image

Microsoft lanceert extensie om Chrome en Firefox te beschermen

vrijdag 24 mei 2019, 10:09 door Redactie, 21 reacties
Laatst bijgewerkt: 24-05-2019, 15:55

Microsoft heeft een extensie gelanceerd die Chrome en Firefox tegen browseraanvallen moet beschermen. De Application Guard-extensie zorgt ervoor dat onbetrouwbare websites in een aparte door Edge aangemaakte container worden geopend.

Dit moet voorkomen dat een eventuele aanval of malware toegang tot het systeem krijgt. Windows Defender Application Guard werd vorig jaar mei aan Windows 10 Professional toegevoegd en was al in Windows 10 Enterprise aanwezig. De technologie werkt alleen met Microsoft Edge. Zodra Edge ziet dat de gebruiker een onbetrouwbare website wil bezoeken wordt er via Microsofts eigen virtualisatiesoftware een container aangemaakt die van het systeem gescheiden is.

Om Application Guard naar andere browsers uit te breiden heeft Microsoft een aparte extensie voor Chrome en Firefox ontwikkeld. Beheerders kunnen een lijst van vertrouwde websites opgeven. Als de gebruiker een website bezoekt die niet op deze lijst staat wordt Application Guard actief en zal de site in een geïsoleerde versie van Edge laden. Zodra de gebruiker weer naar een betrouwbare website gaat wordt de standaardbrowser geladen.

De Windows Defender Application Guard-extensie voor Chrome en Firefox is beschikbaar voor Windows 10 Professional, Enterprise en Education versie 1803 en nieuwer met de laatste updates. Tevens moet het systeem beschikken over een 64-bit processor met minimaal 4 cores, 8GB werkgeheugen, 5GB vrije harde schijfruimte en cpu virtualisatie-extensies.

Image

Reacties (21)
24-05-2019, 10:56 door Anoniem
Ik dacht dat MS Edge ook een Chrome kloon zou worden.
Dan heb je dus een extension in Google Chrome, en die opent onveilige websites in ...
24-05-2019, 13:20 door Anoniem
Het is nog veel erger
Door Anoniem: Ik dacht dat MS Edge ook een Chrome kloon zou worden.
Dan heb je dus een extension in Google Chrome, en die opent onveilige websites in ...

Het is nog sterker volgens de redactie:
"Dit moet voorkomen dat een eventuele aanval of malware geen toegang tot het systeem krijg"
24-05-2019, 19:16 door linuxpro
Nee, nee en nog eens nee. Een bedrijf met een bedenkelijke reputatie als het om security gaat een security extensie voor third-party browsers is wel een heel slecht idee. Laat ze lekker met dat brakke eigen webbrowser-ding (hoe heet dat ding vandaag?) prutsen maar blijf van third-party browsers af.

Microsoft is op allerlei manieren bezig om zich, na oa. de mislukkingen op mobiele platformen, een plek te verwerven in de security hoek. Een hoek waar ze de afgelopen jaren wel bewezen hebben niet thuis te horen.
24-05-2019, 19:23 door Patje-RedFan
Door linuxpro: Nee, nee en nog eens nee. Een bedrijf met een bedenkelijke reputatie als het om security gaat een security extensie voor third-party browsers is wel een heel slecht idee. Laat ze lekker met dat brakke eigen webbrowser-ding (hoe heet dat ding vandaag?) prutsen maar blijf van third-party browsers af.

Microsoft is op allerlei manieren bezig om zich, na oa. de mislukkingen op mobiele platformen, een plek te verwerven in de security hoek. Een hoek waar ze de afgelopen jaren wel bewezen hebben niet thuis te horen.
Het laatste jaar sterk bezig met hun Windows Defender in de security!
24-05-2019, 20:48 door Anoniem
Het wordt onder Windows een keuze tussen een AV toepassing met deze functionaliteit en het draaien van Windows Defender met de Windows Defender Application Guard. AV zal de functionaliteit van Windows Defender voor een gedeelte uitschakelen. Twee residente oplossingen is nl. altijd een slecht idee, omdat ze elkaars detectiepatronen gaan "flaggen", uitzonderingen daargelaten.

Net als twee waakhonden op de veranda, niet voor meer bescherming zorgen, maar onderling een partijtje gaan bakkeleien.

