ha infatti disattivato le funzioni di copia-incolla, gestione dei Preferiti, stampa e download al fine di fornire un prodotto che, di default, sia già configurato per garantire il massimo livello di protezione. Se però queste funzioni sono imprescindibili per svolgere il nostro lavoro, possiamo facilmente ripristinarle:
Una nota per gli utenti VirtualBox e VmWare
Gli utenti che impieghino virtualizzatori di terze parti, quali VirtualBox o VmWare Workstation, vorranno tenere bene a mente che Windows Defender Application Guard attiva Hyper-V. Di conseguenza, gli altri programmi di virtualizzazione potrebbero iniziare a mostrare un errore simile a VT-x is not available (VERR_VMX_NO_VMX):
Conclusioni
In questo articolo abbiamo visto come navigare su web in sicurezza con Windows Defender Application Guard. Durante le mie prove, lo strumento si è rivelato molto comodo e utile: in precedenza ero infatti solito avviare una macchina virtuale completa per navigare su siti potenzialmente pericolosi, mentre ora utilizzo questo strumento, molto più veloce e pratico.
Dal punto di vista tecnico, potremmo chiederci quanto sia effettivamente sicuro Windows Defender Application Guard. La risposta è "moltissimo": oltre a tutti i meccanismi di protezione nativi offerti da Microsoft Edge, la presenza dello strato di virtualizzazione implica che un aggressore debba scoprire e sfruttare molteplici vulnerabilità a catena per raggiungere il computer della vittima. Fra l'altro, una di essere dovrebbe interessare Hyper-V ed essere tanto grave da permettere di sfuggire ai confini dell'hypervisor stesso. In poche parole: non è "impossibile", ma è estremamente improbabile che qualcosa del genere possa raggiungere il grande pubblico.
Ovviamente è opportuno ricordare che Windows Defender Application Guard protegge da trappole tecnologiche, ma non da quelle sociali. In altre parole: se immetteremo le nostre credenziali di accesso al conto corrente su di un sito fasullo, il truffatore potrebbe riuscire a rubarci i soldi esattamente come se avessimo usato il browser senza la modalità Application Guard
» Leggi anche: Come riconoscere le email di phishing - guida anti-truffa
