Application Guardで安全にネット閲覧

Windows 10 ProのMicrosoft Defender Application Guardによる仮想環境のEdgeを使うことで,ネットサーフィンの安全性を高めようという話

思うところがあって,自宅のPCのセキュリティを高めようとしています.
外部からの直接攻撃はブロードバンドルータで止まるはずなので,リスクがあるとすれば,Webの閲覧ではないかと.

それで,Web閲覧の安全性を高める方法を調べていると,こういうのがありました.
Microsoft Defender Application Guard

これは,使っているOS環境とは別の仮想マシン環境を作ってそこでEdgeを動かす,という機能で,
そのEdgeが攻撃されて乗っ取られたとしてもその仮想マシンの中での話なので,使っている本体側の環境のファイルなどは閲覧したり書き換えたりできず,
安全だというものです.

確かにこの仕組みだと,安全そうです.

ただしWindows 10 Proが必要なのと,64bitのCPU,メモリ8GB以上が必須になっています.

また,こちらに説明されていますが,
Windows Defender Application Guard、他社ブラウザー用拡張を提供開始 | スラド セキュリティ

-Windows 10 Enterpriseのみで利用可能な企業管理モードと,
-Windows 10 Enterprise/Proともに利用可能なスタンドアロンモード

という2つのモードがあり,企業管理モードでは信頼されるサイトのポリシー設定に従い,自動的にブラウザから仮想環境のEdgeにリダイレクトされるのですが,
スタンドアロンモードでは自動で開いてはくれません.

今回は,個人のWin10 Proのマシンなのでスタンドアロンモードの話であり,実際のところ,
-(A) 怪しいURLがあれば,それを仮想環境のEdgeで手動で開いて確認するか
-(B) 常時,仮想環境のEdgeを使い,全てのリンクをこのEdge内で処理する

という感じの使い方になります.

インストール

説明は以下ですが,
Microsoft Edge でハードウェアベースの分離を有効にする Windows security

コントロールパネルの,[Windows の機能の有効化または無効化]で「Windows Defender Application Guard」を有効にして,再起動します.
コントロールパネルで「Windowsの」で検索すれば,その画面を出せます.

コンパニオンアプリのインストール

この状態でも使えることは使えます.Edgeを起動して,
-メニュー-新しいApplication Guard ウインドウ
-または,ショートカットキーの CTRL+Shift+A

で,仮想環境のEdgeを開けます.

しかしEdgeを常に起動していない限り,Edgeを2回起動する感じの二度手間になりますので,コンパニオンアプリをインストールしました.

Microsoft Storeに,
Microsoft Defender Application Guard Companion

があります.これをインストールすると,スタートメニューからこれを起動するだけで,いきなり仮想環境のEdgeを開くことが出来ます.

設定

スタートメニューを右クリック-検索で「gpedit」と入れると,「ローカルグループポリシーエディタ」を起動できます.
これを使って設定します.(以下,gpeditと呼びます)

gpeditで,
[コンピューターの構成]-[管理テンプレート]-[Windows コンポーネント]-[Windows Defender Application Guard]
に,各種設定がありますので,これをいじることになります.

(A) 必要なときだけ単発で使う場合

怪しいURLを仮想環境のEdgeで開いて確認する,という使い方ですが,デフォルトでは本体側からそのURLを渡す手段がありません(目視入力はさすがにきつい).
それで,本体側からクリップボードによるコピペでURLを渡せるように,クリップボードのやりとりを許可します.

▼設定1. 本体側とクリップボードでやりとりできるようにする
gpeditで,「Windows Defender Application Guardのクリップボード設定を構成します」
を有効にして,サインアウトすれば行けるはずなのですが,駄目でした.

そこで,こちらのサイト
Windows Defender Application Guard へのペーストを有効にする

に従って,以下のレジストリを追加しました.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Hvsi
値名 EnableClipboard
タイプ REG_DWORD
値 有効 : 1
これでサインアウトすれば,コピペが出来るようになりました.

このサイトの情報が無ければ,ここで挫折していたところでした.ありがとうございます.

