Как да използвате Microsoft Defender Application Guard стъпка по стъпка

Ако работите с чувствителна информация или разглеждате подозрителни уебсайтове ежедневно, Защита на приложенията на Microsoft Defender (MDAG) Това е една от онези функции на Windows, които могат да направят разликата между страх и бедствие. Не е просто поредната антивирусна програма, а допълнителен слой, който изолира заплахите от вашата система и данни.

В следващите редове ще видите ясно Какво точно е Application Guard, как работи вътрешно, на кои устройства можете да го използвате и как да го конфигурирате? Ще разгледаме както прости, така и корпоративни внедрявания. Ще разгледаме и изискванията, груповите политики, често срещаните грешки и различни често задавани въпроси, които възникват при започване на работа с тази технология.

Какво е Microsoft Defender Application Guard и как работи?

Microsoft Defender Application Guard е разширена функция за защита, предназначена да Изолирайте ненадеждни уебсайтове и документи във виртуален контейнер Базиран на Hyper-V. Вместо да се опитва да блокира всяка атака една по една, той създава малък „компютър за еднократна употреба“, където поставя подозрителния материал.

Този контейнер работи в отделно от основната операционна системасъс собствен защитен екземпляр на Windows и без директен достъп до файлове, идентификационни данни или вътрешни ресурси на компанията. Дори ако злонамерен сайт успее да използва уязвимост в браузър или Office, щетите остават в тази изолирана среда.

В случая с Microsoft Edge, Application Guard гарантира, че всеки домейн, който не е маркиран като надежден Отваря се автоматично в този контейнер. За Office прави същото с документи на Word, Excel и PowerPoint, които идват от източници, които организацията не счита за безопасни.

Ключът е, че тази изолация е от хардуерен тип: Hyper-V създава независима среда от хоста, което драстично намалява възможността на атакуващ да премине от изолираната сесия към реалната система, да открадне фирмени данни или да използва съхранени идентификационни данни.

Освен това, контейнерът се третира като анонимна среда: Не наследява „бисквитките“, паролите или сесиите на потребителя.Това прави живота много по-труден за нападателите, които разчитат на техники за подправяне или кражба на сесии.

Препоръчителни типове устройства за използване на Application Guard

Въпреки че Application Guard технически може да работи в различни сценарии, той е специално проектиран за корпоративни среди и управлявани устройстваMicrosoft разграничава няколко вида оборудване, при които MDAG е най-подходящ.

На първо място са корпоративен настолен компютър, присъединен към домейнТе обикновено се управляват с Configuration Manager или Intune. Това са традиционни офис компютри със стандартни потребители и свързани към кабелната корпоративна мрежа, където рискът идва главно от ежедневното сърфиране в интернет.

Тогава имаме корпоративни лаптопиТова също са устройства, присъединени към домейн и управлявани централно, но те се свързват с вътрешни или външни Wi-Fi мрежи. Тук рискът се увеличава, защото устройството напуска контролираната мрежа и е изложено на Wi-Fi в хотели, летища или домашни мрежи.

Друга група са лаптопите BYOD (Донеси си собствено устройство), Лично оборудване, което не е собственост на компанията, но се управлява чрез решения като Intune. Те обикновено са в ръцете на потребители с локални администраторски права, което увеличава повърхността за атака и прави използването на изолация за достъп до корпоративни ресурси по-привлекателно.

И накрая, има напълно неуправляеми лични устройстваТова са уебсайтове, които не принадлежат към нито един домейн и върху които потребителят има абсолютен контрол. В тези случаи Application Guard може да се използва в самостоятелен режим (особено за Edge), за да осигури допълнителен слой защита при посещение на потенциално опасни уебсайтове.

Необходими издания и лицензиране на Windows

Преди да започнете да конфигурирате каквото и да е, е важно да сте наясно с това. В кои издания на Windows можете да използвате Microsoft Defender Application Guard и с какви лицензионни права.

За Самостоятелен режим на Edge (т.е. използване на Application Guard само като пясъчник на браузъра без разширено управление на предприятието), се поддържа в Windows:

• Windows pro
• Windows Enterprise
• Windows Pro Education / SE
• Windows Education

В този сценарий лицензионните права на MDAG се предоставят, ако имате лицензи като например Windows Pro / Pro Education / SE, Windows Enterprise E3 или E5 и Windows Education A3 или A5На практика, на много професионални компютри с Windows Pro вече можете да активирате функцията за основна употреба.

За режим на edge enterprise и корпоративна администрация (където се използват разширени директиви и по-сложни сценарии), поддръжката е намалена:

• Windows Enterprise y Windows Education В този режим се поддържа Application Guard.
• Windows Pro и Windows Pro Education/SE Не. Те имат поддръжка за този корпоративен вариант.

