Windows 10: il browser sarà eseguito da VM

Windows Defender Application Guard arriverà in uno dei futuri aggiornamenti e virtualizzerà il browser Edge, offrendo teoricamente maggiore sicurezza

Windows 10 Application Guard

Schema dedicato ad Application Guard – fonte: Microsoft ed Ars Technica

 

Alla recente convention Ignite non si è parlato solo di Windows Server 2016 ma anche del “fratello minore” Windows 10. Tra le novità più interessanti  è il caso di approfondire quella riguardante l’esecuzione del browser Edge da macchina virtuale – in tutte le versioni Enterprise dell’OS. L’obiettivo del team Microsoft è quello di fornire alle imprese ambienti più sicuri ed in grado di non esporre a siti sconosciuti o visitati per la prima volta l’accesso ai servizi della piattaforma.

Nel caso in cui la soluzione Microsoft si riveli efficace potrebbe essere adottata anche in ambito consumer, in altri ecosistemi e con altri browser – a patto di superare alcune problematiche che elencheremo in chiusura. Vediamo meglio di cosa si tratta.

In teoria chi non ha familiarità con l’ultimo sistema Microsoft, Edge è un nome probabilmente poco noto. In pratica stiamo parlando del successore di Internet Explorer – introdotto un anno fa con il lancio di Windows 10. Quote di mercato a parte, attualmente è Chrome a monopolizzare quasi il 50% dell’utenza, Edge si è dimostrato un netto passo avanti rispetto al passato (benchmark alla mano).

“Virtualizzazione” del browser per Windows

Come anticipato in apertura, Windows Defender Application Guard (WDAG da ora) eseguirà il browser da VM per rendere più sicura la navigazione: WDAG si appoggia alla tecnologia Virtualization Based Security (VBS, sempre introdotta con Win 10) che mediante l’impiego di piccole VM e dell’hypervisor Hyper-V isola dal sistema determinati processi/servizi critici. Credential Guard è uno di questi: il suo compito è delicato perchè consiste nell’archiviazione delle credenziali utente e delle hash delle password in una VM – quest’ultima,per la gestione delle credenziali, si avvale di un semplice processo

Application Guard rappresenta l’evoluzione dell’approccio appena descritto: nella VM saranno eseguiti stavolta buona parte dei processi richiesti da Edge ma senza “chiamare in causa” l’OS stesso, necessario solitamente per permettere l’esecuzione del browser. Sarà un set minimale di funzioni a consentire l’avvio di Edge in un ambiente maggiormente isolato rispetto al passato.

Application Guard, venendo eseguito da VM, non è infatti in grado di vedere altri processi, accedere allo storage locale, accedere ai programmi installati o attaccare direttamente il kernel dell’host. WDAG potrà essere utilizzato esclusivamente da utenti con privilegi amministrativi: sarà poi possibile concedere solo a determinati siti l’accesso alla stampante ed alla “clipboard” e scegliere quali portali eseguire in modalità “classica”.

A quando la variante consumer di Application Guard?

L’idea Microsoft è molto interessante e potrebbe essere molto utile anche in ambito consumer e con altri browser/applicazioni. Microsoft ne è sicuramente consapevole ma vi sono alcune problematiche da superare:

  • i siti virtualizzati non possono affidarsi ai cookie perchè alla chiusura del browser la VM viene sostanzialmente distrutta;
  • VBS installa nel sistema Hyper-V il quale è eseguibile unicamente grazie alla virtualizzazione hardware (offerta da alcuni processori) ed alla virtualizzazione I/O. Qualsiasi sistema sprovvisto di tali requisiti non può fruire di Application Guard;
  • non è possibile eseguire più hypervisor contemporaneamente, ciò rende impossibile l’impiego di WDAG con Virtual Box o altri software che si appoggiano alla virtualizzazione;
  • l’utilizzo di un hypervisor si traduce in un calo generale (non quantificato da Microsoft) delle prestazioni, un pc consumer sarà in grado di gestire il tutto senza inconvenienti?

L’arrivo di Windows Defender Application Guard è previsto per il 2017.

Facci sapere cosa ne pensi!

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *