Tất cả các bạn đều biết tôi là một người nghiện phần mềm thông minh, thông minh. Và điều đó có nghĩa là các công cụ được thiết kế chính xác ở cấp độ triết học; họ giải quyết các vấn đề chiến lược hơn là những phiền toái chiến thuật. Trong Windows, hai ví dụ điển hình của thiết kế như vậy là EMET và Exploit Mitigation, các khái niệm bảo mật nhanh và quên không sử dụng mô hình danh sách đen đã lỗi thời để lọc phần mềm xấu. Thay vào đó, họ sử dụng một cách tiếp cận triết học để lọc ra các hướng dẫn bộ nhớ bất hợp pháp. Ứng dụng của bạn là gì không quan trọng, nếu nó hoạt động kém, nó sẽ bị sập.
Điều này có nghĩa là tôi khá tò mò và gần như trở nên thích thú sau khi đọc về một giải pháp phần mềm mới được công bố gần đây của Microsoft có tên là Windows Defender Application Guard, sử dụng cách ly phần cứng để chặn các mối đe dọa. Âm thanh giống như loại công cụ của tôi. Không chữ ký, không đuổi theo đuôi. Thay vào đó, bạn nhận được các phiên bản duyệt web bị cô lập và bất cứ điều gì xảy ra bên trong chúng, vẫn ở bên trong chúng. Giống như LasVegas. Vì vậy, tôi bắt đầu thử nghiệm.
Thiết lập Bảo vệ ứng dụng
Và hy vọng của tôi đã tiêu tan ngay lập tức. Application Guard được thiết kế cho các doanh nghiệp, giống như hai giải pháp bảo mật khác và do đó, nó yêu cầu ít nhất Windows 10 Pro, không giống như hai giải pháp còn lại và đó là thứ tôi không có trên máy thử nghiệm của mình. Tôi biết nỗ lực của mình sẽ thất bại. Nhưng tôi muốn hoàn thành buổi thử nghiệm của mình và viết bài này, bởi vì có những bài học quan trọng cần được học ở đây. Vì vậy, mặc dù chúng ta sẽ không có được khoảnh khắc vui vẻ khi kết thúc tác phẩm này, nhưng bạn sẽ không vừa đọc một mẩu tin vô dụng khác trên Internet.
Tất nhiên, có một yếu tố tự quảng cáo hơi vô liêm sỉ (không phải tôi). Application Guard sử dụng Microsoft Edge làm công cụ cách ly cơ bản (với Hyper-V trong nền). Cuối cùng, nó được cung cấp thông qua tiện ích mở rộng trình duyệt cho cả Firefox và Chrome. Có, bạn đọc nó đúng. Bạn cài đặt các tiện ích mở rộng cho phép bạn khởi chạy các tab bị cô lập bằng Edge. Trước đây, bạn đã có IETab cho Firefox. Chà, tương tự, ngoại trừ công nghệ cơ bản là khác và trọng tâm là bảo mật hơn là khả năng tương thích.
Tôi đã bắt đầu bằng cách cài đặt tiện ích mở rộng của Firefox. Thao tác này mở ra một tab thông báo cho tôi rằng tôi cần thêm một bước nữa và đó là tải ứng dụng Application Guard thực tế từ Store. Tôi nhận thấy đây là một ý tưởng được dàn dựng cực kỳ tồi vì nhiều lý do.
Một, Nếu tôi không nhầm, Windows Enterprise thường không sử dụng Store. Thứ hai, với sự sụp đổ đáng tiếc của Windows Phone, toàn bộ ý tưởng về cửa hàng trở nên vô nghĩa, vì vậy việc chỉ [sic] mọi người đến đó thực sự không có bất kỳ giá trị nào. Ba, bạn cần cài đặt thành phần App Guard thông qua Control Panel - vẫn có giá trị và hữu ích hơn Settings bốn năm sau. Bốn, quay lại Cửa hàng, tất nhiên nó sẽ nhắc bạn và nhắc bạn sử dụng tài khoản trực tuyến, nhưng nếu bạn đang sử dụng thiết lập cục bộ - hoặc đăng nhập doanh nghiệp - thì điều này hoàn toàn không phù hợp.