Heb je een probleem dat AV vanwege een FP essentiële OS files gaat detecteren, is het goed om weer te kunnen terugvallen op de steeds beter wordende basis detectie van Defender, Defender Plus in dit geval.

Werk ook altijd met zo laag mogelijke rechten, Ergo wat jij niet kunt, kan malware & Co ook immers niet. Admin rechten alleen als het niet anders kan en dan alleen wanneer je van Interwebz af bent.

Oh, en blokkeer 3rd party script als het niet nodig is voor de functionaliteit van de site in kwestie via NoScript of uMatrix.

Fijn weekend, luitjes,

luntrus
24-05-2019, 21:39 door Anoniem
De opgedrongen betutteling van de gebruikers begint bij Microsoft weer op te steken. Een systeem die zich overal mee bemoeit is een slechte zaak, en dat zal de functionaliteit niet ten goede komen. Laat de browserbouwers het zelf regelen, daar zijn ze prima toe in staat. Security behoort standaard per applicatie geregeld te zijn. Laat Microsoft zich maar bezighouden met het veilig houden van het OS. Dat zou hun core business moeten zijn....
24-05-2019, 22:38 door Anoniem
Door linuxpro: Nee, nee en nog eens nee. Een bedrijf met een bedenkelijke reputatie als het om security gaat een security extensie voor third-party browsers is wel een heel slecht idee. Laat ze lekker met dat brakke eigen webbrowser-ding (hoe heet dat ding vandaag?) prutsen maar blijf van third-party browsers af.

Microsoft is op allerlei manieren bezig om zich, na oa. de mislukkingen op mobiele platformen, een plek te verwerven in de security hoek. Een hoek waar ze de afgelopen jaren wel bewezen hebben niet thuis te horen.
Ten eerste, gebruik je Google of Facebook services, dan moet je niet klagen
Ten tweede, laat IE6 nauw eens achterwege, ik zeg toch ook niet dat Linux slecht is omdat het 15 jaar geleden niet opkom tegen Windows XP
Ten derde, elk stuk software bevat bugs, ook Ubuntu, mint, red hat etc. Windows is niet alleen. Ik loop toch ook geen haat te zaaien als er een slecht artikel verschijnt over something Linux
Ten vierde, hou het bij de feiten. De Defender Application Guard is wel degelijk een goed idee (zie de bron)
https://youtube.com/watch?v=lQAFDsm4xVc
25-05-2019, 07:34 door [Account Verwijderd] - Bijgewerkt: 25-05-2019, 08:00
Veel reacties hier, soms onderbouwd, soms 'op gevoel'. Ik werk sinds 1979 in de IT en heb de pc, het internet en het www vanaf het begin meegemaakt. Vanaf xp met Security Essentials en Defender gewerkt. Nooit een probleem gehad. Mijn zoon heeft een ICT bedrijf en levert ook diverse anti virus en security oplossingen voor bedrijven en particulieren. Zelf gebruikt hij, privé en zakelijk, gewoon Defender. Nooit problemen. Dat, volgens een van de reacties, security door de applicatie geregeld moet worden, is erg kort door de bocht. Natuurlijk moet een applicatie maximale veiligheid bieden en mag ze geen nieuwe veiligheidsrisico's introduceren, maar dat kan ze alleen maar in de application layer. Voor de 'dieper gelegen' kwetsbaarheden, in OS en hardware (zie ook recente publicaties mbt Intel processoren) heb je echt slimmere oplossingen nodig, soms zelfs op BIOS niveau. Zo heeft ASUS voor tientallen moederborden al BIOS updates i.v.m. die problemen bij Intel. Het is allemaal echt veel complexer dan de meeste gebruikers en hobbyisten zich kunnen voorstellen. Laat het maar aan de deskundigen (ja, ook Microsoft) over.

@luntrus (Anoniem). Goed betoog, twee opmerkingen.
1. Ergo wat jij niet kunt, kan malware & Co ook immers niet.
Ik zou willen dat dat waar was, maar helaas.
2. Twee AV pakketten gelijktijdig is inderdaad de deur openzetten voor problemen. Maar wat je over die honden zegt, klopt zeker niet. ;-)
25-05-2019, 10:46 door Anoniem
Door linuxpro: Nee, nee en nog eens nee. Een bedrijf met een bedenkelijke reputatie als het om security gaat een security extensie voor third-party browsers is wel een heel slecht idee. Laat ze lekker met dat brakke eigen webbrowser-ding (hoe heet dat ding vandaag?) prutsen maar blijf van third-party browsers af.
Blijkbaar doe jij de laatste jaren niet zoveel meer met de Microsoft producten? Verdiep je eens in de mogelijkheden die Azure ATP of de gewone ATP bied.

Juist Microsoft doet het hierin namelijk niet zo slecht.

Microsoft is op allerlei manieren bezig om zich, na oa. de mislukkingen op mobiele platformen, een plek te verwerven in de security hoek. Een hoek waar ze de afgelopen jaren wel bewezen hebben niet thuis te horen.
Je weet dat Microsoft ook een hele grote tak in de security tegenwoordig heeft?
Je laat jouw mening u afhangen van een stukje legacy, en dan blijf je inderdaad altijd met oude informatie zitten. Momenteel doet Microsoft het echt niet zo slecht in de security wereld. Als je het blijft vergelijken met Windows patches, dan heb je een erg smalle visie. Want vanuit Windows is men ook goed bezig. Maar iemand die een te korte visie heeft en alleen in het verleden blijft zitten, komt nooit verder.
25-05-2019, 10:48 door Anoniem
Door Anoniem: De opgedrongen betutteling van de gebruikers begint bij Microsoft weer op te steken. Een systeem die zich overal mee bemoeit is een slechte zaak, en dat zal de functionaliteit niet ten goede komen. Laat de browserbouwers het zelf regelen, daar zijn ze prima toe in staat. Security behoort standaard per applicatie geregeld te zijn. Laat Microsoft zich maar bezighouden met het veilig houden van het OS. Dat zou hun core business moeten zijn....
De de Microsoft manier is nog een stuk veiliger?
Afgeschermde App vs afgeschermde virtuele machine? Daar zitten nog wat lagen security mogelijkheden tussen.
Dit is dus juist een core business vanuit Microsoft. Want de meeste issues komen vanaf het Internet. Een veilige afgeschermde browser is dus juist een must.
Zeker vanuit bedrijfsleven is dit een hele gewenste oplossing
25-05-2019, 12:58 door Anoniem
@Nelis 1957,

Je hebt gelijk, er is helaas malcode, dat rechten kan verhogen. Loop je daar tegenaan, dan ben je meestal zonder bescherming toch al "vogelvoer". In dat geval ben ik een voorstander van het combineren van Windows Defender en bijvoorbeeld Voodooshield, heel goede ervaringen mee.

De twee honden, die onderling gingen vechten in plaats van voor meer bescherming zoeken is een analoge situatie van het wederzijdse gedrag van twee residente AV oplossingen, die niet meer protectie bieden, maar een probleem zijn. Linux AV in combinatie kan echter heel goed, de bijdrage van open software is niet perse slecht. Sommige beveiligingsoplossingen blijven ook goed werken naast de residente AV.

We hebben echter te maken met een drievoudige dreiging. De dreiging die ontstaat aan de kant van de client en waar een eind gebruiker veel kan doen met script blokkeren en tracking protectie i.h.a. Je moet dan wel in staat zijn om uMatrix bijvoorbeeld goed te toggelen, zodat je de hoogste graad van beveiliging kan combineren met de gewenste website functionaliteit. Een website trust model kan een bijdrage geven, maar niet zoals het debacle uit Finland, WOT, destijds.

Tweede bedreiging komt vanaf de (web-) server kant. Slechte implementatie, configuratie en excessieve server info proliferatie bijvoorbeeld en onveilige af te voeren scripts draaien, XSS-DOM sinks & souces en de implicaties daarvan qua errors.

PHP-script ellende, developers die de scope van een array niet goed beseffen en met trial and error bezig zijn.
Clouddiensten, die te weinig security headers e.d. implementeren en waar commercie en bezuinigen op uitgaven first priority zijn.

Zo zijn we bij de ellende van vandaag de dag uitgekomen, waar een shodannetje op wat expoiteerbaar is, zorgen kan dat de volgende magenta webshop van een form-jacking pseudo script kan worden voorzien en al je gegevens bij cybercrininelen terechtkomen op een server onder hun beheer.

