كيفية استخدام تطبيق Microsoft Defender Application Guard خطوة بخطوة

إذا كنت تعمل بمعلومات حساسة أو تتصفح مواقع ويب مشبوهة يومياً، حماية تطبيقات Microsoft Defender (MDAG) إنها إحدى ميزات ويندوز التي قد تُحدث فرقًا بين مجرد قلق وكارثة. إنها ليست مجرد برنامج مكافحة فيروسات آخر، بل طبقة إضافية تعزل التهديدات عن نظامك وبياناتك.

سترى بوضوح في السطور التالية ما هو تطبيق الحماية بالضبط، وكيف يعمل داخليًا، وعلى أي الأجهزة يمكنك استخدامه، وكيف تقوم بتكوينه؟ سنتناول عمليات النشر البسيطة والمؤسسية على حد سواء. كما سنستعرض المتطلبات، وسياسات المجموعة، والأخطاء الشائعة، والعديد من الأسئلة المتكررة التي قد تطرأ عند بدء العمل بهذه التقنية.

ما هو برنامج Microsoft Defender Application Guard وكيف يعمل؟

يُعدّ Microsoft Defender Application Guard ميزة أمان متقدمة مصممة لـ عزل المواقع الإلكترونية والمستندات غير الموثوقة في حاوية افتراضية يعتمد على Hyper-V. بدلاً من محاولة منع كل هجوم على حدة، يقوم بإنشاء "جهاز كمبيوتر صغير يمكن التخلص منه" حيث يضع المواد المشبوهة.

تعمل تلك الحاوية في منفصل عن نظام التشغيل الرئيسيبفضل نسخة ويندوز الخاصة بها والمحصنة، وعدم وجود وصول مباشر إلى الملفات أو بيانات الاعتماد أو موارد الشركة الداخلية. حتى لو تمكن موقع خبيث من استغلال ثغرة أمنية في المتصفح أو برنامج أوفيس، فإن الضرر يبقى محصوراً في تلك البيئة المعزولة.

في حالة متصفح مايكروسوفت إيدج، يضمن تطبيق الحماية (Application Guard) ما يلي: أي نطاق غير مصنف على أنه موثوق يُفتح تلقائيًا داخل تلك الحاوية. بالنسبة لبرامج Office، يحدث الشيء نفسه مع مستندات Word وExcel وPowerPoint التي تأتي من مصادر لا تعتبرها المؤسسة آمنة.

يكمن جوهر الأمر في أن هذا العزل من نوع الأجهزة: يُنشئ Hyper-V بيئة مستقلة من المضيف، مما يقلل بشكل كبير من إمكانية انتقال المهاجم من الجلسة المعزولة إلى النظام الحقيقي، وسرقة بيانات الشركة، أو استغلال بيانات الاعتماد المخزنة.

علاوة على ذلك، يتم التعامل مع الحاوية كبيئة مجهولة الهوية: لا يرث ملفات تعريف الارتباط أو كلمات المرور أو الجلسات الخاصة بالمستخدم.وهذا يجعل الحياة أكثر صعوبة بالنسبة للمهاجمين الذين يعتمدون على تقنيات انتحال الهوية أو سرقة الجلسات.

أنواع الأجهزة الموصى بها لاستخدام تطبيق الحماية

على الرغم من أن تطبيق الحماية (Application Guard) يمكن تشغيله تقنيًا في سيناريوهات مختلفة، إلا أنه مصمم خصيصًا لـ بيئات الشركات والأجهزة المُدارةتُميّز مايكروسوفت عدة أنواع من المعدات التي يكون فيها استخدام MDAG هو الأنسب.

أولا وقبل كل شيء هناك سطح مكتب المؤسسة المنضم إلى المجالتُدار هذه الأجهزة عادةً باستخدام مدير التكوين أو Intune. وهي عبارة عن أجهزة كمبيوتر مكتبية تقليدية، مع مستخدمين عاديين ومتصلة بشبكة الشركة السلكية، حيث ينشأ الخطر بشكل رئيسي من تصفح الإنترنت اليومي.

ثم لدينا أجهزة الكمبيوتر المحمولة الخاصة بالشركاتهذه الأجهزة أيضاً متصلة بنطاق وتُدار مركزياً، لكنها تتصل بشبكات واي فاي داخلية أو خارجية. وهنا يزداد الخطر لأن الجهاز يخرج من الشبكة الخاضعة للتحكم ويتعرض لشبكات واي فاي في الفنادق أو المطارات أو الشبكات المنزلية.

