Browser sicuro al debutto in Windows 10 Pro: è Edge con Application Guard

Microsoft Edge è il browser che viene proposto come predefinito in Windows 10. Rispetto a Internet Explorer sono stati compiuti enormi passi in avanti per quanto riguardo rispetto degli standard per il web, l’interoperabilità, le funzionalità, le performance e la sicurezza.

Proprio parlando di sicurezza, con il rilascio di Windows 10 Aggiornamento di aprile 2018 (Windows 10 April 2018 Update), la versione 1803 del sistema operativo, Microsoft ha aggiunto a Edge la tecnologia Windows Defender Application Guard, fino a ieri prerogativa dell’edizione Enterprise di Windows 10.

Windows Defender Application Guard permette di eseguire il browser in un ambiente virtualizzato, isolato e sicuro. La nuova funzionalità è basata sulla tecnologia Hyper-V e consente di virtualizzare le applicazioni gestendole in un ambiente completamente isolato dal resto del sistema.

I vantaggi sono molteplici: caricando il browser con Application Guard si eviterà che qualche utente poco formato e con scarsa esperienza alle spalle possa porre in essere operazioni potenzialmente pericolose e aprire la porta all’installazione e all’esecuzione di malware (mettendo così a rischio l’intera infrastruttura).
Edge eseguito in modalità Application Guard aumenta notevolmente il livello di sicurezza.
Il browser di Microsoft si trasforma in uno strumento di navigazione sicuro, utile per visitare siti web dal comportamento dubbio o comunque le pagine web sulle quali non si ripone alcuna fiducia.

Windows Defender Application Guard è una tecnologia eccellente che è attualmente compatibile solo con Edge ma che nel prossimo futuro verrà verosimilmente estesa a qualunque applicazione.
A breve dovrebbe quindi essere possibile eseguire Application Guard con i migliori browser oppure per aprire qualunque programma che si volesse confinare all’interno di una macchina virtuale, con tutti i benefici che ne scaturiscono soprattutto in termini di sicurezza.

Come installare e usare Windows Defender Application Guard

Dopo aver installato Windows 10 Aggiornamento di aprile 2018 o aggiornato il sistema a questo feature update, per utilizzare Application Guard è necessario richiedere l’abilitazione della corrispondente funzionalità.

Per procedere, è necessario digitare Attiva o disattiva funzionalità di Windows nella casella di ricerca di Windows 10 quindi scorrere il lungo elenco che viene proposto fino a individuare Windows Defender Application Guard.
Spuntando la casella corrispondente e cliccando su OK, verrà avviata l’installazione del nuovo componente.

La possibilità di installare Windows Defender Application Guard, viene offerta solo ai possessori di Windows 10 Pro (l’edizione Home del sistema operativo non va bene, quindi) su macchine dotate di almeno 4 GB di memoria RAM, su piattaforma x64 con le estensioni per la virtualizzazione lato processore opportunamente abilitate.

Come eseguire il browser sicuro di Windows 10

Per eseguire Edge in modalità Application Guard, basta avviare il browser quindi fare clic sul menu principale in alto a destra e scegliere Nuova finestra di Application Guard (la voce è posizionata immediatamente sopra a Nuova finestra InPrivate che consente di aprire una scheda per la navigazione in incognito, senza la memorizzazione di alcun dato in locale).

A questo punto è possibile navigare normalmente in Microsoft Edge certi che eventuale codice malevolo presente nelle pagine web visitate non possa in alcun modo interferire con il sistema operativo e le applicazioni.

Se si prova a scaricare un file con Edge eseguito in modalità Application Guard, lo scaricamento viene portato a compimento ma il download avviene all’interno della macchina virtuale.
Inoltre, se si prova a installare direttamente da Edge un file che è stato prelevato (cliccando ad esempio sul pulsante Esegui al termine della procedura di download), il setup sarà sempre eseguito all’interno della macchina virtuale. Non appena il programma proverà a scrivere sul filesystem sottostante o comunque a modificare la configurazione di Windows e/o del registro di sistema, comparirà un messaggio d’errore.
In altre parole, tutti i file richiamati da Edge eseguito in modalità Application Guard saranno anch’essi avviati all’interno della macchina virtuale.

Le limitazioni di Edge in modalità Application Guard e come eventualmente superarle

La principale caratteristica di Edge in modalità Application Guard è che non appena si chiude il browser web, tutto quanto riferibile alla precedente sessione di navigazione (compresi i file scaricati e i programmi eventualmente eseguiti) sarà automaticamente cancellato e perduto.

Non essendoci la possibilità per il browser di interagire con il sistema sottostante, i tecnici Microsoft hanno deciso di disabilitare per default la stampa, gli Appunti (quindi la possibilità di effettuare copia e incolla), l’accelerazione hardware, il download dei file e le informazioni relative alla cronologia di navigazione.

Accedendo all’editor dei criteri di gruppo locali (premere la combinazione di tasti Windows+R e digitare gpedit.msc) è comunque possibile abilitare tali funzionalità.

Cliccando su Configurazione computer, Modelli amministrativi, Componenti di Windows, Windows Defender Application Guard, si potrà fare doppio clic sulle varie politiche di sicurezza quindi scegliere l’opzione Attivata per abilitare ciò che interessa.

Ovviamente, sarebbe preferibile non attivare troppe caratteristiche del browser eseguito in modalità Application Guard: si può ad esempio attivare il copia e incolla da e verso il sistema sottostante che ospita la macchina virtuale ma è sconsigliabile abilitare l’accelerazione hardware o il download dei file. Entrambe queste due caratteristiche possono infatti esporre al download di elementi potenzialmente dannosi.

Nel caso in cui si volesse comunque abilitare la regola “Consenti il download e salvataggio dei file nel sistema operativo host da Windows Defender Application Guard“, i file prelevati con Edge in modalità Application Guard saranno comunque memorizzati nella sottocartella File non attendibili della directory di sistema Download.