Що се отнася до лицензите, тази по-напреднала корпоративна употреба изисква Windows Enterprise E3/E5 или Windows Education A3/A5Ако вашата организация използва само Pro без Enterprise абонаменти, ще бъдете ограничени до самостоятелен режим Edge.

Системни изисквания и съвместимост

В допълнение към изданието за Windows, за да работи Application Guard стабилно, трябва да отговаряте на поредица от технически изисквания свързани с версията, хардуера и поддръжката на виртуализация.

Що се отнася до операционната система, използването ѝ е задължително. Windows 10 1809 или по-нова версия (Актуализация от октомври 2018 г.) или еквивалентна версия на Windows 11. Не е предназначена за сървърни SKU или силно омаловажени варианти; очевидно е насочена към клиентски компютри.

На хардуерно ниво оборудването трябва да има активирана хардуерно-базирана виртуализация (Поддръжка на Intel VT-x/AMD-V и преобразуване на адреси от второ ниво, като например SLAT), тъй като Hyper-V е ключовият компонент за създаване на изолирания контейнер. Без този слой, MDAG няма да може да настрои своята защитена среда.

Също така е важно да имате съвместими механизми за администриране Ако ще го използвате централизирано (например, Microsoft Intune или Configuration Manager), както е подробно описано в изискванията за корпоративен софтуер. За прости внедрявания, самият интерфейс за сигурност на Windows ще бъде достатъчен.

И накрая, имайте предвид това Application Guard е в процес на отхвърляне. За Microsoft Edge за бизнеса, както и че някои API, свързани със самостоятелни приложения, вече няма да бъдат актуализирани. Въпреки това, той остава много разпространен в среди, където е необходимо ограничаване на риска в краткосрочен и средносрочен план.

Случай на употреба: безопасност срещу производителност

Един от класическите проблеми в киберсигурността е намирането на правилния баланс между наистина да защити, а не да блокира потребителяАко разрешите само шепа „благословени“ уебсайтове, намалявате риска, но убивате производителността. Ако разхлабите ограниченията, нивото на излагане на риск се увеличава драстично.

Браузърът е един от основни повърхности за атака на работата, защото целта ѝ е да отваря ненадеждно съдържание от голямо разнообразие от източници: неизвестни уебсайтове, файлове за изтегляне, скриптове на трети страни, агресивна реклама и др. Колкото и да подобрите двигателя, винаги ще има нови уязвимости, които някой ще се опита да използва.

В този модел администраторът точно определя кои домейни, IP диапазони и облачни ресурси счита за надеждни. Всичко, което не е в този списък, автоматично отива в контейнераТам потребителят може да сърфира, без да се страхува, че евентуална повреда в браузъра ще застраши останалите вътрешни системи.

Резултатът е относително гъвкава навигация за служителя, но с строго охранявана граница между това, което е ненадежден външен свят, и това, което е корпоративна среда, която трябва да бъде защитена на всяка цена.

Последни функции и актуализации на Application Guard в Microsoft Edge

В различните версии на Microsoft Edge, базирани на Chromium, Microsoft добавя... Специфични подобрения за Application Guard с цел подобряване на потребителското изживяване и предоставяне на по-голям контрол на администратора.

Една от важните нови функции е блокиране на качването на файлове от контейнераОт Edge 96 насам, организациите са в състояние да предотвратят качването на документи от локалното си устройство към формуляр или уеб услуга в рамките на изолирана сесия, използвайки политиката ApplicationGuardUploadBlockingEnabledТова намалява риска от изтичане на информация.

Друго много полезно подобрение е пасивен режим, налично от Edge 94. Когато е активирано от политиката ApplicationGuardPassiveModeEnabledApplication Guard спира насилственото показване на списъка със сайтове и позволява на потребителя да разглежда Edge „нормално“, въпреки че функцията остава инсталирана. Това е удобен начин технологията да е готова, без все още да се пренасочва трафик.

Добавена е и възможността за синхронизиране на предпочитаните от хоста с контейнераТова беше нещо, което много клиенти поискаха, за да избегнат две напълно разединени преживявания при сърфиране. След Edge 91, политиката ApplicationGuardFavoritesSyncEnabled Това позволява на новите маркери да се появяват еднакво в изолираната среда.

В областта на мрежата, Edge 91 включи поддръжка за етикетирайте трафика, напускащ контейнера благодарение на директивата ApplicationGuardTrafficIdentificationEnabledТова позволява на компаниите да идентифицират и филтрират този трафик чрез прокси, например за да ограничат достъпа до много малък набор от сайтове, когато сърфират от MDAG.