وهناك مجموعة أخرى هي أجهزة الكمبيوتر المحمولة التي تستخدم نظام BYOD (أحضر جهازك الخاص). المعدات الشخصية التي لا تنتمي إلى الشركة ولكن تتم إدارتها من خلال حلول مثل Intune. وعادةً ما تكون هذه الحلول في أيدي مستخدمين يتمتعون بصلاحيات المسؤول المحلي، مما يزيد من مساحة الهجوم ويجعل استخدام العزل للوصول إلى موارد الشركة أكثر جاذبية.

أخيرًا ، هناك الأجهزة الشخصية غير المُدارة بالكاملهذه مواقع إلكترونية لا تتبع أي نطاق، ويتمتع المستخدم فيها بتحكم كامل. في هذه الحالات، يمكن استخدام تطبيق الحماية (Application Guard) في وضع مستقل (خاصةً مع متصفح إيدج) لتوفير طبقة حماية إضافية عند زيارة مواقع إلكترونية قد تكون خطرة.

إصدارات ويندوز المطلوبة والتراخيص

قبل البدء في ضبط أي شيء، من المهم أن تكون واضحًا بشأن هذا الأمر. في أي إصدارات من نظام التشغيل Windows يمكنك استخدام Microsoft Defender Application Guard وبأي حقوق ترخيص؟

إلى وضع Edge المستقل (أي استخدام Application Guard فقط كبيئة معزولة للمتصفح دون إدارة متقدمة للمؤسسات)، وهو مدعوم على نظام التشغيل Windows:

• ويندوز برو
• ويندوز انتربرايز
• ويندوز برو للتعليم / SE
• ويندوز التعليم

في هذا السيناريو، تُمنح حقوق ترخيص MDAG إذا كانت لديك تراخيص مثل ويندوز برو / برو إديوكيشن / إس إي، ويندوز إنتربرايز إي 3 أو إي 5 وويندوز إديوكيشن إيه 3 أو إيه 5من الناحية العملية، يمكنك بالفعل تفعيل هذه الميزة للاستخدام الأساسي على العديد من أجهزة الكمبيوتر الاحترافية التي تعمل بنظام التشغيل Windows Pro.

إلى نموذج المؤسسة الطرفية والإدارة المؤسسية (حيث تدخل التوجيهات المتقدمة والسيناريوهات الأكثر تعقيداً حيز التنفيذ)، يتم تقليل الدعم:

• ويندوز انتربرايز y ويندوز التعليم يتم دعم تطبيق الحماية في هذا الوضع.
• ويندوز برو وويندوز برو إديوكيشن/إس إي لا يدعمون هذا الإصدار المخصص للمؤسسات.

فيما يتعلق بالتراخيص، يتطلب هذا الاستخدام المؤسسي الأكثر تقدماً ويندوز إنتربرايز E3/E5 أو ويندوز إديوكيشن A3/A5إذا كانت مؤسستك تستخدم الإصدار الاحترافي فقط بدون اشتراكات المؤسسات، فسوف تقتصر على وضع Edge المستقل.

متطلبات النظام والتوافق

بالإضافة إلى إصدار ويندوز، لكي يعمل برنامج Application Guard بثبات، يجب عليك استيفاء الشروط التالية: سلسلة من المتطلبات الفنية يتعلق الأمر بالإصدار، والأجهزة، ودعم المحاكاة الافتراضية.

فيما يتعلق بنظام التشغيل، فإنه من الضروري استخدامه Windows 10 1809 أو أحدث (تحديث أكتوبر 2018) أو إصدار مكافئ من نظام التشغيل Windows 11. وهو غير مخصص لوحدات SKU الخاصة بالخوادم أو الإصدارات المصغرة للغاية؛ فهو موجه بوضوح لأجهزة الكمبيوتر الخاصة بالعملاء.

على مستوى الأجهزة، يجب أن يمتلك الجهاز تم تمكين المحاكاة الافتراضية القائمة على الأجهزة (يدعم Intel VT-x/AMD-V وترجمة عناوين المستوى الثاني، مثل SLAT)، حيث أن Hyper-V هو المكون الأساسي لإنشاء الحاوية المعزولة. بدون هذه الطبقة، لن يتمكن MDAG من إعداد بيئته الآمنة.

من الضروري أيضاً أن يكون لديك آليات إدارة متوافقة إذا كنت ستستخدمه مركزياً (على سبيل المثال، Microsoft Intune أو Configuration Manager)، كما هو موضح بالتفصيل في متطلبات برامج المؤسسة. أما بالنسبة لعمليات النشر البسيطة، فإن واجهة أمان Windows نفسها ستكون كافية.

أخيرًا ، لاحظ ذلك يجري حاليًا إيقاف دعم Application Guard. بالنسبة لمتصفح مايكروسوفت إيدج للأعمال، فإن بعض واجهات برمجة التطبيقات المرتبطة بالتطبيقات المستقلة لن يتم تحديثها بعد الآن. ومع ذلك، لا يزال استخدامه شائعًا جدًا في البيئات التي تتطلب احتواء المخاطر على المدى القصير والمتوسط.

