Application Guard in Windows 10, cos'è e come funziona

Aumentando la complessità di un software – e i moderni browser devono essere capaci di gestire una moltitudine di funzionalità e caratteristiche differenti – cresce la possibilità che al suo interno si celino delle problematiche di sicurezza non individuate né in fase di programmazione, né durante il processo di beta testing, né successivamente al lancio del prodotto. È quindi indispensabile individuare un approccio che consenta di arginare eventuali falle e mitigare i problemi nel caso in cui le lacune di sicurezza dovessero essere scoperte da parte dei criminali informatici e prese di mira.

I principali browser isolano oggi ogni finestra di navigazione creando per ciascuna di esse un nuovo processo, separato da tutti gli altri. È facile accorgersene premendo la combinazione di tasti CTRL+MAIUSC+ESC in Windows per aprire il Task Manager: portandosi nella scheda Dettagli, via a via che si apriranno nuove schede nel browser, si troveranno più processi a sé stanti.

In tema di protezione browser e della difesa dei dati personali dell’utente, Microsoft vuole fare di più e nei mesi scorsi ha presentato Application Guard, una funzionalità prima attivabile solo sulle edizioni Enterprise di Windows 10, successivamente portata anche in Windows 10 Pro e adesso, con il rilascio di Windows 10 Aggiornamento di ottobre 2018, configurabile in maniera approfondita.

Se oggi i browser isolano siti e applicazioni web caricati nelle varie schede rimuovendo tutti i privilegi possibili da quelli dell’account utente con cui si è avviato il browser, Application Guard offre un approccio ancora più sicuro.
Application Guard basa infatti il suo funzionamento sulla tecnologia Hyper-V e consente di virtualizzare le applicazioni gestendole in un ambiente completamente isolato dal resto del sistema.

Eseguendo il browser con Application Guard, si eviterà che qualche utente poco formato e con scarsa esperienza alle spalle possa porre in essere operazioni potenzialmente pericolose e aprire la porta all’installazione e all’esecuzione di malware (mettendo così a rischio l’intera infrastruttura).
È quindi proprio il sistema operativo che, tramite Hyper-V, eleva una palizzata intorno al browser impedendo qualunque fuoriuscita di dati, compreso – evidentemente – eventuale codice nocivo.

Purtroppo Application Guard è ad oggi compatibile solo con il browser Edge: Microsoft ha recentemente annunciato InPrivate Desktop, nuova funzionalità che permetterà di eseguire in una sandbox ovvero in un ambiente del tutto separato dal resto del sistema operativo qualunque applicazione, anche di terze parti: InPrivate Desktop: una sandbox per tutte le applicazioni eseguite in Windows 10.

Come usare Application Guard in Windows 10

Per provare il funzionamento di Application Guard con Windows 10 Aggiornamento di ottobre 2018 e versioni successive, basta digitare Sicurezza in breve nella casella di ricerca del sistema operativo quindi cliccare su Controllo delle app e del browser.

In corrispondenza della voce Esplorazione isolata si dovrà fare clic su Installazione di Windows Defender Application Guard: si aprirà la finestra Attivazione o disattivazione delle funzionalità di Windows. Qui si dovrà spuntare la casella Windows Defender Application Guard, cliccare su OK per confermare l’installazione e riavviare il sistema al termine della procedura.

Dopo aver riavviato Windows, in corrispondenza di Esplorazione isolata, si troverà la nuova voce Modifica impostazioni di Application Guard.

Per impostazione predefinita, Application Guard crea una barriera invalicabile attorno al browser web. Se però si volesse fare in modo che Microsoft Edge permetta di salvare file, accetti il copia e incolla, permetta di stampare file e velocizzi il caricamento degli elementi grafici più pesanti appoggiandosi alla GPU, si potranno attivare i vari “interruttori”.

Sarebbe preferibile non attivare troppe caratteristiche del browser eseguito in modalità Application Guard: si può ad esempio attivare il copia e incolla da e verso il sistema sottostante che il browser web virtualizzato ma è sconsigliabile abilitare l’accelerazione hardware o il download dei file. Entrambe queste due caratteristiche possono infatti esporre al download di elementi potenzialmente dannosi.
In ogni caso, a partire da Windows 10 Aggiornamento di ottobre 2018, è possibile personalizzare il comportamento di Application Guard senza dover attivare alcuna modifica tramite l’Editor criteri di gruppo locali (gpedit.msc, sezione Configurazione computer, Modelli amministrativi, Componenti di Windows, Windows Defender Application Guard).

L’opzione Salva dati, se attivata, fa in modo che tutte le informazioni relative alla navigazione con Edge in modalità Application Guard siano conservate e possano essere riutilizzate nelle successive sessioni. Diversamente tutti i dati vengono automaticamente rimossi alla chiusura della finestra di Edge aperta con Application Guard.

Application Guard, attivabile per il momento solo con Microsoft Edge, si rivela una funzionalità utilissima soprattutto sui PC aziendali così da scongiurare qualunque rischio di infezione in seguito al caricamento e all’esecuzione di codice e programmi malevoli.

Per usare Application Guard con Edge basta avvia il browser Microsoft, fare clic sul menu principale in alto a destra quindi scegliere Nuova finestra di Application Guard.

Lo scudetto su sfondo nero mostrato nell’angolo superiore sinistro di Edge conferma che la finestra del browser correntemente aperta è del tutto isolata, grazie ad Application Guard dal resto del sistema.