Tại thời điểm này, tôi cũng tình cờ kiểm tra thiết lập hoạt động của mình - vì tôi đã thay đổi cài đặt cửa hàng và WU, đồng thời với các dịch vụ bị tắt, Windows không thể cài đặt ứng dụng đồng hành. Nhưng tôi đã bật lại các dịch vụ này, cài đặt ứng dụng rồi tắt chúng đi. Dễ thôi.
Tuy nhiên, trong khi tôi đang thiết lập ứng dụng - trình duyệt Firefox đã bị chặn! Phải, tiện ích mở rộng App Guard đã ngăn kết nối Internet. Một lần nữa, đây là thiết kế tồi. Vì nó buộc người dùng phải hoàn tất thiết lập ngay lập tức và họ không nhất thiết phải có quyền truy cập vào Web để tìm kiếm câu trả lời hoặc thông tin mà họ có thể có trong khi thực hiện việc này.
Bạn có thể giải quyết vấn đề này bằng cách vô hiệu hóa tiện ích mở rộng App Guard, nhưng thực sự. Có rất nhiều cách, những cách tao nhã mà điều này có thể đã được thực hiện. Chẳng hạn, cung cấp mọi thứ dưới dạng một gói thay vì phân tán thiết lập trên bốn vectơ khác nhau. Hoặc có thể không cung cấp từng phần thiết lập.
Khi bước này hoàn tất, màn hình tiện ích mở rộng của Firefox hiện hiển thị một phần còn thiếu khác! Và đây là cái tôi không thể sửa được - Phiên bản gia đình và tất cả những thứ đó. Nhưng sau đó, tại sao điều này không được hiển thị ngay lập tức? Bằng cách này, tôi cảm thấy toàn bộ nỗ lực đã ở đó để khiến tôi truy cập Cửa hàng và cài đặt một ứng dụng.
Tôi thực sự rất khó chịu. Không có lý do gì để yêu cầu tôi cài đặt ứng dụng đồng hành nếu hệ thống là Trang chủ và không thể sử dụng công nghệ. Nhưng tôi đoán Microsoft đang lặp lại những sai lầm tương tự. Chúng tôi đã có hoạt động tiếp thị tích cực với GWX, chúng tôi đã có các bản cập nhật bắt buộc và giờ là điều này. Không chuyên nghiệp.
Rốt cuộc, nếu phần mềm này dành cho những người nghiêm túc, họ sẽ không quan tâm đến Cửa hàng, họ chắc chắn sẽ không sử dụng nó vì nó gần như là một nền tảng đã chết - thật khốn nạn cho chiếc Lumia 950 của tôi, đúng không! - cũng có khả năng cao là họ sẽ sử dụng tài khoản cục bộ và trong doanh nghiệp, một bộ quy tắc hoàn toàn khác sẽ được áp dụng.
Microsoft có thể đã cung cấp một MSI hoặc EXE duy nhất có thể thực hiện mọi thứ - thêm các tính năng tùy chọn của Windows như Hyper-V và Application Guard, định cấu hình hệ thống - và chỉ để lại cấu hình tiện ích mở rộng cho người dùng trình duyệt. Đó là nó. Nhưng rõ ràng, có một hộp kiểm phải được kiểm tra ở đâu đó và nó có nội dung Cửa hàng. Sau đó, đọc bản in đẹp, cũng có đề cập đến dữ liệu chẩn đoán. Thở dài. Họ sẽ không bao giờ học được?
Và sau đó, có cấu hình thực tế, nếu bạn cho mọi thứ chạy.
