คุณทุกคนรู้ว่าฉันเป็นคนดูดซอฟต์แวร์ที่ชาญฉลาดและชาญฉลาด และโดยที่ฉันหมายถึงเครื่องมือที่ออกแบบมาอย่างถูกต้องในระดับปรัชญา พวกเขาแก้ปัญหาเชิงกลยุทธ์มากกว่าการรบกวนทางยุทธวิธี ใน Windows สองตัวอย่างที่สำคัญของการออกแบบดังกล่าวคือ EMET และ Exploit Mitigation แนวคิดด้านความปลอดภัยแบบไม่ต้องพยายามและลืม ซึ่งไม่ใช้รูปแบบบัญชีดำที่ล้าสมัยในการกรองซอฟต์แวร์ที่ไม่ดีออก พวกเขาใช้วิธีการทางปรัชญาในการกรองคำสั่งหน่วยความจำที่ผิดกฎหมาย ไม่สำคัญว่าแอปของคุณจะเป็นแอปอะไร ถ้าแอปทำงานไม่ดีแอปก็จะหยุดทำงาน
ซึ่งหมายความว่าฉันค่อนข้างสนใจและเกือบจะจบลงด้วยความกระตือรือร้นหลังจากอ่านเกี่ยวกับโซลูชันซอฟต์แวร์ของ Microsoft ที่เพิ่งเปิดตัวเมื่อเร็วๆ นี้ที่ชื่อว่า Windows Defender Application Guard ซึ่งใช้การแยกฮาร์ดแวร์เพื่อป้องกันภัยคุกคาม ฟังดูเหมือนเครื่องมือของฉัน ไม่เซ็นไม่ไล่หางใคร แต่คุณจะได้รับอินสแตนซ์การสืบค้นที่แยกจากกัน และไม่ว่าจะเกิดอะไรขึ้นภายในอินสแตนซ์เหล่านั้น ก็จะยังคงอยู่ในอินสแตนซ์เหล่านั้น เหมือนลาสเวกัส ดังนั้นฉันจึงเริ่มการทดสอบ
ตั้งค่า Application Guard
และความหวังของฉันก็ดับวูบลงทันที Application Guard ได้รับการออกแบบมาสำหรับองค์กร เช่นเดียวกับโซลูชันความปลอดภัยอีกสองโซลูชัน ดังนั้นจึงต้องใช้ Windows 10 Pro เป็นอย่างน้อย ซึ่งแตกต่างจากโซลูชันอื่นๆ อีกสองโซลูชัน และนั่นคือสิ่งที่ฉันไม่มีในเครื่องทดสอบ ฉันรู้ว่าความพยายามของฉันกำลังจะล้มเหลว แต่ฉันต้องการทำการทดสอบให้เสร็จและเขียนบทความนี้ เพราะมีบทเรียนสำคัญที่ต้องเรียนรู้ที่นี่โดยไม่คำนึงว่า ดังนั้น แม้ว่าเราจะไม่มีช่วงเวลาที่มีความสุขในตอนท้ายของบทความชิ้นนี้ แต่คุณจะไม่ได้อ่านบทความเกี่ยวกับอินเทอร์เน็ตที่ไร้ประโยชน์อีกชิ้นหนึ่ง
แน่นอนว่ามีองค์ประกอบของการส่งเสริมตนเองที่ค่อนข้างไร้ยางอาย (ไม่ใช่ฉัน) Application Guard ใช้ Microsoft Edge เป็นเครื่องมือแยกพื้นฐาน (โดยมี Hyper-V อยู่เบื้องหลัง) ด้วยเหตุนี้จึงมีการนำเสนอผ่านส่วนขยายเบราว์เซอร์สำหรับทั้ง Firefox และ Chrome ใช่ คุณอ่านไม่ผิด คุณติดตั้งส่วนขยายที่ให้คุณเปิดใช้แท็บแยกโดยใช้ Edge ย้อนกลับไปก่อนหน้านี้ คุณมี IETab สำหรับ Firefox ก็คล้ายกัน ยกเว้นว่าเทคโนโลยีพื้นฐานนั้นแตกต่างกัน และโฟกัสที่ความปลอดภัยมากกว่าความเข้ากันได้
