Con il prossimo aggiornamento di Windows 10 debutterà Windows Defender Application Guard per Microsoft Edge, un meccanismo che permetterà di eseguire il browser Edge all’interno di una macchina virtuale.
Edge utilizza già una sandbox per la gestione dei suoi processi: il browser, in questo modo, gode di una limitata libertà d’azione nell’accedere ai componenti del sistema. Eventuale codice maligno sviluppato per fare danni sull’intero sistema, dovrebbe sfruttare qualche vulnerabilità insita nella sandbox per liberarsi dalle sue maglie.
Windows Defender Application Guard per Microsoft Edge, invece, utilizzerà una struttura estremamente leggera per avviare il browser da una macchina virtuale vera e propria (verrà installato l’hypervisor Hyper-V).
In questo modo, il fossato che verrà creato attorno a Edge sarà ancora più largo e profondo: nulla potrà uscire dalla macchina virtuale ed essere eseguito sul sistema operativo.
Potenzialmente, lo stesso meccanismo potrà in futuro essere utilizzato per virtualizzare qualunque altra applicazione, anche di terze parti.
Al momento, però, Microsoft ha preferito guardare al solo Edge non fornendo neppure delle API che permettano di interfacciarsi con Application Guard.
Il sistema richiede infatti il supporto delle estensioni per la virtualizzazione da parte della CPU (ad esempio Intel VT-d) e, per la stessa natura di Application Guard, alcune informazioni vengono perse alla chiusura della macchina virtuale: vengono annullate tutte le eventuali modifiche apportate alla configurazione del sistema. E se ciò, in molti casi, è un bene, per talune applicazioni potrebbe avere come conseguenza comportamenti indesiderati.