حالة الاستخدام: السلامة مقابل الإنتاجية

تتمثل إحدى المشكلات الكلاسيكية في مجال الأمن السيبراني في إيجاد التوازن الصحيح بين لحماية المستخدم حقاً، وليس لحظره.إذا سمحت فقط لعدد قليل من المواقع الإلكترونية "المُعتمدة"، فإنك تُقلل المخاطر، لكنك تُقلل الإنتاجية. أما إذا خففت القيود، فإن مستوى التعرض يرتفع بشكل كبير.

المتصفح هو أحد أسطح الهجوم الرئيسية من صميم هذه الوظيفة، لأن هدفها هو فتح محتوى غير موثوق به من مصادر متنوعة: مواقع ويب غير معروفة، وتنزيلات، وبرامج نصية خارجية، وإعلانات عدوانية، وما إلى ذلك. بغض النظر عن مدى تحسين المحرك، ستكون هناك دائمًا ثغرات جديدة سيحاول شخص ما استغلالها.

في هذا النموذج، يحدد المسؤول بدقة النطاقات ونطاقات عناوين IP وموارد السحابة التي يعتبرها جديرة بالثقة. أي شيء غير مدرج في تلك القائمة يذهب تلقائيًا إلى الحاويةهناك، يمكن للمستخدم التصفح دون خوف من أن يؤدي تعطل المتصفح إلى تعريض بقية الأنظمة الداخلية للخطر.

والنتيجة هي نظام تنقل مرن نسبيًا للموظف، ولكن مع حدود شديدة الحراسة بين ما هو عالم خارجي غير موثوق به وما هي بيئة مؤسسية يجب حمايتها بأي ثمن.

الميزات والتحديثات الأخيرة لخدمة حماية التطبيقات في متصفح مايكروسوفت إيدج

أضافت مايكروسوفت باستمرار، عبر مختلف إصدارات متصفح مايكروسوفت إيدج المبني على كروميوم، تحسينات محددة لتطبيق حماية التطبيقات بهدف تحسين تجربة المستخدم ومنح المسؤول مزيدًا من التحكم.

إحدى الميزات الجديدة المهمة هي منع تحميل الملفات من الحاويةمنذ إصدار Edge 96، أصبح بإمكان المؤسسات منع المستخدمين من تحميل المستندات من أجهزتهم المحلية إلى نموذج أو خدمة ويب ضمن جلسة معزولة، وذلك باستخدام السياسة. ApplicationGuardUploadBlockingEnabledوهذا يقلل من خطر تسريب المعلومات.

ومن التحسينات المفيدة الأخرى ما يلي: مزاج سيءمتوفر منذ إصدار Edge 94. عند تفعيله بواسطة السياسة ApplicationGuardPassiveModeEnabledيُوقف تطبيق الحماية فرض قائمة المواقع، مما يسمح للمستخدم بتصفح متصفح إيدج "بشكل طبيعي"، حتى مع بقاء الميزة مُثبّتة. إنها طريقة ملائمة لتجهيز التقنية دون إعادة توجيه حركة المرور في الوقت الحالي.

تمت إضافة إمكانية أيضًا مزامنة المفضلة على المضيف مع الحاويةكان هذا مطلبًا من العديد من العملاء لتجنب تجربة تصفح منفصلة تمامًا. ومنذ إصدار Edge 91، أصبحت هذه السياسة ApplicationGuardFavoritesSyncEnabled يسمح ذلك بظهور علامات جديدة بالتساوي داخل البيئة المعزولة.

في مجال الشبكات، أضاف نظام التشغيل Edge 91 دعمًا لـ قم بتسمية حركة المرور الخارجة من الحاوية بفضل التوجيه ApplicationGuardTrafficIdentificationEnabledيسمح هذا للشركات بتحديد وتصفية حركة المرور هذه من خلال خادم وكيل، على سبيل المثال لتقييد الوصول إلى مجموعة صغيرة جدًا من المواقع عند التصفح من خلال MDAG.

الوكيل المزدوج، والامتدادات، والسيناريوهات المتقدمة الأخرى

تستخدم بعض المؤسسات خدمة Application Guard في عمليات النشر الأكثر تعقيدًا حيث تحتاج إلى مراقبة حركة الحاويات عن كثب وإمكانيات المتصفح داخل تلك البيئة المعزولة.

في هذه الحالات، يدعم متصفح إيدج ما يلي: وكيل مزدوج ابتداءً من الإصدار المستقر 84، يمكن ضبط الإعدادات عبر التوجيه ApplicationGuardContainerProxyالفكرة هي أن حركة المرور القادمة من الحاوية يتم توجيهها عبر وكيل محدد، يختلف عن الوكيل الذي يستخدمه المضيف، مما يسهل تطبيق قواعد مستقلة وفحص أكثر صرامة.

