2017/12/18

続:Windows Defender Application Guard(WDAG)あれこれ

Windows Defender Application Guard を VM と日本語環境で使う』の続き。


※先に行っときますが、Windows Defender Application Guard は "Windows Defender Application Guard is not supported on VMs and VDI environment. "(→ System requiements です。また、公式ドキュメントには記述が見当たりませんが、現状、en-us 環境でないとちゃんと使えないかも。
 
スタンドアロン モードで使ってみて気が付いたことなど...



向こう様は英語配列(101)キーボードらしい。;や@の入力がやっかい。;は[Shift]+[;]、@は[Shift]+[2]で入力しないと。101 キーボードに認識されているらしいときに役立つ、日本語キーボードとの対応表(2012/03/02)


ダウンロードはできるけど、ダウンロードしたファイルの実行はできないし、ローカル(こちら側)にコピーすることもできない。[Copy to clipboard]ボタンは、ダイアログボックスに表示されている"C:\WDAG\... for help."までをこちら側のクリップボードにコピーしてくれるだけ。

上のフォルダーを開いた時の表示やメッセージを見ればわかるように、この Microsoft Edge はどこかの英語環境で動いている。C:ドライブの使用量を見ると 2GB 以下。ちっちゃい Windows 10?

このファイルシステムのベースとなってのは、たぶん C:\Windows\Containers\WindowsDefenderApplicationGuard.wim から準備された serviced\WindowsDefenderApplicationGuard.wim が関係していると思う。19 MB くらい。


WIN イメージのマウントはさせてくれない。通常の形式とは別みたい。



とても小さいので、これだけじゃないはず。

Procmon でトレースした結果。以下の場所にフラットファイルと VHDX があるのも確認。

C:\ProgramData\Microsoft\HVSI\ほにゃらら\Base\Files\(C:ドライブのフラットなファイルシステム構造)
C:\ProgramData\Microsoft\HVSI\ほにゃらら\Base\SystemTemplate.vhdx、SystemTemplateBase.vhdx、SystemTemplatePrepared.vhdx
C:\ProgramData\Microsoft\HVSI\ほにゃらら_PersistentDataTemplates\PersistentAuditLogs.vhdx、PersistentUserData.vhdx
C:\ProgramData\Microsoft\HVSI\HVSIContainer_ぴららら\sandbox.vhdx


\Base\Files\ のイメージは読み取り専用で、書き込みは sandbox.vhdx になるのかな? Windows コンテナーとよく似ている。

sandbox.vhdx の親子関係を調べてみると、
SystemTemplateBase.vhdx
└ SystemTemplatePrepared.vhdx
  └ Sandbox.vhdx
こんな感じ。Sandbox.vhdx のコピーをローカルにマウントしてみると...


そのどこかで動いている Microsoft Edge には、Windows Defender Application Guard Manager RDP クライアントが Windows Defender Application Guard Proxy Services 経由で接続している感じ。RDP の RemoteApp 接続や Windows XP Mode のアプリケーション統合モードのような感じ。デスクトップ全体への接続は無理だと思う。

タスクマネージャーをもっと見ていくと、仮想マシンワーカープロセス(wmwp.exe)、仮想マシン管理サービス(wmms.exe)、Hyper-V ホストコンピューティングサービス(vmcompute.exe)といった、Hyper-V 環境でおなじみのプロセスたち。Vmmem は、Windows コンテナーを分離環境で実行する Hyper-V コンテナーにも出てくるやつ。つまり、どこかで動いている Microsoft Edge は、Hyper-V コンテナーと似たような技術を使って、ホストの別パーティションで動いていて、ユーザーからは隠されているんだと思う。
ユーザー名の部分に GUID らしきものが確認できます。wdagtool.exe (永続ストレージを許可した場合にそれをクリアするのに使うツール)に pause/resume というオプションを発見。この GUID みたいなものを指定すると、中断した。そして画面には再接続しようとしている RemoteApp のダイアログボックスが!

以上、見たままを報告。

日本語環境でちゃんと動かない疑惑は別として、こんな素敵なブログ記事(翻訳) が出ました。日本語環境では事実上利用できないのが残念なところ。

Windows Defender Application Guard で Microsoft Edge を最もセキュアなブラウザーに(日本のセキュリティチーム)
 [URL] https://blogs.technet.microsoft.com/jpsecurity/2017/12/18/making-microsoft-edge-the-most-secure-browser-with-windows-defender-application-guard/
Windows Defender System Guardでシステムのセキュリティを強化し整合性を維持する(日本のセキュリティチーム)
[URL] https://blogs.technet.microsoft.com/jpsecurity/2017/11/20/hardening-the-system-and-maintaining-integrity-with-windows-defender-system-guard/


12/20 追記)日本語環境では事実上利用できない Application Guard、次の機能更新(2018年3月頃)で Windows 10 Pro でも利用可能になるそうな。そのときには、日本語でもちゃんと使えるようになるのかなぁ?なってほしいなぁ... システム要件どうにかならないかなぁ...
Announcing Windows 10 Insider Preview Build 17063 for PC
[URL] https://blogs.windows.com/windowsexperience/2017/12/19/announcing-windows-10-insider-preview-build-17063-pc/

0 件のコメント: