Microsoft ha lanciato un’anteprima pubblica di Microsoft Defender Application Guard for Office, una tecnologia difensiva che mette in quarantena i documenti di Office non attendibili in modo che il codice di attacco trasportato da file dannosi non possa raggiungere il sistema operativo o le sue applicazioni.

“Microsoft Office aprirà file da posizioni potenzialmente pericolose in Microsoft Defender Application Guard, un contenitore protetto, isolato dal dispositivo tramite virtualizzazione basata su hardware”, ha scritto John Barbare in un post sul blog di Microsoft. “Quando Office apre i file in Microsoft Defender Application Guard, un utente può leggere, modificare, stampare e salvare i file in modo sicuro senza dover riaprire i file al di fuori del contenitore.”

Application Guard ha un po’ di storia alle spalle. La funzione ha infatti debuttato nel 2018 ed è stata originariamente progettata per Edge, il browser di Microsoft per Windows 10 (stiamo parlando dell’originale Edge, quello che utilizza le tecnologie Microsoft incluso il motore di rendering EdgeHTML).

Application Guard crea un’istanza usa e getta sia di Windows che di Edge (in pratica delle versioni molto condensate del sistema operativo e del browser) in un ambiente virtualizzato, utilizzando la tecnologia HyperVisor integrata di Windows. Gli utenti possono navigare in un ambiente più sicuro perché questo impedisce al malware di raggiungere il sistema operativo reale e le applicazioni reali sul dispositivo reale (al contrario dell’istanza virtuale). Quando l’utente ha finito, Windows+Edge virtualizzato viene scartato. Pensate a questo meccanismo come a una quarantena molto brutale che cancella il paziente se si ammala.

Application Guard per Office funziona più o meno allo stesso modo, ma invece di proteggere Edge isola determinati file aperti in Word, Excel o PowerPoint. I documenti ottenuti da Internet in generale (domini intranet o domini che non sono stati contrassegnati come attendibili), i file da aree potenzialmente pericolose e gli allegati ricevuti tramite Outlook vengono aperti in un ambiente virtualizzato o sandbox, dove il codice dannoso non può provocare caos.

Microsoft 365

Per l’anteprima pubblica i clienti devono eseguire Windows 10 Enterprise 2004 o versioni successive, Office Beta Channel build 2008 16.0.13212 o versioni successive e una licenza per Microsoft 365 E5 (l’edizione più completa e più costosa) o Microsoft 365 E5 Mobility+Security.

A differenza della visualizzazione protetta, un’altra funzionalità difensiva di Office che apre documenti potenzialmente pericolosi in sola lettura, i file aperti in Application Guard possono essere modificati, stampati e salvati. Quando vengono salvati, tuttavia, rimangono nel container di isolamento e quando vengono riaperti in seguito vengono nuovamente messi in quarantena in quella sandbox.

Word, Excel o PowerPoint indicano che il documento corrente è stato aperto in Application Guard con diversi segnali visivi, tra cui un avviso a comparsa nella barra multifunzione dell’app e un’icona contrassegnata in modo diverso nella barra delle applicazioni di Windows.

Se l’utente decide di fidarsi definitivamente del documento, che potrebbe essere l’anello debole delle protezioni di Application Guard, può spostarlo fuori dalla quarantena e depositarlo in una cartella locale o di rete. Gli amministratori IT possono controllare gran parte del processo e altro ancora tramite le impostazioni di configurazione di Application Guard, che vanno da copia-incolla (consenti/non consenti) e stampa per rendere ancora più difficile per i dipendenti aprire un file al di fuori di Application Guard.

Barbare non ha detto quando Application Guard per Office uscirà dall’anteprima pubblica e passerà alla disponibilità generale per gli utenti di Windows 10 Enterprise e Microsoft 365 E5… o forse anche altri? Dopotutto Microsoft ha lanciato Application Guard come funzionalità solo per Windows 10 Enterprise, ma in seguito l’ha ampliata per includere Windows 10 Pro. La roadmap di Microsoft, tuttavia, attualmente riporta la release finale per dicembre 2020.