وكان من بين الطلبات المتكررة الأخرى من العملاء إمكانية استخدم الإضافات داخل الحاويةمنذ إصدار متصفح إيدج 81، أصبح هذا الأمر ممكناً، لذا يمكن تشغيل برامج حجب الإعلانات، أو الإضافات الداخلية للشركات، أو غيرها من الأدوات طالما أنها تتوافق مع السياسات المحددة. من الضروري الإعلان عن updateURL من الامتداد في سياسات عزل الشبكة بحيث يعتبر موردًا محايدًا يمكن الوصول إليه من خلال Application Guard.

تشمل السيناريوهات المقبولة ما يلي: التثبيت الإجباري للإضافات على المضيف تظهر هذه الإضافات بعد ذلك في الحاوية، مما يسمح بإزالة إضافات محددة أو حظر إضافات أخرى تُعتبر غير مرغوب فيها لأسباب أمنية. مع ذلك، لا ينطبق هذا على الإضافات التي تعتمد على مكونات معالجة الرسائل الأصلية. إنها غير متوافقة ضمن MDAG.

للمساعدة في تشخيص مشاكل التكوين أو السلوك، صفحة تشخيصية محددة en edge://application-guard-internalsومن هناك، يمكنك التحقق، من بين أمور أخرى، مما إذا كان عنوان URL معين يعتبر موثوقًا به أم لا وفقًا للسياسات المطبقة فعليًا على المستخدم.

وأخيرًا، فيما يتعلق بالتحديثات، سيصدر متصفح مايكروسوفت إيدج الجديد كما يقوم بتحديث نفسه داخل الحاويةيتبع نفس القناة والإصدار الخاص بالمتصفح المضيف. لم يعد يعتمد على دورة تحديث نظام التشغيل، كما كان الحال مع الإصدار القديم من متصفح إيدج، مما يبسط الصيانة بشكل كبير.

كيفية تفعيل ميزة حماية التطبيقات في برنامج Microsoft Defender في نظام التشغيل Windows

إذا كنت ترغب في تشغيله على جهاز متوافق، فإن الخطوة الأولى هي تفعيل ميزة ويندوز المقابل. العملية، على المستوى الأساسي، بسيطة للغاية.

أسرع طريقة هي فتح مربع حوار التشغيل باستخدام فوز + R، لأكتب appwiz.cpl ثم اضغط على مفتاح الإدخال (Enter) للانتقال مباشرةً إلى لوحة "البرامج والميزات". ومن هناك، ستجد على الجانب الأيسر رابط "تشغيل ميزات ويندوز أو إيقاف تشغيلها".

في قائمة المكونات المتاحة، ستحتاج إلى تحديد موقع الإدخال "Microsoft Defender Application Guard" ثم حدده. عند الموافقة، سيقوم نظام التشغيل Windows بتنزيل أو تفعيل الملفات الثنائية اللازمة وسيطلب منك إعادة تشغيل جهاز الكمبيوتر لتطبيق التغييرات.

بعد إعادة التشغيل، على الأجهزة المتوافقة التي تعمل بإصدارات صحيحة من متصفح إيدج، يجب أن تتمكن من افتح نوافذ جديدة أو علامات تبويب منفصلة من خلال خيارات المتصفح أو، في البيئات المُدارة، تلقائيًا وفقًا لتكوين قائمة المواقع غير الموثوقة.

إذا لم تظهر لك خيارات مثل "نافذة حماية التطبيق الجديدة" أو لم يتم فتح الحاوية، فمن المحتمل أن قد تكون التعليمات التي تتبعها قديمة.قد يكون ذلك بسبب عدم دعم إصدار Windows الخاص بك، أو عدم تمكين Hyper-V لديك، أو قيام سياسة مؤسستك بتعطيل هذه الميزة.

تكوين حماية التطبيقات باستخدام نهج المجموعة

في بيئات العمل، لا يتم تكوين كل قطعة من المعدات يدويًا؛ بدلاً من ذلك، يتم استخدام نظام محدد مسبقًا. نهج المجموعة (GPO) أو ملفات تعريف التكوين في Intune لتحديد السياسة مركزياً. يعتمد Application Guard على وحدتي تكوين رئيسيتين: عزل الشبكة والمعلمات الخاصة بالتطبيق.

توجد إعدادات عزل الشبكة في Computer Configuration\Administrative Templates\Network\Network Isolationوهنا، على سبيل المثال، يتم تعريف ما يلي: نطاقات الشبكة الداخلية والمجالات التي تعتبر مجالات الشركةوهذا سيحدد الحد الفاصل بين ما هو موثوق وما يجب التخلص منه.