ฉันเริ่มต้นด้วยการติดตั้งส่วนขยายของ Firefox สิ่งนี้เปิดแท็บที่แจ้งว่าฉันต้องการขั้นตอนอื่น และนั่นคือการได้รับ Application Guard จริง เอ๊ะ แอปจาก Store ฉันพบว่านี่เป็นแนวคิดที่ปรุงแต่งอย่างเหลือเชื่อด้วยเหตุผลหลายประการ
หนึ่ง ถ้าฉันจำไม่ผิด โดยทั่วไปแล้ว Windows Enterprise จะไม่ใช้ Store ประการที่สอง ด้วยการที่ Windows Phone เสียชีวิตอย่างน่าเศร้า แนวคิดของร้านค้าทั้งหมดจึงไร้ความหมาย ดังนั้นการชี้ว่าผู้คนที่นั่นไม่มีค่าอะไรเลย สาม คุณต้องติดตั้งส่วนประกอบ App Guard ผ่านแผงควบคุม ซึ่งยังคงมีประโยชน์และมีประโยชน์มากกว่าการตั้งค่าในอีกสี่ปีต่อมา สี่ กลับไปที่ Store แน่นอนว่าจะสะกิดคุณและแจ้งให้คุณใช้บัญชีออนไลน์ แต่ถ้าคุณใช้การตั้งค่าในเครื่อง - หรือการเข้าสู่ระบบขององค์กร นี่ถือว่าพลาดไปโดยสิ้นเชิง
ณ จุดนี้ ฉันได้ทดสอบการตั้งค่าการทำงานของฉันด้วย เนื่องจากฉันเปลี่ยนร้านค้าและการตั้งค่า WU และปิดบริการ Windows จึงไม่สามารถติดตั้งแอปที่ใช้ร่วมกันได้ แต่ฉันได้เปิดบริการเหล่านี้อีกครั้ง ติดตั้งแอป แล้วปิด ง่ายนิดเดียว
อย่างไรก็ตาม ขณะที่ฉันกำลังตั้งค่าแอป การเรียกดู Firefox ถูกบล็อก! ใช่ ส่วนขยาย App Guard ป้องกันการเชื่อมต่ออินเทอร์เน็ต นี่เป็นการออกแบบที่ไม่ดี เนื่องจากระบบบังคับให้ผู้ใช้ทำการตั้งค่าให้เสร็จสิ้นทันที และผู้ใช้ไม่จำเป็นต้องเข้าถึงเว็บเพื่อค้นหาคำตอบหรือข้อมูลที่อาจมีในขณะดำเนินการนี้
คุณสามารถแก้ไขปัญหานี้ได้โดยปิดใช้งานส่วนขยาย App Guard แต่จริงๆแล้ว มีหลายวิธีที่สามารถทำได้อย่างสวยงาม ตัวอย่างเช่น เสนอทุกอย่างเป็นชุดเดียวแทนที่จะกระจายการตั้งค่าไปยังเวกเตอร์สี่ตัวที่แตกต่างกัน หรืออาจไม่ป้อนการตั้งค่าทีละน้อย
เมื่อขั้นตอนนี้เสร็จสมบูรณ์ หน้าจอส่วนขยายของ Firefox จะแสดงชิ้นส่วนที่ขาดหายไปอีกชิ้นหนึ่ง! และนี่คือสิ่งที่ฉันแก้ไขไม่ได้ - รุ่นโฮม และทั้งหมดนั้น แต่แล้วเหตุใดจึงไม่แสดงทันที ด้วยวิธีนี้ ฉันรู้สึกว่าความพยายามทั้งหมดอยู่ที่นั่นเพื่อให้ฉันไปที่ Store และติดตั้งแอป
ฉันรำคาญจริงๆ ไม่มีเหตุผลที่จะต้องให้ฉันติดตั้งแอปที่ใช้ร่วมกัน หากระบบเป็นโฮมและไม่สามารถใช้เทคโนโลยีได้ แต่ฉันเดาว่า Microsoft กำลังทำซ้ำข้อผิดพลาดเดิม ๆ ไปทั่ว เรามีการตลาดเชิงรุกกับ GWX เรามีการอัปเดตแบบบังคับ และในตอนนี้ ไม่ใช่มืออาชีพ