▼設定2. ファイルを本体側にダウンロードできるようにする
これで,怪しいURLを仮想環境のEdgeでページ内容確認できるのですが,何かをダウンロードしても仮想環境内に保存されて,本体側では取得できません.
ダウンロードしたブツを本体側で取得したい場合は,設定が要ります.

gpeditで,「Windows Defender Application Guardからのファイルのダウンロードとホストオペレーティングシステムへの保存を許可する」
という設定があるので,有効にしてサインアウトすれば行けます.

本体側の標準ダウンロードフォルダの下に「信頼されていないファイル」というフォルダが作られて,仮想Edgeでダウンロードしたファイルはそこに保存できるようになります.

(B) 仮想環境のEdgeを常用する場合

ここまでの設定だと,サインアウトや再起動でこの仮想環境を終了するたびに,仮想環境が初期化され,ブックマークなどEdgeの設定が消えてしまいます.
セキュリティとしてはこれで良いのですが,常用する場合はブックマークや設定などが消えるのが不便です.

▼設定3. 永続化の設定
gpeditで,「Windows Defender Application Guardのデータ永続化を許可する」
を有効にしてサインアウトすると,それらが維持されるようになります.

しかし,維持されない設定もあるようです.
例えば自分は,Edgeの設定で標準の検索エンジンを「Google」に変更して使っているのですが,
これは,サインアウトすると「Bing」に戻ってしまいます.

Firefox用アドオンとは?

自分はFirefoxを常用していたため,安全なサイトはFirefoxで閲覧して,それ以外は仮想環境のEdgeで閲覧できれば理想でした.

Firefox用アドオンで「Application Guard Extension」というのがあり,期待したのですが,
Application Guard Extension. Get this Extension for Firefox

残念ながらスタンドアロンモードでは,ほとんど使い道がありません.

仮想環境のEdgeを起動することは出来ますが,空の画面でEdgeが起動するだけで,URLを渡せるわけでは無いです.
起動するだけならコンパニオンアプリで十分なので,使い道は無しでした.

Edgeを活用するための設定

先ほど書いたように自分はFirefoxを常用していて,Edgeの使い方はよくわかっていないのですが,
今回,仮想のEdgeを常用するにあたってできるだけ快適にするために調べたことを書きます.

検索エンジンをGoogleに変更する

Edgeで,設定-プライバシー検索 から,アドレスバーの検索エンジンをGoogleに変更する で行けます

ただし先ほど書いたように,サインアウトするとBingに戻ってしまいますので,そのたびに設定し直しています...

表示中のタブの保存

昔のEdgeはタブ状態の保存ができたようなのですが,今のEdgeはできません.以下のアドオンが優秀だと思います.
Tab Session Manager – Microsoft Edge Addons

これの設定で,
-スタートアップ-ブラウザ起動時の動作 : 前回のセッションを開く

にすれば,サインアウトしてからまた仮想Edgeを起動しても,前回のタブが開かれました.素晴らしい

feedlyの閲覧

本題とはあまり関係ないのですが,FirefoxでRSSを閲覧するために自分が愛用していたFeedly Notifierアドオンが,Edge用もありました.助かりました.
Feedly Notifier – Microsoft Edge Addons

ジェスチャー操作


ジェスチャー操作のアドオンですが,仮想Edgeではなぜか動作しませんでした.何か制限があるのでしょうか
smartUp Gestures – Microsoft Edge Addons

CrxMouse Gestures – Microsoft Edge Addons

まぁ,常用してたのは右ドラッグで戻るぐらいなので,諦めてます.

ブックマーク,お気に入りの移行

仮想Edgeを常用する場合,今まで使っていたブックマークを移行したいところですが,
本体側で使っていたブックマーク,お気に入りを仮想のEdgeに移行するのは,出来なさそうです.

仮想環境から本体側のファイルを見れないということで,セキュリティ的にそれはそれで良いと思います.

なので,必要に応じて,1つずつURLをコピペしてお気に入りに登録しています.