إحدى السياسات الرئيسية هي سياسة "فترات الشبكة الخاصة للتطبيقات"يُحدد هذا القسم، في قائمة مفصولة بفواصل، نطاقات عناوين IP التابعة لشبكة الشركة. ستُفتح نقاط النهاية في هذه النطاقات في متصفح Edge العادي ولن تكون متاحة من بيئة Application Guard.

ومن السياسات المهمة الأخرى سياسة "نطاقات موارد المؤسسة المستضافة على السحابة"والتي تستخدم قائمة مفصولة بالحرف | لتحديد نطاقات SaaS وخدمات الحوسبة السحابية الخاصة بالمؤسسة التي يجب التعامل معها على أنها داخلية. سيتم عرض هذه الخدمات أيضًا على Edge خارج الحاوية.

وأخيراً، توجيهات "المجالات المصنفة على أنها شخصية ومهنية" يُتيح لك هذا تحديد نطاقات يمكن استخدامها لأغراض شخصية وتجارية. وستكون هذه المواقع متاحة من بيئة Edge العادية ومن Application Guard، حسب الاقتضاء.

استخدام الأحرف البديلة في إعدادات عزل الشبكة

لتجنب كتابة كل نطاق فرعي على حدة، تدعم قوائم عزل الشبكة أحرف البدل في أسماء النطاقاتوهذا يسمح بتحكم أفضل فيما يعتبر موثوقاً.

إذا تم تعريفها ببساطة contoso.comلن يثق المتصفح إلا بتلك القيمة المحددة، ولن يثق بأي نطاقات أخرى تحتوي عليها. بعبارة أخرى، سيتعامل مع تلك القيمة الحرفية فقط على أنها تابعة لشركة ما. الجذر الدقيق وليس www.contoso.com ولا المتغيرات.

إذا تم تحديده www.contoso.comهكذا ذلك المضيف المحدد فقط سيتم اعتبارها موثوقة. نطاقات فرعية أخرى مثل shop.contoso.com سيتم استبعادهم وقد ينتهي بهم المطاف في مكب النفايات.

مع التنسيق .contoso.com (نقطة قبل) تشير إلى أن أي نطاق ينتهي بـ "contoso.com" موثوق به. وهذا يشمل من contoso.com فوق www.contoso.com أو حتى سلاسل مثل spearphishingcontoso.comلذا يجب استخدامه بحذر.

وأخيرًا، إذا تم استخدامه ..contoso.com (النقطتان الرأسيتان في البداية)، جميع مستويات التسلسل الهرمي الموجودة على يسار النطاق موثوقة، على سبيل المثال shop.contoso.com o us.shop.contoso.com، ولكن الموقع الرئيسي "contoso.com" غير موثوق به في حد ذاته. إنها طريقة أفضل للتحكم فيما يعتبر مورداً مؤسسياً.

التوجيهات الخاصة بحماية التطبيق الرئيسي

توجد المجموعة الرئيسية الثانية من الإعدادات في Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application Guardمن هنا تُحكم البلاد سلوك الحاوية بالتفصيل وما يمكن للمستخدم فعله أو لا يمكنه فعله داخله.

تُعد سياسة الـ "إعدادات الحافظة"يتحكم هذا الخيار في إمكانية نسخ ولصق النصوص أو الصور بين المضيف وApplication Guard. في الوضع المُدار، يمكنك السماح بالنسخ من الحاوية فقط، أو في الاتجاه المعاكس فقط، أو حتى تعطيل الحافظة تمامًا.

وبالمثل، فإن توجيه "إعدادات الطباعة" يُحدد هذا الخيار إمكانية طباعة المحتوى من الحاوية، وبأي صيغ. يمكنك تفعيل الطباعة إلى ملفات PDF أو XPS أو الطابعات المحلية المتصلة أو طابعات الشبكة المُعرّفة مسبقًا، أو حظر جميع إمكانيات الطباعة داخل MDAG.

الخيار "الاعتراف بالمثابرة" يُحدد هذا الإعداد ما إذا كانت بيانات المستخدم (الملفات المُنزّلة، وملفات تعريف الارتباط، والمفضّلات، وما إلى ذلك) تُحفظ بين جلسات Application Guard أم تُحذف عند إيقاف تشغيل البيئة. يُمكّن تفعيل هذا الخيار في الوضع المُدار الحاوية من الاحتفاظ بهذه المعلومات للجلسات اللاحقة؛ بينما يؤدي تعطيله إلى بيئة نظيفة تمامًا عند كل بدء تشغيل.

