הגנה על מסמכים עם Application Guard
משתמשי קצה עובדים עם מסמכי אופיס על בסיס יומיומי, בין אם יצירת מסמכים, הורדה של מסמכים ממקורות שונים ברשת, או מסמכים מתוך הדואר הארגוני. סוגי המסמכים נחלקים לשניים, מסמכים עם מקור אמין, ומסמכים שאינם אמינים ועלולים להכיל (או מכילים) קוד זדוני/קוד תוקף.
לרוב משתמשי קצה פותחים כל פריט דואר שמכיל קובץ או קישור, מורידים תוכן שאינו אמין ולעיתים קרובות נחשפים לתוכן אשר מכיל קוד תקיפה. במצב כזה, ישנם שכבות הגנה מגוונות שיכולות למזער את הסיכון בגישה לקבצים לא אמינים, בין אם מדובר על שכבת הגנה ברמת Web Protection שמונעת את הגישה לקבצים או שכבת הגנה כמו EDR אשר מונעת את הגישה לקובץ.
המאמר הוא חלק מסדרת מאמרים בנושא Windows 10 Security
ישנם שכבות הגנה נוספות שיכולות לסייע בהגנה על הורדה ופתיחה של קבצים לא אמינים המכילים קוד תקיפה, ונכון לשלב בין השכבות (והפתרונות) בכדי להוריד סיכון ולהגביר את החיכוך עם התוקף ככל האפשר.
יחד עם זאת, ועם כל שכבות ההגנה הקיימות יש עדיין מצבים ומקומות שבהן קבצים יכולים לנחות בתחנה בדרכים שונות ולעקוף את מנגנוני ההגנה ולהפעיל קוד תקיפה, והנפוצה בהן היא דרך המייל.
לאחרונה יצא רכיב הגנה נוסף לתחנות מבוססות Windows 10 שמביא איתו הגנה נוספת לקובצי אופיס – רכיב Application Guard for Office.
למאמר הכרזה Application Guard for Office now generally available – Microsoft Tech Community
Application Guard for Office הוא רכיב אבטחה שמבודד מסמכים לא אמינים בסנדבוקס בכדי להגן על התחנה מפני איומים וסיכונים. כאשר משתמשים עובדים עם מסמכים ממקרונות לא אמינים המשתמשים יכולים להמשיך לעבוד מבלי לסכן את התחנה או הזהות הארגונית.
במידה ומשתמש נתקל במסמך עם תוכן זדוני, המסמך מבודד באופן אוטומטי ונותן אינדיקציה נוספת למערכות וכלי הבקרה, ובכך מאפשרת זיהוי בתחנות אחרות. כאשר פותחים מסמך במצב מבודד המשתמש יכול לבצע פעולות בודדות, למשל, פתיחת מסמך במצב בקריאה, מניעת שמירה המסמך או מניעת שיתוף המסמך.
השילוב של Application Guard for Office מגיע מתוך Microsoft 365 יחד עם Microsoft Defender for Endpoint
מתי Application Guard for Office נכנס לפעולה? מסמך מבודד במקרים הבאים:
- מקורות לא מוכרים – מסמך מבודד במצבים שבהם הוא מגיע ממקור לא אמין ואינו אמין. כלומר, כל מסמך שמגיע מתוך הדואר, מסמך שהמשתמש הוריד מהרשת החיצונית, מסמך אשר שותף מתוך קישור SharePoint וכן הלאה.
- מסמף שמסווג כסיכון – כל משמך שנמצא במיקום ותיקיות שונות, כמו תיקיות Temp, או מסמך שנמצא במיקום ברשת הארגונית שאינו מוכר לתחנה.
- מסמכים שמוגדרים במצב Blocked – במידה ומסמך מוגדר עם האפשרות של File Blocked הוא מבוסס באופן אוטומטי.
מאחורי הקלעים Application Guard for Office
רכיב Application Guard אינו חדש ועד כה הופעל לממשקים ברמת הדפדפן, כמו: Google Chrome, Edge במטרה לאפשר הגנה מפני גישה לאתרים לא מורשים, הגנה על קבצים ושמירת תוכן לא אמין.
בתקופה האחרונה התווספה לרכיב האפשרות הספציפית להגנה מפני קובצי אופיס עם אפשרויות נוספות, מה מכיל App Guard?
- רכיב אבטחה לתחנות קצה Windows 10
- מנגנון מופרד במערכת ברמת חומרה מבוסס VT
- הפרדה של פתיחת קבצים במנגנון נפרד (מבוסס Container)
- מנגנון המבוסס על VM Worker Process
השכבות של WDAG מחלוקות למספר שככבות במערכת הפעלה החל נהשכבה של Worker Process ועד לשכבה עצמה של Windows Defender Application Guard Manager.
בזמן התקנת App Guard המערכת יוצרת אובייקטים שונים של הקונטיינר עצמו, ערכי Registry, משתמש, רישום של הרכיב במנגנון HVSI.
הרכיב של Application Guard מורכב מהטרמינולוגיה הבאה, ברמת הקונטיינר:
- ערך HVSIContainer_
- ערך Container ID
- הצפנה מבוססת SHA256
- ערך משתמש – SID
- שם מחשב
הקובץ קונטיינר מורכב מהערכים של: שם מחשב, ערך SID של המשתמש, ערך קונטיינר. בכל הערכים האלה מבוצע יצירת מפתח רנדומלי עם הצפנה ועל כך נקרא שם הקובץ.