Lợi ích bảo mật
Tôi sẽ bảo lưu đánh giá của mình cho đến khi và khi tôi kiểm tra Application Guard - bạn có thể muốn đọc bài viết về chủ đề này, vì nó làm sáng tỏ hơn một chút so với nỗ lực làm mặt buồn của tôi. Nhưng tôi có cả đống câu hỏi. Nếu nó được tạo ra với cùng một loại triết lý hợp lý như EMET và Giảm thiểu khai thác, thì nó sẽ là một sản phẩm tối ưu. Nhưng sau đó ... Đầu tiên, Edge hiện sử dụng cùng một công cụ với Chrome, vì vậy các khái niệm về bảo mật và hộp cát là tương tự nhau. Lợi ích bổ sung của Application Guard trong trường hợp này là gì?
Làm thế nào để Bảo vệ ứng dụng phù hợp với Giảm thiểu khai thác? Ý tôi là, tôi đã bật tính năng giảm thiểu cho nhiều chương trình khác nhau, nhưng KHÔNG bật cho Edge, vì tôi không sử dụng nó. Điều này có nghĩa là Firefox được tăng cường khả năng khai thác của tôi có bảo mật tốt hơn Edge không được tăng cường, bất kể mức độ bảo mật cơ sở thực tế của trình duyệt là gì?
Nói về Firefox, nếu bạn sử dụng Adblock và/hoặc Noscript, rất có thể bạn đang lọc ra rất nhiều tiếng ồn và rác, điều này cũng tình cờ có liên quan đến rủi ro bảo mật. Application Guard giới thiệu những lợi ích bổ sung nào không được đề cập ở trên?
Câu hỏi quan trọng nhất...
Người dùng phiên bản gia đình không nhận được điều tốt đẹp này. Nhưng sau đó, nếu nó thực sự tốt - dựa trên những gì tôi có thể đọc được, chưa có thử nghiệm thực tế nào, thì nó đặt ra câu hỏi sau:
Nếu Application Guard quan trọng và hiệu quả như vậy, tại sao người dùng phiên bản Home lại không được bảo vệ? Và nếu người dùng phiên bản Home đã có đầy đủ bảo mật, thì Application Guard có giá trị thực tế không?
Kết luận
Bảo vệ ứng dụng nghe có vẻ như là một điều thực sự thú vị. Nhưng việc thực hiện hiện tại là thô. Đầu tiên, người dùng phiên bản Home bị bỏ rơi, nhưng không sao, tôi hiểu rồi. Việc thiết lập là cồng kềnh. Không có lý do gì để thực hiện kiểm tra từng phần trong màn hình tiện ích mở rộng của trình duyệt - nếu hệ thống không tương thích, bước Lưu trữ là không cần thiết. Và nó là không cần thiết bất kể. Bởi vì đây không phải là phương thức phân phối khả thi trong thời kỳ hậu di động của Microsoft và đơn giản là nó không phù hợp tốt với các chế độ sử dụng Pro hoặc Enterprise điển hình. Sau đó, có những câu hỏi thực tế về bảo mật và giá trị của Edge với tư cách là trình duyệt được sử dụng trong môi trường biệt lập.
Tôi không thể thoát khỏi cảm giác đây không chỉ là một tính năng bảo mật tuyệt vời. Có vẻ như đây là một nỗ lực để khiến mọi người sử dụng Edge, bằng cách này hay cách khác, sau khoảng 15 năm thị phần trình duyệt của Microsoft sụt giảm liên tục. Ý tưởng cách ly + container tổng thể khá thú vị. Nó mới mẻ, nó sáng tạo, niềm vui của tôi. Nhưng sau đó, nó có giải quyết được vấn đề thực sự không, và đó là mọi người đang làm những điều ngớ ngẩn với trình duyệt của họ? Và sau đó, liệu cái gọi là khai thác theo ổ đĩa có tồn tại trong Firefox hoặc Chrome hiện đại không? Tôi không biết, có thể.
Một ngày nào đó, tôi hy vọng sẽ có câu trả lời thiết thực. Nếu Application Guard mạnh mẽ và linh hoạt như EMET và bạn bè, thì nó có thể là một công cụ xứng đáng, mặc dù là công cụ trình duyệt. Hiện tại, tôi vẫn nghi ngờ, vì trải nghiệm đầu tiên khá khó khăn. Ồ tốt. Còn tiếp.
Chúc mừng.