إذا قررت إيقاف السماح بالاستمرار لاحقًا، يمكنك استخدام الأداة wdagtool.exe مع المعلمات cleanup o cleanup RESET_PERSISTENCE_LAYER لإعادة ضبط الحاوية والتخلص من المعلومات التي أنشأها الموظف.

ومن السياسات الرئيسية الأخرى ما يلي: "تفعيل حماية التطبيقات في الوضع المُدار"يُحدد هذا القسم ما إذا كانت الميزة تنطبق على متصفح Microsoft Edge أو Microsoft Office أو كليهما. ولن تُفعّل هذه السياسة إذا لم يستوفِ الجهاز المتطلبات الأساسية أو إذا كان عزل الشبكة مُفعّلاً (باستثناء بعض الإصدارات الحديثة من Windows حيث لم يعد ذلك مطلوبًا لمتصفح Edge في حال تثبيت تحديثات KB مُحددة).

مشاركة الملفات، والشهادات، والكاميرا، والتدقيق

بالإضافة إلى السياسات المذكورة أعلاه، هناك توجيهات أخرى تؤثر كيفية ارتباط الحاوية بالنظام المضيف ومع الأجهزة الطرفية.

سياسة "السماح بتنزيل الملفات إلى نظام التشغيل المضيف" يُحدد هذا الخيار ما إذا كان بإمكان المستخدم حفظ الملفات التي تم تنزيلها من البيئة المعزولة إلى المضيف. عند تفعيله، يُنشئ موردًا مشتركًا بين البيئتين، مما يسمح أيضًا ببعض عمليات التحميل من المضيف إلى الحاوية - وهو أمر مفيد للغاية، ولكن ينبغي تقييمه من منظور أمني.

تكوين "تفعيل خاصية العرض المُسرّع بواسطة الأجهزة" يُمكّن هذا الخيار استخدام وحدة معالجة الرسومات (GPU) عبر vGPU لتحسين أداء الرسومات، خاصةً عند تشغيل مقاطع الفيديو والمحتوى الثقيل. في حال عدم توفر أجهزة متوافقة، سيعود نظام حماية التطبيقات إلى استخدام وحدة المعالجة المركزية (CPU) للمعالجة. مع ذلك، قد يؤدي تفعيل هذا الخيار على الأجهزة ذات برامج التشغيل غير الموثوقة إلى زيادة المخاطر على النظام المضيف.

وهناك أيضاً توجيه لـ السماح بالوصول إلى الكاميرا والميكروفون داخل الحاوية. يتيح تمكينها للتطبيقات التي تعمل تحت MDAG استخدام هذه الأجهزة، مما يسهل مكالمات الفيديو أو المؤتمرات من بيئات معزولة، على الرغم من أنها تفتح أيضًا الباب لتجاوز الأذونات القياسية إذا تم اختراق الحاوية.

تسمح سياسة أخرى باستخدام تطبيق الحماية (Application Guard). استخدم جهات إصدار شهادات جذر المضيف المحددةينقل هذا الإجراء إلى الحاوية الشهادات التي تم تحديد بصمتها. في حال تعطيل هذا الخيار، لن ترث الحاوية تلك الشهادات، مما قد يحجب الاتصالات ببعض الخدمات الداخلية إذا كانت تعتمد على جهات خارجية.

أخيرًا ، خيار "السماح بأحداث التدقيق" يؤدي ذلك إلى تسجيل أحداث النظام التي تم إنشاؤها في الحاوية وتوريث سياسات تدقيق الجهاز، بحيث يمكن لفريق الأمان تتبع ما يحدث داخل Application Guard من سجلات المضيف.

التكامل مع أطر الدعم والتخصيص

عندما يحدث خطأ ما في تطبيق الحماية، يرى المستخدم مربع حوار الخطأ بشكل افتراضي، يقتصر هذا على وصف للمشكلة وزر للإبلاغ عنها إلى مايكروسوفت عبر مركز الملاحظات. ومع ذلك، يمكن تخصيص هذه التجربة لتسهيل الدعم الداخلي.

على الطريق Administrative Templates\Windows Components\Windows Security\Enterprise Customization توجد سياسة يمكن للمسؤول استخدامها أضف معلومات الاتصال بخدمة الدعمروابط داخلية أو تعليمات موجزة. بهذه الطريقة، عندما يرى الموظف الخطأ، سيعرف على الفور من يتصل به أو ما هي الخطوات التي يجب اتخاذها.

الأسئلة الشائعة والمشاكل الشائعة المتعلقة بتطبيق الحماية

يؤدي استخدام تطبيق الحماية إلى توليد عدد لا بأس به من أسئلة متكررة في عمليات النشر الواقعية، وخاصة فيما يتعلق بالأداء والتوافق وسلوك الشبكة.

