2017/12/15

Windows Defender Application Guard を VM と日本語環境で使う

※先に行っときますが、Windows Defender Application Guard は "Windows Defender Application Guard is not supported on VMs and VDI environment. "(→ System requiements です。また、公式ドキュメントには記述が見当たりませんが、現状、en-us 環境でないとちゃんと使えないかも。

Windows 10 Fall Creators Update の Enterprise エディションの新機能である Windows Defender Application Guard、システム要件が Hyper-V 要件+4コアCPU+8GBメモリ+空きディスク5GBだそうで、それ以下のスペックの仮想マシン(Hyper-V 仮想マシンで Nested Virtualization を有効にしてても)、「Windowsの機能の追加と削除」で選択できません。※ちなみに、[Hyeper-V]は明示的に有効にしなくても、必要なコンポーネント(仮想化ベースのセキュリティ、VBSに)はインストールされるようです。


なんとかして試してみたいという場合は...

こちらの FAQ に書いてあるレジストリを作成することで、要件を緩和できました。

Frequently asked questions - Windows Defender Application Guard
[URL] https://docs.microsoft.com/en-us/windows/threat-protection/windows-defender-application-guard/faq-wd-app-guard

とりあえず、インストールはできるように。

ちなみに、Nested Virtualization については、こちらを参考に。

入れ子になった仮想化による仮想マシンでの Hyper-V の実行
[URL] https://docs.microsoft.com/ja-jp/virtualization/hyper-v-on-windows/user-guide/nested-virtualization

PS> Set-VMProcessor -VMName <VMName> -ExposeVirtualizationExtensions $true

で・きるかな、で・きるかな、さてさて...

数分間またされ(20%まで進みますが)たあげく、0xc0370106 エラー。[続行]押しても残念ながら Application Guard は続行しません。Insider Preview で利用可能になったとき、en-us のみで、他の言語は Comming Soon!みたいな感じだったけど、まだそうなのかな? というわけで、en-us の言語パック追加!
表示言語を en-us に切り替えて再挑戦(とりあえずシステムロケールはja-jpのままやってみる)。

できた! (起動はかなりスローですけど)


日本語にもう一度戻して、再挑戦してみたところ、今度は日本語でも動く。なんだこりゃ。再起動しても日本語で使えた。



実は、4コア、8GBメモリの物理ノートで、Windows To Go で起動して試そうとしたのですが、同じ問題 (0xc0370106エラー)で仮想マシンに流れてきたのですが、同じ方法で物理ノートでも動きました。

システム要件を満たす、物理マシンでないと使い物になりませんし、日本語対応も中途半端でまだ使い物になりません。

※Application Guardは分離されたコンテナー環境(たぶん、VBS のセキュアカーネルとはまた別のパーティションで動いている"英語版”OS環境)で実行されているMicrosoft Edge に RemoteApp 接続しているような感じ。向こう側のキーボードが101配列らしく、とっても使いにくい。
※ポリシー設定の「クラウドでホストされるエンタープライズリソースドメイン」(通常のEdge/IEで接続できるサイト)、「職場用と個人用に分類されたドメイン」(Application Guardでは接続できない、普通のEdgeを使ってくれサイト)、「アプリのプライベートネットワークの範囲」(通常のEdge/IEで接続できるサイト)のすべてが Application Guard にリダイレクトされる。つまり、全サイト(Edge のスタート ページを除く)。ちゃんと動いてないんじゃね? 

追記)「クラウドでホストされるエンタープライズリソースドメイン」と「職場用と個人用に分類されたドメイン」は、1個指定かつwww.から指定すれば期待通りに機能した。けど、やっぱり変。ちゃんと動いてないんじゃね?

Windows Information Protection と同じ匂いがする。公式ドキュメントに書いてあるとおりやっても同じように動かない。正解がわからない。

続く >

12/20 追記)日本語環境では事実上利用できない Application Guard、次の機能更新(2018年3月頃)で Windows 10 Pro でも利用可能になるそうな。
Announcing Windows 10 Insider Preview Build 17063 for PC
[URL] https://blogs.windows.com/windowsexperience/2017/12/19/announcing-windows-10-insider-preview-build-17063-pc/

1 件のコメント:

kkamegawa さんのコメント...

FacebookのWindows 10コミュニティで教えてもらったのですが、やはり現在英語版じゃないと動かないようです。日本語以外でもドイツ語とかでも出ているので、フィードバックが上がっているらしいです。
パッチ入れても動かなくなるので、書かれている通り、こんな感じだそうです。
1.英語OSでWDAGを有効にする
2.動作確認
3.パッチをインストール
4.WDAGの確認
5.言語パック入れて変更
6.WDAGの確認