היצירה הרנדומלית מתרשחת בכל פעם חד ולפי תנאים שונים כמו הפעלה מחש של התחנה, שימוש בקובצי אופיס שונים, פרק זמן מוגדר מראש.
לאחר התקנה, הגדרת GP והפעלה של קובץ אופיס נוצר הקונטיינר במיקום הבא: C:\Windows\Containers עם מספר תיקיות וקבצים בודדים:
- WindowsDefenderApplicationGuard.wim
- serviced
- HVSIContainer
טיפ: במידה ומוסיפים לפוליסי של App Guard אפשרויות נוספות באופן אוטומטי יתסווספו לתיקיות קבצים נוספים
בנוסך לכך מתווספת תיקיה נוספת שנקראת HVSI ומכילה קבצים ותיקיות נוספות:
- Generic_PersistentDataTemplates
- Settings
- PersistentUserDisk (דיסק VHDX)
הקובץ VHDX מתאפס במצבים שונים, כמו, פתיחה מחדש של קבצים, הפעלה של התחנה, איפוס ידני (בכלי WDAG מתוך CMD).
טיפ: קובץ Persistent לא עובר את המכסה של 4GB
מה לגבי לוגים? לאחר הפעלה והגדרה ישנם מספר תיקיות לוגים והאירועים החשובים והלרוונטים נמצא בעיקר בלוגים של:
- WDAG Audit Logs
- WDAG Persistence
איך הדברים מתרחשים מאחורי הקלעים? כאשר משתמש פותח קובץ כלשהוא, הרכיב של Application Guard for Office נכנס לפעולה ומוודא האם המסמך שנפתח הוא ממקום אמין או ממקום לא אמין, במידה והמסמך מגיע ממיקום לא אמין הרכיב של Application Guard for Office נכנס לפעולה.
בזמן שהקובץ נפתח, הרכיב של Application Guard for Office פותח ברקע קונטיינר מבוסס Hyper-V על גבי המנגנון וירטואליזציה (כמו שהוסבר קודם לכן), ומשם פותח את הקובץ במקום מבודד, ואם הקובץ נגוע אז הקובץ מסומם במסמך לא אמין ונגוע ואינו חלק מתוך שאר המערכת ובהתאם לפוליסי אין אפשרות לבע פעולות שונות עם הקובץ.
אינטגרציה עם Microsoft 365 Security
מכיוון שהרכיב של Application Guard for Office הוא חלק מתוך היכולות של Windows 10 Security הוא יכול לעבוד במצב Standalone ויכול לעבוד באינטגרציה עם כלי ההגנה והבקרה של Microsoft 365.
האפשרויות של Application Guard for Office יכולות לעבוד Native עם הכלים הבאים:
- אינטגרציה עם Microsoft 365 Defender (במידה וקיים)
- אינטגרציה עם Microsoft Defender for Endpoint (במידה וקיים)
- אינטגרציה עם MCAS (במידה וקיים CASB Endpoint)
הערה: האינטגרציה עם הכלים הנוספים הם על סמך הרישוי שיש מול Microsoft Defender for Endpoint / Microsoft Defender for Office 365
כאשר ישנה אינטגרציה עם MDO נכנסים לפעולה שלושה אפשרויות נוספות: הגנה ברמת הדואר עם קבצים, קישורים והאפשרות החדשה של Safe Document. במידה ורכיב Application Guard for Office זיהה קובץ זדוני הוא שולח אינדיקציה אל MDO ומשם הגישה למסמך נחסמת מול משתמשים אחרים.
החסימה ברמת MDO יכולה להיות בין היתר ביצוע פעולות ZAP להעברת המסמך להסגר, או חסימת גישה למיקום שממנו נשלח המסמך.
הפעלה והגדרה של App Guard
הפעלה והגדרה של Application Guard for Office היא יחסית פשוטה ונחלקת למספר שלבים:
התקנת רכיב Application Guard for Office בתחנת קצה באמצעות הפקודה הבאה: (לאחר מכן יש לבצע אתחול לתחנה)
Enable-WindowsOptionalFeature -online -FeatureName Windows-Defender-ApplicationGuard
לאחר מכן מגדירים את רמת ההגנה עם האפשרות של Managed Mode עם אפשרות 2 בכדי לאפשר הפרדה ברמת מערכת ההפעלה.
טיפ: בדוגמה ישנה הגדרה ברמה 3 בכדי לעבוד עם Edge Chrome
חווית משתמש
איך נראית חווית המשתמש לאחר הפעלה? חווית המשתמש בפתיחת מסמכים לאחר הפעלה והגדרה לא שונה בהרבה, אך במקרה של מסמך נגוע היא יכולה להיות איטית יותר בגלל ההפרדה שהקובץ עובר והפוליסי של המשתמש.
תחילה, פתיחת מסמך נראה כך הבדיקה של Application Guard for Office
לאחר פתיחת המסמך קופצת הודעה שהמסמך מבודד ונפתח במצב Application Guard for Office
במידת הצורך אפשר לראות את רמת ההרשאה ולהוציא את המסמך מהגנה של Application Guard for Office. ניתן למנוע הסרת הרשאה ע”י פוליסי ולהוציא את האפשרות של Remove Protection.
טיפ: חשוב לזכור כי החומרה בתחנה צריכה לתמוך באפשרויות VT וחייבת להיות עם לפחות 8GB זכרון
איך מגדירים Application Guard for Office עם Endpoint Manager, איך מבצעים מיטיגציה עם כלי הגנה אחרים של Microsoft 365 ואיך מסמלצים קובץ עם קוד תקיפה במאמרים הבאים.
מאמרים נוספים על Windows 10 Security