أحد الأسئلة الأولى هو ما إذا كان من الممكن تفعيله في الأجهزة التي تحتوي على 4 جيجابايت فقط من ذاكرة الوصول العشوائيعلى الرغم من وجود سيناريوهات قد تنجح فيها، إلا أن الأداء في الواقع العملي عادة ما يتأثر بشكل كبير، لأن الحاوية هي عمليًا نظام تشغيل آخر يعمل بالتوازي.

ومن النقاط الحساسة الأخرى التكامل مع وكلاء الشبكة وبرامج PAC النصيةتشير الرسائل مثل "لا يمكن حل عناوين URL الخارجية من متصفح MDAG: ERR_CONNECTION_REFUSED" أو "ERR_NAME_NOT_RESOLVED" عند فشل الوصول إلى ملف PAC عادةً إلى مشاكل في التكوين بين الحاوية والوكيل وقواعد العزل.

وهناك أيضاً قضايا تتعلق بـ لا يتم دعم محررات أساليب الإدخال (IMEs). في بعض إصدارات نظام التشغيل ويندوز، تمنع التعارضات مع برامج تشغيل تشفير القرص أو حلول التحكم في الأجهزة الحاوية من إكمال التحميل.

يواجه بعض المسؤولين أخطاءً مثل "ERROR_VIRTUAL_DISK_LIMITATION" إذا كانت هناك قيود متعلقة بالأقراص الافتراضية، أو حالات فشل في تعطيل تقنيات مثل تعدد الخيوط التي تؤثر بشكل غير مباشر على Hyper-V، وبالتالي على MDAG.

كما أثيرت تساؤلات حول كيفية لا تثق إلا في نطاقات فرعية معينة، فيما يتعلق بحدود حجم قائمة النطاقات أو كيفية تعطيل السلوك الذي يتم بموجبه إغلاق علامة تبويب المضيف تلقائيًا عند الانتقال إلى موقع يفتح في الحاوية.

حماية التطبيقات، وضع إنترنت إكسبلورر، كروم، وأوفيس

في البيئات التي فيها وضع IE في مايكروسوفت إيدجيدعم النظام ميزة حماية التطبيقات، لكن مايكروسوفت لا تتوقع استخدامًا واسع النطاق لهذه الميزة في هذا الوضع. يُنصح بتخصيص وضع إنترنت إكسبلورر لتطبيقات/استخدامات محددة. مواقع داخلية موثوقة واستخدم MDAG فقط للمواقع الإلكترونية التي تعتبر خارجية وغير موثوقة.

من المهم التأكد من ذلك جميع المواقع مهيأة في وضع إنترنت إكسبلورريجب أيضًا تضمين الشبكة، بالإضافة إلى عناوين IP المرتبطة بها، في سياسات عزل الشبكة كموارد موثوقة. وإلا، فقد يحدث سلوك غير متوقع عند الجمع بين الوظيفتين.

فيما يتعلق بمتصفح كروم، يتساءل العديد من المستخدمين عما إذا كان ذلك ضرورياً. قم بتثبيت إضافة حماية التطبيقاتالجواب هو لا: هذه الوظيفة مدمجة أصلاً في متصفح مايكروسوفت إيدج، وامتداد كروم القديم ليس تكوينًا مدعومًا عند العمل مع إيدج.

بالنسبة لمستندات Office، يسمح تطبيق الحماية (Application Guard) افتح ملفات Word و Excel و PowerPoint في حاوية معزولة عند اعتبار الملفات غير موثوقة، يتم منع وحدات الماكرو الخبيثة أو غيرها من أساليب الهجوم من الوصول إلى الجهاز المضيف. ويمكن دمج هذه الحماية مع ميزات أخرى في برنامج Windows Defender وسياسات موثوقية الملفات.

يوجد خيار في سياسة المجموعة يسمح للمستخدمين بـ"الوثوق" بملفات معينة تُفتح في تطبيق الحماية، بحيث تُعامل على أنها آمنة وتُخرج من الحاوية. يجب إدارة هذه الخاصية بعناية لتجنب فقدان ميزة العزل.

التنزيلات، الحافظة، المفضلة، والإضافات: تجربة المستخدم

من وجهة نظر المستخدم، تدور بعض الأسئلة الأكثر عملية حول ما يمكن وما لا يمكن فعله داخل الحاويةوخاصة فيما يتعلق بالتنزيلات والنسخ واللصق والإضافات.

في نظام التشغيل Windows 10 Enterprise الإصدار 1803 والإصدارات الأحدث (مع وجود اختلافات طفيفة حسب الإصدار)، من الممكن السماح بتنزيل المستندات من الحاوية إلى المضيف لم يكن هذا الخيار متاحًا في الإصدارات السابقة أو في بعض إصدارات البرامج مثل Pro، على الرغم من أنه كان من الممكن الطباعة إلى PDF أو XPS وحفظ النتيجة على الجهاز المضيف.