ท้ายที่สุด หากซอฟต์แวร์นี้มีไว้สำหรับคนที่จริงจัง พวกเขาจะไม่ทำเรื่องยุ่งเกี่ยวกับ Store พวกเขาจะไม่ใช้มันอย่างแน่นอนเพราะมันค่อนข้างเป็นแพลตฟอร์มที่ตายแล้ว - วิบัติ Lumia 950 ของฉัน ใช่ไหม! - ยังมีโอกาสค่อนข้างดีที่พวกเขาจะใช้บัญชีท้องถิ่น และในองค์กร จะใช้ชุดกฎที่แตกต่างกันทั้งหมด
Microsoft สามารถเสนอ MSI หรือ EXE เดียวที่ทำทุกอย่าง - เพิ่มคุณสมบัติเสริมของ Windows เช่น Hyper-V และ Application Guard กำหนดค่าระบบ - และปล่อยการกำหนดค่าส่วนขยายให้กับผู้ใช้เบราว์เซอร์เท่านั้น แค่นั้นแหละ. แต่เห็นได้ชัดว่ามีช่องทำเครื่องหมายที่ต้องทำเครื่องหมายที่ไหนสักแห่งและอ่านว่า Store จากนั้น เมื่ออ่านรายละเอียดแล้ว ยังมีการกล่าวถึงข้อมูลการวินิจฉัยด้วย ถอนหายใจ พวกเขาจะไม่มีวันเรียนรู้เลยหรือ
จากนั้นจะมีการกำหนดค่าจริง หากคุณทำให้ทุกอย่างทำงาน
ประโยชน์ด้านความปลอดภัย
ฉันจะสงวนวิจารณญาณไว้จนกว่าจะและเมื่อฉันทำการทดสอบ Application Guard - คุณอาจต้องการอ่านบทความ ghacks ในหัวข้อนี้ เนื่องจากมันทำให้กระจ่างแจ้งมากกว่าความพยายามทำหน้าเศร้าของฉัน แต่ฉันมีคำถามมากมาย ถ้ามันถูกสร้างขึ้นด้วยปรัชญาที่สมเหตุสมผลแบบเดียวกับ EMET และ Exploit Mitigation มันจะเป็นผลิตภัณฑ์ชั้นยอด แต่แล้ว ... ประการแรก ตอนนี้ Edge ใช้เครื่องมือเดียวกับ Chrome ดังนั้นแนวคิดด้านความปลอดภัยและแซนด์บ็อกซ์จึงคล้ายกัน ประโยชน์เพิ่มเติมของ Application Guard ในกรณีนี้คืออะไร
Application Guard เหมาะสมกับ Exploit Mitigation อย่างไร ฉันหมายถึง ฉันเปิดใช้งาน mitigations สำหรับโปรแกรมต่างๆ แต่ไม่ใช่สำหรับ Edge เพราะฉันไม่ได้ใช้มัน นี่หมายความว่า Firefox ที่เสริมความแข็งแกร่งของฉันมีการรักษาความปลอดภัยที่ดีกว่า Edge ที่ไม่ได้เสริมความแข็งแกร่ง โดยไม่คำนึงถึงความปลอดภัยพื้นฐานของเบราว์เซอร์จริงหรือไม่
พูดถึง Firefox หากคุณใช้ Adblock และ/หรือ Noscript มีโอกาสที่ดีที่คุณจะกรองสัญญาณรบกวนและขยะจำนวนมาก ซึ่งบังเอิญเกี่ยวข้องกับความเสี่ยงด้านความปลอดภัยด้วย Application Guard มอบสิทธิประโยชน์เพิ่มเติมอะไรบ้างที่ไม่รวมอยู่ในข้อด้านบน
คำถามที่สำคัญที่สุด ...