Retire.JS bekijken, ik blijf me verbazen over de jQuery library ellende, die beter direct kan worden afgevoerd, vanwege high en medium risk code zwakheden. Directory listing aan, User Enumeration op aan, Intellitampertje op een http website en de hele site structuur ligt open via speciale weak cgi en weak PHP woordenboeklijsten te resource engineren op Intellitamper.

Ik kan nauwelijks alles vertellen over mijn website scan ervaringen van de laatste 12 jaar en meer op een groot forum,
maar ik kan de script zwakheden a.h.w. als malware fighter ruiken als een Indiaan aan weegbree zag, dat er westerlingen het aan de schoenzolen hadden meegebracht en dus in de buurt waren.

Bedankt voor de interessante discussie en opmerkingen, Hou je taai,

luntrus
25-05-2019, 16:26 door [Account Verwijderd]
Door Anoniem:
Door linuxpro: Nee, nee en nog eens nee. Een bedrijf met een bedenkelijke reputatie als het om security gaat een security extensie voor third-party browsers is wel een heel slecht idee. Laat ze lekker met dat brakke eigen webbrowser-ding (hoe heet dat ding vandaag?) prutsen maar blijf van third-party browsers af.
Blijkbaar doe jij de laatste jaren niet zoveel meer met de Microsoft producten? Verdiep je eens in de mogelijkheden die Azure ATP of de gewone ATP bied.

Juist Microsoft doet het hierin namelijk niet zo slecht.

Geen haar op mijn hoofd, werkelijk geen enkele, die eraan denkt om in een vendor lock-in met Azure terecht te komen! De geschiedenis heeft ondertussen uitgewezen hoe dit kan uitpakken. Je hebt een goed lopende machine met Windows 7 met veel privacy en dan word je gedwongen over te stappen naar Windows 10 :-(
25-05-2019, 16:36 door Anoniem
Volgens mij is MS nog verwikkeld in een zaak met AVG zie https://www.autoriteitpersoonsgegevens.nl/sites/default/files/01_onderzoek_microsoft_windows_10_okt_2017.pdf

En gezien hun standpunt in die zaak ...hmm..
25-05-2019, 20:50 door [Account Verwijderd] - Bijgewerkt: 25-05-2019, 20:50
Je werkt onder het veilige Google Chrome en dan eordt je onder water naar Microsoft Edge geleid voor de 'security'? Het veiligst is om Edge helemaal niet geïnstalleerd te hebben!
25-05-2019, 22:44 door Anoniem
Door Kapitein Haddock: Je werkt onder het veilige Google Chrome en dan eordt je onder water naar Microsoft Edge geleid voor de 'security'? Het veiligst is om Edge helemaal niet geïnstalleerd te hebben!
Iets met een hardware-based isolation misschien?
26-05-2019, 09:33 door Anoniem
Door Anoniem:
Door Kapitein Haddock: Je werkt onder het veilige Google Chrome en dan eordt je onder water naar Microsoft Edge geleid voor de 'security'? Het veiligst is om Edge helemaal niet geïnstalleerd te hebben!
Iets met een hardware-based isolation misschien?

Wat is hardware based isolation?

Kan net zo goed een marketing term van Microsoft zijn om bedrijven te paaien.

Zowel firefox als chrome hebben al jaren lang sandboxing. In Internet Explorer noemde microsoft dit protected mode. En daar zullen vast speciale CPU instructies voor gebruikt zijn (hardware based).

En het helpt niet tegen CEO fraude, want dat is PEBCAK.
26-05-2019, 13:48 door Anoniem
Door linuxpro: Nee, nee en nog eens nee. Een bedrijf met een bedenkelijke reputatie als het om security gaat een security extensie voor third-party browsers is wel een heel slecht idee. Laat ze lekker met dat brakke eigen webbrowser-ding (hoe heet dat ding vandaag?) prutsen maar blijf van third-party browsers af.

Microsoft is op allerlei manieren bezig om zich, na oa. de mislukkingen op mobiele platformen, een plek te verwerven in de security hoek. Een hoek waar ze de afgelopen jaren wel bewezen hebben niet thuis te horen.

Van een Linux adept had ik geen ander commentaar verwacht. #facepalm
27-05-2019, 11:52 door Anoniem
Door Anoniem:
Door Anoniem:
Door Kapitein Haddock: Je werkt onder het veilige Google Chrome en dan eordt je onder water naar Microsoft Edge geleid voor de 'security'? Het veiligst is om Edge helemaal niet geïnstalleerd te hebben!
Iets met een hardware-based isolation misschien?