فيما يتعلق بلوحة الكتابة، قد تسمح سياسة الشركة بذلك. يتم نسخ الصور بصيغة BMP والنصوص. من وإلى البيئة المعزولة. إذا اشتكى الموظفون من عدم قدرتهم على نسخ المحتوى، فعادةً ما يلزم مراجعة هذه السياسات.

يتساءل العديد من المستخدمين أيضاً عن السبب لا يرون مفضلاتهم أو ملحقاتهم في جلسة Edge ضمن Application Guard. عادةً ما يكون هذا بسبب تعطيل مزامنة الإشارات المرجعية أو عدم تفعيل سياسة الإضافات في MDAG. بمجرد ضبط هذه الخيارات، يمكن للمتصفح في الحاوية أن يرث الإشارات المرجعية وبعض الإضافات، مع مراعاة القيود المذكورة سابقًا.

بل إن هناك حالات تظهر فيها إضافة ولكنها "لا تعمل". إذا كانت تعتمد على مكونات معالجة الرسائل الأصلية، فلن تكون هذه الوظيفة متاحة داخل الحاوية، وستظهر الإضافة سلوكًا محدودًا أو غير فعال تمامًا.

أداء الرسومات، وتقنية النطاق الديناميكي العالي (HDR)، وتسريع الأجهزة

ومن المواضيع الأخرى التي تثار بشكل متكرر موضوع تشغيل الفيديو وميزات متقدمة مثل HDR ضمن تطبيق الحماية. عند التشغيل على Hyper-V، لا تتمتع الحاوية دائمًا بإمكانية الوصول المباشر إلى إمكانيات وحدة معالجة الرسومات.

لكي يعمل تشغيل HDR بشكل صحيح في بيئة معزولة، من الضروري أن تم تمكين تسريع الأجهزة vGPU من خلال سياسة العرض المُسرّع. وإلا، سيعتمد النظام على وحدة المعالجة المركزية، ولن تظهر بعض الخيارات مثل HDR في إعدادات المشغل أو الموقع الإلكتروني.

حتى مع تمكين التسريع، إذا لم تُعتبر أجهزة الرسومات آمنة أو متوافقة بشكل كافٍ، فقد يقوم نظام حماية التطبيقات العودة تلقائيًا إلى عرض البرامجمما يؤثر على سلاسة الأداء واستهلاك البطارية في أجهزة الكمبيوتر المحمولة.

أظهرت بعض عمليات النشر مشاكل تتعلق بتجزئة بروتوكول TCP وتعارضات مع شبكات VPN التي يبدو أنها لا تعمل أبدًا عند مرور البيانات عبر الحاوية. في هذه الحالات، عادةً ما يكون من الضروري مراجعة سياسات الشبكة، ووحدة النقل القصوى (MTU)، وإعدادات الوكيل، وأحيانًا تعديل كيفية تكامل MDAG مع مكونات الأمان الأخرى المثبتة مسبقًا.

الدعم والتشخيص والإبلاغ عن الحوادث

عندما تنشأ مشاكل لا يمكن حلها داخلياً رغم كل شيء، توصي مايكروسوفت افتح تذكرة دعم محددة بالنسبة لبرنامج Microsoft Defender Application Guard، من المهم جمع المعلومات مسبقًا من صفحة التشخيص وسجلات الأحداث ذات الصلة وتفاصيل التكوين المطبق على الجهاز.

استخدام الصفحة edge://application-guard-internalsبالإضافة إلى أحداث التدقيق الممكّنة وإصدار أدوات مثل wdagtool.exeوعادة ما يوفر ذلك لفريق الدعم بيانات كافية لتحديد مصدر المشكلة، سواء كانت سياسة غير محددة بشكل جيد، أو تعارض مع منتج أمني آخر، أو قيود في الأجهزة.

بالإضافة إلى كل هذا، يمكن للمستخدمين تخصيص رسائل الخطأ ومعلومات الاتصال في مربع حوار الدعم الفني لأمان ويندوز، مما يسهل عليهم إيجاد الحل المناسب. لا تضيع وقتك في حيرة من أمرك ولا تعرف إلى من تلجأ عندما يفشل تشغيل الحاوية أو لا تفتح كما هو متوقع.

بشكل عام، يوفر Microsoft Defender Application Guard مزيجًا قويًا من عزل الأجهزة، والتحكم الدقيق في السياسات، وأدوات التشخيص التي، عند استخدامها بشكل صحيح، يمكن أن تقلل بشكل كبير من المخاطر المرتبطة بتصفح المواقع غير الموثوقة أو فتح المستندات من مصادر مشبوهة دون المساس بالإنتاجية اليومية.