Windows 10の次期大型アップデートプログラムとなるRedstone 4(開発コード名)では、これまでEnterpriseエディションに限定していた「Windows Defender Application Guard(以下、WDAG)」がProエディションでも利用可能になる。

2017年12月19日(現地時間)にリリースした、Windows 10 Insider Preview ビルド17063では、WDAGが「Windowsの機能」で有効にできることを確認した。Microsoftは「利用者の意見を受け入れ、WDAGをWindows 10 Proに導入した(中略)。WDAGはHyper-Vを使って、脅威から身を守る方法を提供する」と述べている。

  • Windows Defender Application Guard

    Windows 10 Insider Preview ビルド17063で現れた「Windows Defender Application Guard」

WDAGはHyper-V上のコンテナでInternet ExplorerもしくはMicrosoft Edgeを起動し、Web経由で侵入するマルウェアなどの脅威からシステムを保護する機能だ。Windows 10 バージョン1709(Fall Creators Update)から実装済みだが、Windows 10 バージョン1803(仮)ではその提供範囲がProエディションまで広がる形となる。

任意のアプリ(ケーション)で開くURLが"信頼されていないサイト"だった場合、WDAG上のWebブラウザーを起動し、Webサイト閲覧終了時にコンテナを破棄。設定に応じてクリップボードやプリンター、お気に入りやCookie、パスワードも使用できる。

  • Windows Defender Application Guardの概要

    WDAGの概要。コンテナ上でMicrosoft Edgeを起動し、Web閲覧時のリスクを大幅に軽減する

WDAGはユーザーが主導で起動する「スタンドアロンモード」と、システム管理者が設定したサイトに応じて自動起動する「エンタープライズモード」という2つの方法を用意し、グループポリシーやSCCM(System Center Configuration Manager)、Microsoft Intuneで設定を施す必要がある。だが、Proで使用するWDAGはエンタープライズモードに未対応のため、基本的に手動で起動しなければならない。

また、現時点では動作を制御する設定項目は見つからず、HKEYLOCALMACHINE\SOFTWARE\Microsoft\Hvsiキーから、前述したホスト上のMicrosoft Edgeから引き継ぐ機能の有無を制御する状態だ。

  • WDAG初回起動時はコンテナの展開などを行うため、数分の時間を要する

    WDAG初回起動時はコンテナの展開などを行うため、数分の時間を要する。以前、日本マイクロソフトの説明を受けたときは10分以上かかるケースもあったとか

  • WDAG関連の設定

    「グループポリシーエディター」の<コンピューター構成/管理用テンプレート/Windowsコンポーネント/Windows Defender Application Guard>から、WDAG関連の設定が可能である

WDAGを有効にするとMicrosoft Edgeのメニューに「新しいApplication Guardウィンドウ」が加わり、コンテナ上のMicrosoft Edgeが新たに起動する。Webサイト自体の応答性はホストからアクセスした場合と同等ながらも、ウィンドウ操作は若干のレスポンス低下を感じた。これはWDAGがRDP経由で描画しているためだろう。

  • WDAG上でMicrosoft Edgeが起動する

    <新しいApplication Guardウィンドウ>を選択すると、WDAG上でMicrosoft Edgeが起動する

  • WDAGを利用していることを示す演出が加わる

    WDAGを利用していることを示す演出が加わる

  • WDAG上のMicrosoft Edgeと思われるプロセスを確認中

    WDAG上のMicrosoft Edgeと思われるプロセスを確認中。HvsiRdpClient.exeが起動し、WDAGの処理をRDPで転送している

WDAGに関するコミュニティサイトによれば、今後はファイルのダウンロード機能を実装し、WDAG上で起動可能なアプリも限定している。実装状況を把握していないため、軽々なことはいえないが、ここにMozilla FirefoxやGoogle ChromeなどほかのWebブラウザーが使用できれば、WDAGの利便性が大きく高まる。

ロジック自体は、リモートデスクトップサービス経由でアプリを利用するRemoteAppに類似しているが、サーバーやRDライセンスを必要とせず、コンテナの自動破棄などセキュリティを担保するための仕組みを用意しているだけに、門戸(もんこ)を閉じるのはもったいなく感じる。

  • WDAG上のMicrosoft Edgeは設定が変更できない

    WDAG上のMicrosoft Edgeは設定が変更できない

Windows 10 Pro for Workstationの登場でReFS(Resilient File System)がProエディションから取り除かれるなど、残念な事柄が多いと感じるWindows 10だが、普段からMicrosoft Edgeを利用しているユーザーには、今回の仕様変更はMicrosoftからのクリスマスプレゼントとなるだろう。是非、潤沢なメモリーを搭載したPCでWDAGを試してほしい。

阿久津良和(Cactus)