ผู้ใช้ Home Edition ไม่ได้รับสิ่งที่ดีนี้ แต่ถ้ามันดีจริง - จากสิ่งที่ฉันสามารถอ่านได้ ยังไม่มีการทดสอบจริง มันก็จะถามคำถามต่อไปนี้:
หาก Application Guard มีความสำคัญและมีประสิทธิภาพ เหตุใดผู้ใช้ Home Edition จึงไม่ได้รับการป้องกัน และหากผู้ใช้รุ่น Home มีการรักษาความปลอดภัยที่เพียงพอแล้ว Application Guard นั้นมีประโยชน์จริงหรือไม่
บทสรุป
Application Guard ฟังดูดีมาก แต่การใช้งานปัจจุบันค่อนข้างหยาบ อันดับแรก ผู้ใช้ Home Edition จะถูกละทิ้ง แต่โอเค ฉันเข้าใจแล้ว การตั้งค่าเป็น clunky ไม่มีเหตุผลสำหรับการใช้ช่องทำเครื่องหมายทีละส่วนในหน้าจอส่วนขยายของเบราว์เซอร์ - หากระบบเข้ากันไม่ได้ ขั้นตอน Store ก็ไม่จำเป็น และไม่จำเป็นโดยไม่คำนึงว่า เนื่องจากนี่ไม่ใช่วิธีการจัดส่งที่ใช้งานได้ในยุคหลังของ Microsoft และไม่สอดคล้องกับโหมดการใช้งาน Pro หรือ Enterprise ทั่วไป จากนั้นมีคำถามเชิงปฏิบัติเกี่ยวกับความปลอดภัยและคุณค่าของ Edge ในฐานะเบราว์เซอร์ที่ใช้ในสภาพแวดล้อมที่แยกจากกัน
ฉันไม่สามารถหลีกหนีความรู้สึกที่ว่านี่เป็นมากกว่าคุณลักษณะด้านความปลอดภัยที่ยอดเยี่ยม ดูเหมือนเป็นความพยายามที่จะทำให้ผู้คนใช้ Edge ไม่ทางใดก็ทางหนึ่ง หลังจากส่วนแบ่งการตลาดลดลงอย่างต่อเนื่องในเบราว์เซอร์ Microsoft ประมาณสิบห้าปี แนวคิดโดยรวมของคอนเทนเนอร์ + การแยกนั้นค่อนข้างน่าสนใจ มันสดใหม่ เป็นนวัตกรรม ความสนุกในแบบของฉัน แต่แล้วมันช่วยแก้ปัญหาจริง ๆ ได้ไหม และนั่นคือคนที่ทำสิ่งโง่ ๆ กับเบราว์เซอร์ของพวกเขาหรือไม่? แล้วสิ่งที่เรียกว่า drive-by ใช้ประโยชน์จากบางสิ่งใน Firefox หรือ Chrome สมัยใหม่หรือไม่ ฉันไม่รู้ อาจจะ
วันหนึ่งฉันหวังว่าจะมีคำตอบที่ใช้ได้จริง หาก Application Guard อยู่ที่ใดก็ได้ที่แข็งแกร่งและยืดหยุ่นพอๆ กับ EMET และเพื่อนๆ มันอาจจะเป็นเครื่องมือที่คู่ควร แม้ว่าเครื่องมือของเบราว์เซอร์ก็ตาม ตอนนี้ฉันยังสงสัยอยู่ เพราะประสบการณ์ครั้งแรกค่อนข้างหยิ่งยโส โอ้ดี ดำเนินการต่อ
ไชโย.