巧用Windows 10 Defender实现沙盒保护
更新时间:2019-05-08 11:50:30 浏览次数:829+次很多人使用过沙盒保护软件,这类软件可以将用户当前操作映射到虚拟沙盒中,这样关闭系统后所有沙盒里的操作会自动清零,从而有效保护系统安全。如今在Windows 10 v1803版中,新增了Windows Defender Application Guard(以下简称为WDAG),它是专为Windows 10设计的沙盒组件,可以有效隔离用户或企业不受信任的站点,保障我们上网的安全。
小知识:WDAG怎么保护上网安全
大知道现在几乎90%的威胁都是来自网络,如果访问一些挂马或者包含恶意代码的网页,这样病毒,木马或者黑客就很容易侵入我们的电脑。上网主要是通过浏览器完成,WDAG借助系统自带的Hyper-V虚拟系统,然后将用户的上网浏览隔离在虚拟系统中。这样当用户激活WDAG保护后,Microsoft Edge将在Hyper-V的隔离容器中打开这些网站,从而将网站与主机操作系统隔离开来,使主机系统得到保护,有效阻止攻击者的入侵(图1)。
图1 WDAG原理原理图解
WDAG组件如果是V1709版本,需要企业版支持。v1803可以支持专业版用户,因此需要使用该组件的用户请先确认自己版本是否为专业版或者企业版(并且内存至少要8GB以上),使用系统更新更新组件将系统更新到最新版,更新完成后启动记事本,点击“帮助→关于,确认自己系统版本在1803及以上(图1)。
图2 查看版本
简单设置,开启WDGA保护组件
在搜索框输入“启用或关闭Windows功能”,在打开的窗口勾选其中的“Windows Defender应用应用程序防护”,点击“确定”按提示开启该组件该组件的支持,重启系统后就可以使用WDGA组件来保护系统了(图3)。
图3 开启组件
这样如果以后需要使用WDGA保护模式来浏览网页,启动EDGE后点击“菜单→新建应用程序防护窗口”,这样在EDGE会打开一个手WDGA保护的新窗口(图4)。
图4 新建应用程序防护窗口
安全为上,使用WDGA保护
在启动WDGA保护后,WDGA保护会先进行隔离环境初始化操作,初始化完毕后会打开一个新的 Microsoft Edge,其窗口边缘为醒目的橙色,且左上角也有醒目的“应用程序保护”图标,可以让用户直观看到现在正处于受保护的状态(图5)。
图5 开启WDGA保护浏览
开启WDGA保护后进行的网页浏览,默认在这个窗口进行的所有操作都会被隔离在一个相对独立的沙盒环境中,它的保护效果就像是在虚拟机中运行EDGE浏览器。在浏览器中所有的操作都会和当前主机系统隔离,比如用户在保护的浏览器中浏览挂马网页,或者在其中下载了病毒等操作,当我们关闭EDGE后,所有的操作都会清零,自然其中病毒,木马都不会感染当前主机系统(图6)。
图6 可以在WDAG保护窗口访问不安全的网站
小提示:虽然WDGA保护可以实现隔离浏览,但是用户在其中访问恶意网站,仍然有可能发生危险。比如访问钓鱼网站,如果你输入了类似银行卡号、密码等信息,这些信息仍然会被黑客窃取,在访问这些网站的时候一定要加强自我防护!
按需使用,开启WDGA灵活保护
默认情况下开启WDGA保护后,我们在保护模式下将下载的文件、文档或者复制的文本粘贴到主机系统。如果需要灵活使用这个保护措施,可以在组策略编辑器中进行设置。比如在进行安全测试的时候,出于安全考虑需要在WDGA保护环境下访问一些危险网站,并且需要将一些病毒样本或者代码复制到主机系统中保存,此时就可以在组策略中开启从隔离系统中的复制和粘贴功能。
在搜索框输入“gpedit.msc”启动组策略编辑器,依次定位到“计算机配置→管理模板→windows组件→Windows Defender应用程序防护”,然后双击右侧的“配置Windows Defender应用程序防护剪贴板设置”(图7)。
图7 组策略设置
在打开的窗口按自己的实际需要进行设置,比如需要允许从隔离系统中复制特定的文本(如恶意代码文本),将“剪贴板的行为设置”选择“应用从隔离会话到主机的剪贴板操作”,内容选项设置为“1”,依次点击确定退出(图8)。
图8 设置剪贴板操作
这样当我们在隔离系统查看到恶意代码文本的时候,就可以使用复制粘贴(默认无法执行)的方法,将代码文本粘贴到当前主机系统中。其他诸如打印,共享,保存隔离系统下载的数据、文件等操作也可以在相应的设置选项中进行设置。这样借助WDGA既可以很好保护浏览的安全,又可以根据自己实际需要选择性提取隔离系统中的元素。