Wat is hardware based isolation?
Even google gebruiken of je ergens in verdiepen?
https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-guard/install-wd-app-guard

Kan net zo goed een marketing term van Microsoft zijn om bedrijven te paaien.
Tja... Waar het kort op neer komt, is dat het een virtuele machine in Hyper-V is, waarin de site benaderd wordt. Later wordt de machine weg gegooid.

Zowel firefox als chrome hebben al jaren lang sandboxing. In Internet Explorer noemde microsoft dit protected mode. En daar zullen vast speciale CPU instructies voor gebruikt zijn (hardware based).
Is het nog steeds een software stukje bescherming. Microsoft heeft nu een stukje techniek, waarin dit dus in een hypervisor gedaan wordt. Een extra laag bescherming dus.

En het helpt niet tegen CEO fraude, want dat is PEBCAK.
Kan, of kan niet. Als je met deze oplossing niet meer met de geïsoleerde EDGE browser bij bepaalde resources kan of mag komen, kan het een bescherming bieden. Maar dat is in theorie.

Dit is voornamelijk bedoelt voor normale browsing, en daarin is dit een mooie oplossing.
27-05-2019, 11:58 door Anoniem
Door Kapitein Haddock:
Door Anoniem:
Door linuxpro: Nee, nee en nog eens nee. Een bedrijf met een bedenkelijke reputatie als het om security gaat een security extensie voor third-party browsers is wel een heel slecht idee. Laat ze lekker met dat brakke eigen webbrowser-ding (hoe heet dat ding vandaag?) prutsen maar blijf van third-party browsers af.
Blijkbaar doe jij de laatste jaren niet zoveel meer met de Microsoft producten? Verdiep je eens in de mogelijkheden die Azure ATP of de gewone ATP bied.

Juist Microsoft doet het hierin namelijk niet zo slecht.

Geen haar op mijn hoofd, werkelijk geen enkele, die eraan denkt om in een vendor lock-in met Azure terecht te komen!
Waarom is dit een vendor locking? Het is een product, en je kan of kan dit niet gebruiken. Je kan het ook koppelen aan andere systemen als je wilt. Dit maakt het juist NIET vendor locking. Want je kan het koppelen, integreren of vervangen met andere systemen. Afgezien er nog een leveranciers zijn die dit direct kunnen aanbieden als protectie.

[quote[De geschiedenis heeft ondertussen uitgewezen hoe dit kan uitpakken.[/quote]Gelukkig ben jij geen leraar geschiedenis. Zie ziet namelijk alles veel te gekleurd en zonder echte visie. Je hebt namelijk je mening al klaar, zonder verder te kijken.

Je hebt een goed lopende machine met Windows 7 met veel privacy en dan word je gedwongen over te stappen naar Windows 10 :-(
Je probeert dus nu relaties te leggen, die niets met elkaar te maken hebben. Had jij zelf niet dit weekend hierover commentaar in een topic?

Probeer je eigen (onkunde) ervaring eens naast je neer te leggen en eens iets verder te kijken. Is soms lastig, dat weet ik.
28-05-2019, 10:01 door Eric-Jan H te D
26-05-2019, 09:33 door Anoniem:
… Wat is hardware based isolation? ...
"Hardware based isolation" is precies wat het zegt.

Het is verankerd in de nieuwste systemen met UEFI. Processen met een zeer hoog beveiligingsniveau worden dan gedraaid in een door de hardware en niet door het OS afgeschermde enclave van het geheugen. Dus nog onder ring 0 (de kernel van het OS). De gebieden hiervoor worden door UEFI ter beschikking gesteld.
29-05-2019, 10:00 door [Account Verwijderd]
Door Anoniem:
Door Kapitein Haddock: Je hebt een goed lopende machine met Windows 7 met veel privacy en dan word je gedwongen over te stappen naar Windows 10 :-(
Je probeert dus nu relaties te leggen, die niets met elkaar te maken hebben.

Zoals? Want als je een goed lopende Windows 7 machine hebt dan wordt je hoe dan ook gedwongen om (uiteindelijk) over te stappen naar Windows 10. Snap je dat of niet?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.