Home > Windows にまつわる e.t.c.

Windows Defender Application Guard へのペーストを有効にする


Windows Defender Application Guard(WDAG) ってご存知ですか?

WDAG は、Web ブラウザをサンドボックスで稼働させ、OS から隔離した環境で Web ブラウジングする機能です。

 

WDAG の仕組みは、ホスト OS から隔離されたコンテナ内で Edge を稼働させいます。
このコンテナは、Logoff または再起動でリセットされるので、コンテナへ侵入されたとしても、Logoff か OS 再起動できれいさっぱりなかったことになります。

WDAG は Edge / IE と連携し、企業内サイトへのアクセスは通常の Edge か IE でアクセスし、外部サイトへアクセスする際に WDAG へ切り替えてセキュリティを担保する仕組みです。

元々 Windows 10 Enterprise エディションの機能でしたが、1803 から Pro にも解禁されました。

WDAG は単独動作するモードもサポートされているので、不審な URL が書かれたメールが来た時の真偽調査にも便利です。

 

WDAG の要件

WDAG の要件は以下のようになっています。
(Hyper-V との併用可能)

OS Windows 10 Enterprise edition, version 1709 以降
Windows 10 Professional edition, version 1803 以降
CPU 64-bit CPU
SLAT & VT-x(Intel) or AMD-V
(Hyper-V がサポートされる要件を満たしていること)
4 コア以上
メモリ 8GB 以上
ディスク 5GB以上の空き領域(SSD 推奨)

 

要件を満たしていれば、インストール チェックが有効になります。

 

物理環境の方が使いやすいのですが、この要件を満たしていれば Nested Hyper-V VM でも動作します。
(VM 稼働は、テスト用なら良いよって位置づけで正式サポートではない)

 

ペーストを有効にする

WDAG はホスト OS から隔離されているので、ホスト OS から URL 等のペーストができないようになっています。

 

Edge / IE 連係動作しているときはこのままでも良いのですが、単独使用をする場合に調査したい URL を手で打つのは現実的はありません。

この制限は GPO コントールされているので、GPO で制限を緩和します。

[コンピューターの構成]-[管理テンプレート]-[Windows コンポーネント]-[Windows Defender Application Guard]-[Windows Defender Application Guard のクリップボード設定を構成します] を有効にし、クリップボードの内容オプションに「1」をセットします。

 

1803 の不具合回避

1709 であればこの設定でよかったのですが、1803 では GPO を設定してもペーストが許可されない不具合があります。
(どうにも解決できなくて、サポートに問い合わせたら不具合って事が判明し、Bug 修正リクエスト出しました)

この問題を回避するには、レジストリでペーストを許可します。

ただし、この設定をすると WDAG からホスト OS へのペーストも許可されてしまうので、サンドボックスとしての隔離性が低下してしまう(WDAG からホスト OS への攻撃が可能になる)ので運用には注意してください。

レジストリ ハイブ HKEY_LOCAL_MACHINE
レジストリ Path \SOFTWARE\Microsoft\Hvsi
値名 EnableClipboard
タイプ REG_DWORD
有効 : 1
無効 : 0

 

PowerShell で設定する場合は以下のように設定(要管理権限)し、WDAG を初期化するために logoff か再起動します。

# Enable Paste
Set-ItemProperty HKLM:\SOFTWARE\Microsoft\Hvsi -name EnableClipboard -Value 1

 

# Disable Paste
Set-ItemProperty HKLM:\SOFTWARE\Microsoft\Hvsi -name EnableClipboard -Value 0

 

参考情報

Windows Defender Application Guard (Windows 10) | Microsoft Docs
https://docs.microsoft.com/ja-jp/windows/security/threat-protection/windows-defender-application-guard/wd-app-guard-overview

入れ子になった仮想化 | Microsoft Docs
https://docs.microsoft.com/ja-jp/virtualization/hyper-v-on-windows/user-guide/nested-virtualization

Windows 10 Insider Preview Build 10565 Nested Hyper-V
http://www.vwnet.jp/windows/w10/NestedHyperV/Build10565Hyper-V.htm

 

back.gif (1980 バイト)

home.gif (1907 バイト)

Copyright © MURA All rights reserved.