Home > Windows にまつわる e.t.c.

Windows Defender Application Guard へのペーストを有効にする

Windows Defender Application Guard(WDAG) ってご存知ですか?

WDAG は、Web ブラウザをサンドボックスで稼働させ、OS から隔離した環境で Web ブラウジングする機能です。

WDAG の仕組みは、ホスト OS から隔離されたコンテナ内で Edge を稼働させいます。
このコンテナは、Logoff または再起動でリセットされるので、コンテナへ侵入されたとしても、Logoff か OS 再起動できれいさっぱりなかったことになります。

WDAG は Edge / IE と連携し、企業内サイトへのアクセスは通常の Edge か IE でアクセスし、外部サイトへアクセスする際に WDAG へ切り替えてセキュリティを担保する仕組みです。

元々 Windows 10 Enterprise エディションの機能でしたが、1803 から Pro にも解禁されました。

WDAG は単独動作するモードもサポートされているので、不審な URL が書かれたメールが来た時の真偽調査にも便利です。

WDAG の要件

WDAG の要件は以下のようになっています。
(Hyper-V との併用可能)

要件を満たしていれば、インストール チェックが有効になります。

物理環境の方が使いやすいのですが、この要件を満たしていれば Nested Hyper-V VM でも動作します。
(VM 稼働は、テスト用なら良いよって位置づけで正式サポートではない)

ペーストを有効にする

WDAG はホスト OS から隔離されているので、ホスト OS から URL 等のペーストができないようになっています。

Edge / IE 連係動作しているときはこのままでも良いのですが、単独使用をする場合に調査したい URL を手で打つのは現実的はありません。

この制限は GPO コントールされているので、GPO で制限を緩和します。

[コンピューターの構成]-[管理テンプレート]-[Windows コンポーネント]-[Windows Defender Application Guard]-[Windows Defender Application Guard のクリップボード設定を構成します] を有効にし、クリップボードの内容オプションに「1」をセットします。

1803 の不具合回避

1709 であればこの設定でよかったのですが、1803 では GPO を設定してもペーストが許可されない不具合があります。
(どうにも解決できなくて、サポートに問い合わせたら不具合って事が判明し、Bug 修正リクエスト出しました)

この問題を回避するには、レジストリでペーストを許可します。

ただし、この設定をすると WDAG からホスト OS へのペーストも許可されてしまうので、サンドボックスとしての隔離性が低下してしまう(WDAG からホスト OS への攻撃が可能になる)ので運用には注意してください。

PowerShell で設定する場合は以下のように設定(要管理権限)し、WDAG を初期化するために logoff か再起動します。

参考情報

Windows Defender Application Guard (Windows 10) | Microsoft Docs
https://docs.microsoft.com/ja-jp/windows/security/threat-protection/microsoft-defender-application-guard/md-app-guard-overview?WT.mc_id=WD-MVP-36880

入れ子になった仮想化 | Microsoft Docs
https://docs.microsoft.com/ja-jp/virtualization/hyper-v-on-windows/user-guide/nested-virtualization?WT.mc_id=WD-MVP-36880

Windows 10 Insider Preview Build 10565 Nested Hyper-V
http://www.vwnet.jp/windows/w10/NestedHyperV/Build10565Hyper-V.htm

Copyright © MURA All rights reserved.