요구사항
HW : VT-x (Intel) / AMD-v, 64bit arch, 최소 8GB 램, 5GB의 빈 하드디스크 공간, IOMMU 지원 (옵션)
SW : Windows 10 Ent 1709 이상/Prof 1803 이상/Edu 1903 이상
Application Guard 설치 (기본적으로 비활성화 상태)
끄적끄적
아주 오랜만에... Win10 21H1 업데이트 내용을 좀 보다가 관심이 없었던 부분들도 같이 보고 있는데, Win defender app guard로 edge 자체를 샌드박싱하는 기능이 있어서 실행해 봤습니다.
실행 자체는 기존 Edge에서 Ctrl + Shift + a 버튼으로 실행할 수 있음 (New Application Guard Window)
각 웹 브라우저에서 C:\ 파일 리스트를 보면, 서로 다른 시스템이란 것을 확인할 수 있습니다. 리소스 레이블을 통한 격리가 아니라 별도의 가상 머신 위에서 앱만 돌리는 형태로 동작하는 것 같네요.
설정을 통해 격리된 edge에서 다운받은 파일을 호스트 시스템으로 가져올 수 있는 것으로 보이는데, 여러모로 괜찮아 보입니다. copy & paste 의 경우는 클립보드 쪽이 공격 받을 수 있겠지만...대비를 해놨겠죠...아마... 기능 활성화 자체는 가능합니다. (기본 비활성화 상태)
추가:
흐음... 격리된 edge에서, 파일을 다운받은 후, 해당 폴더 열기를 통해 익스플로러를 실행할 수 있고, c:\windows\system32\netsh 를 통해 ip 주소를 확인해보니, windows sandbox와도 다른 대역으로 할당이 되고 있군요...
sandbox edge를 여러개 열어도, 혹은 inprivate window에서 sandbox edge를 열어도, 모두 동일한 호스트 위에서 실행됩니다. 이 과정에서 에러가 발생해서 vm 이 죽는 경우가 있었는데, 완전히 안정적이진 않은듯...
자세한 내용은 공식 홈페이지를 참조하세요.
App Guard의 동작 구조:
참고자료
Microsoft Defender Application Guard(Windows 10) - Windows security
Microsoft Defender Application Guard에 대해 알아보고 인터넷에서 악성 콘텐츠 및 맬웨어를 방지하는 방법에 대해 자세히 알아보겠습니다.
docs.microsoft.com
Getting started with Microsoft Defender Application Guard
This week is back to Windows. This week is all about Microsoft Defender Application Guard (Application Guard). Recently Application Guard functionality was added to Microsoft 365 apps for enterpris…
www.petervanderwoude.nl