Microsoft Defender Application Guardの有効化(Windows11、Windows10)

Microsoft Edge Application Guard(WDAG)を有効にすると、Microsoft Edgeは分離されたHyper-V対応コンテナーでWebサイトを開きます。
怪しいサイトにアクセスする可能性がある時に利用すると良いです。
ChromeやFirefoxでも拡張機能が用意されていますが、最近メインブラウザをEdgeに変更したのでEdgeで使用できるようにします。
2020 年 1 月 15 日にリリースからEdgeはChromiumベースになっており、使いやすいのと体感的にChromeより軽い気がしています。
また、Windows 11ではタスクマネージャーでEdgeのプロセス詳細が見えるようになっているので、しばらくはEdgeがメインブラウザになると思います。

Windows 11でタスクマネージャー上の表示（Edge）

Windows 11でタスクマネージャー上の表示（Chrome）

導入条件

個人で利用する場合は[スタンドアロンモード]となります。
インストールの準備Microsoft Defender Application Guardおよびユーザーのシステム要件Microsoft Defender Application Guardによると[スタンドアロンモード]での条件は以下です。

• OS
  • Windows 10 Enterprise エディション、バージョン 1709 以降
  • Windows 10 Pro エディション、バージョン1803
  • Windows 11
• ハードウェアの要件
  • 最小 4 コア (論理プロセッサ) の 64 ビット CPU
  • Extended Page Tables (第 2 レベルのアドレス変換 (SLAT)__ とも呼ばれます) および VBS に対する次のどちらかの仮想化拡張機能:VT-x (Intel) または AMD-V
  •  メモリ(RAM) 8 GB以上
  • ハードディスク 5 GBの空き容量。SSD推奨
  • （推奨）入出力メモリ管理ユニット (IOMMU) のサポート

インストール

Windows11とWindows10で手順は同様です。

[Windows セキュリティ]アプリを実行します。
アプリから実行するか、タスクバーにある[Windows セキュリティ]アイコンをダブルクリックで開きます。

[アプリとブラウザー コントロール]から[分離されたブラウズ]にある[Microsoft Defender Application Guard のインストール]をクリックします。

[Windows の機能]が開くので[Microsoft Defender Application Guard]にチェックをつけて[OK]ボタンを押下します。

変更が完了したら[再起動]します。

設定

設定は[Windows セキュリティ]の[アプリとブラウザー コントロール]から[分離されたブラウズ]に[Application Guard の設定を変更する]というリンクがあるので、これをクリックします。

設定できる項目は[データの保存]、[コピーと貼り付け]、[ファイルの印刷]、[カメラとマイク]、[高度のグラフィックス]になります。

デフォルトではすべて[オフ]になっており、安全な状態にあります。
使用用途によって[オン]にすることも出来ますが、[オン]にした項目が攻撃ポイントとなりブラウズの安全性は低下します。

ブラウジングは安全性を高めつつ、ダウンロードしたファイルは普通に利用する場合は[データの保存]をオンにするといったイメージになります。

また、Microsoft Edge – ポリシーにもApplication Guard の設定があります。
お気に入りの同期等、必要に応じて変更することが可能です。

実行

スタンドアロンモードで使用する場合はEdgeの右上にある[・・・]から、[新しい Application guard ウィンドウ]を選択します。
[Ctrl] + [Shift] + [A]でも起動できます。

ChromeやFirefoxで利用する場合は拡張機能を入れる必要があります。
信頼されていないサイトにアクセスした際に、分離されたEdgeブラウザにリダイレクトして開くような動作となります。
いくつかの信頼されてなさそうなサイトにアクセスしたのですが、分離されたEdgeブラウザにはリダイレクトされませんでした。
スタンドアロンモードでは自動でリダイレクトせず、自身でWDAGを起動してから開かなければいけなさそうなので、わざわざ拡張機能を入れる必要は無いと感じました。
導入についてはMicrosoft社のドキュメント[Microsoft Defender Application Guard の拡張機能]を参照ください。

感想

WDAGが一番効果を発揮しそうなのはEnterpriseモードでドメイン管理されているケースだと思います。
個人で利用するには、「WebブラウジングはWDAGを使用し、普段使うオンラインバンク等は通常のブラウザを利用し、お気に入り経由でアクセスする」といったような使い方であれば効果がありそうです。

昔触った時は、スタンドアロンモードでも信頼されていないサイトはWDAGにリダイレクトしてくれた記憶があるのですが、今回はそういった動作は確認できませんでした。
ここら辺は検証不足な感じもあるので、内容に誤りがあれば訂正していきたいと思います。