Двоен прокси сървър, разширения и други разширени сценарии

Някои организации използват Application Guard в по-сложни внедрявания, където е необходимо следете отблизо контейнерния трафик и възможностите на браузъра в тази изолирана среда.

За тези случаи Edge има поддръжка за двоен прокси От стабилна версия 84 нататък, конфигурируемо чрез директивата ApplicationGuardContainerProxyИдеята е трафикът, произхождащ от контейнера, да се маршрутизира през специфичен прокси, различен от този, използван от хоста, което улеснява прилагането на независими правила и по-строга проверка.

Друго повтарящо се искане от клиентите беше възможността използвайте разширения в контейнераОт Edge 81 насам това е възможно, така че блокери на реклами, вътрешни корпоративни разширения или други инструменти могат да се изпълняват, стига да отговарят на определените правила. Необходимо е да се декларира updateURL на разширението в правилата за изолиране на мрежата, така че то да се счита за неутрален ресурс, достъпен от Application Guard.

Приетите сценарии включват принудително инсталиране на разширения на хоста След това тези разширения се появяват в контейнера, което позволява премахването на конкретни разширения или блокирането на други, считани за нежелани от съображения за сигурност. Това обаче не се отнася за разширения, които разчитат на вградени компоненти за обработка на съобщения. Те не са съвместими в рамките на MDAG.

За да се помогне за диагностицирането на проблеми с конфигурацията или поведението, a специфична диагностична страница en edge://application-guard-internalsОттам можете да проверите, наред с други неща, дали даден URL адрес се счита за надежден или не, според политиките, действително приложени към потребителя.

И накрая, що се отнася до актуализациите, новият Microsoft Edge ще Той също така се актуализира в контейнераТой следва същия канал и версия като браузъра хост. Вече не зависи от цикъла на актуализация на операционната система, както беше при Legacy версията на Edge, което значително опростява поддръжката.

Как да активирате Microsoft Defender Application Guard в Windows

Ако искате да го стартирате на съвместимо устройство, първата стъпка е активирайте функцията на Windows съответстващо. Процесът, на основно ниво, е доста лесен.

Най-бързият начин е да отворите диалоговия прозорец „Изпълнение“ с Win + R, да пишеш appwiz.cpl и натиснете Enter, за да отидете директно в панела „Програми и функции“. Оттам, отляво, ще намерите връзката към „Включване или изключване на функциите на Windows“.

В списъка с налични компоненти ще трябва да намерите записа „Защита на приложенията на Microsoft Defender“ и го изберете. След приемане, Windows ще изтегли или активира необходимите двоични файлове и ще ви подкани да рестартирате компютъра си, за да приложите промените.

След рестартиране, на съвместими устройства с правилните версии на Edge, би трябвало да можете да Отваряне на нови прозорци или изолирани раздели чрез опциите на браузъра или, в управлявани среди, автоматично според конфигурацията на списъка с ненадеждни сайтове.

Ако не виждате опции като „Нов прозорец на Application Guard“ или контейнерът не се отваря, е възможно това Инструкциите, които следвате, може да са остарели.Това може да се дължи на факта, че вашето издание на Windows не се поддържа, нямате активиран Hyper-V или политиката на вашата организация е деактивирала функцията.

Конфигуриране на Application Guard с групови правила

В бизнес среда всяко оборудване не се конфигурира ръчно; вместо това се използва предварително дефинирана система. групова политика (GPO) или конфигурационни профили в Intune за централизирано дефиниране на правилата. Application Guard разчита на два основни конфигурационни блока: изолация на мрежата и специфични за приложението параметри.

Настройките за мрежова изолация се намират в Computer Configuration\Administrative Templates\Network\Network IsolationТук например са дефинирани следните: вътрешни мрежови диапазони и домейни, считани за фирмени домейникоето ще маркира границата между това, което е надеждно, и това, което трябва да се изхвърли в кошчето.

Една от ключовите политики е тази на „Интервали на частна мрежа за приложения“Този раздел указва, в списък, разделен със запетаи, IP диапазоните, които принадлежат на корпоративната мрежа. Крайните точки в тези диапазони ще се отварят в нормален Edge режим и няма да бъдат достъпни от средата на Application Guard.

Друга важна политика е тази на „Домейни за корпоративни ресурси, хоствани в облак“който използва списък, разделен от символа | За да се посочат SaaS домейни и облачни услуги на организацията, които трябва да се третират като вътрешни. Те също ще се рендират в Edge извън контейнера.

Накрая, директивата на „Домейни, класифицирани като лични и служебни“ Това ви позволява да декларирате домейни, които могат да се използват както за лични, така и за бизнес цели. Тези сайтове ще бъдат достъпни както от нормалната Edge среда, така и от Application Guard, според случая.

Използване на заместващи символи в настройките за мрежова изолация

За да се избегне необходимостта от писане на всеки поддомейн един по един, списъците за мрежова изолация поддържат заместващи символи в имената на домейниТова позволява по-добър контрол върху това, което се счита за надеждно.

Ако е просто дефинирано contoso.comБраузърът ще се доверява само на тази конкретна стойност, а не на други домейни, които я съдържат. С други думи, ще третира само тази буквална стойност като принадлежаща на даден бизнес. точният корен и не www.contoso.com нито варианти.

Ако е посочено www.contoso.com, така само този конкретен хост ще се считат за надеждни. Други поддомейни, като например shop.contoso.com Те биха били изоставени и биха могли да се окажат в кофата за боклук.

С формата .contoso.com (точка преди това) показва, че Всеки домейн, завършващ на „contoso.com“, е надежден. Това включва от contoso.com нагоре www.contoso.com или дори вериги като spearphishingcontoso.comТака че трябва да се използва с внимание.

Накрая, ако се използва ..contoso.com (начална двоеточие), всички нива на йерархията, разположени отляво на домейна, са доверени, например shop.contoso.com o us.shop.contoso.comНо Коренът „contoso.com“ не е надежден само по себе си. Това е по-фин начин за контролиране на това, което се счита за корпоративен ресурс.

Основни директиви, специфични за Application Guard

Вторият основен набор от настройки се намира в Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application GuardОттук се управлява страната подробно поведение на контейнера и какво потребителят може или не може да прави в него.

Една от най-важните политики е тази на „Настройки на клипборда“Това контролира дали е възможно копирането и поставянето на текст или изображения между хоста и Application Guard. В управляван режим можете да разрешите копиране само от контейнера навън, само в обратна посока или дори да деактивирате клипборда изцяло.

По подобен начин, директивата на „Настройки за печат“ Той решава дали съдържанието може да се отпечатва от контейнера и в какви формати. Можете да активирате печат към PDF, XPS, свързани локални принтери или предварително дефинирани мрежови принтери или да блокирате всички възможности за печат в MDAG.

Опцията „Признайте постоянството“ Тази настройка определя дали потребителските данни (изтеглени файлове, „бисквитки“, „любими“ и др.) се запазват между сесиите на Application Guard или се изчистват всеки път, когато средата се изключи. Активирането на тази настройка в управляван режим позволява на контейнера да запази тази информация за бъдещи сесии; деактивирането ѝ води до практически чиста среда при всяко стартиране.

Ако решите да спрете запазването на данни по-късно, можете да използвате инструмента wdagtool.exe с параметрите cleanup o cleanup RESET_PERSISTENCE_LAYER да нулира контейнера и да изхвърли информацията, генерирана от служителя.

Друга ключова политика е „Активиране на Application Guard в управляван режим“Този раздел определя дали функцията се отнася за Microsoft Edge, Microsoft Office или и за двете. Тази политика няма да влезе в сила, ако устройството не отговаря на предварителните изисквания или е конфигурирана мрежова изолация (с изключение на някои скорошни версии на Windows, където тя вече не е необходима за Edge, ако са инсталирани специфични актуализации на базата знания).

Споделяне на файлове, сертификати, камера и одит

В допълнение към гореспоменатите политики, има и други директиви, които засягат как контейнерът е свързан с хост системата и с периферните устройства.

политика „Разрешаване на изтеглянето на файлове в операционната система на хоста“ Той решава дали потребителят може да запазва файлове, изтеглени от изолираната среда, към хоста. Когато е активиран, създава споделен ресурс между двете среди, което също така позволява определени качвания от хоста към контейнера – много полезно, но такова, което трябва да се оцени от гледна точка на сигурността.

Конфигурацията на „Активиране на хардуерно ускорено рендиране“ Активира използването на графичния процесор (GPU) чрез vGPU за подобряване на графичната производителност, особено при възпроизвеждане на видео и тежко съдържание. Ако няма наличен съвместим хардуер, Application Guard ще се върне към рендериране от процесора. Активирането на тази опция на устройства с ненадеждни драйвери обаче може да увеличи риска за хоста.

Има и директива за разреши достъп до камерата и микрофона в контейнера. Активирането му позволява на приложения, работещи под MDAG, да използват тези устройства, улеснявайки видео разговори или конференции от изолирани среди, въпреки че също така отваря вратата за заобикаляне на стандартните разрешения, ако контейнерът е компрометиран.

Друга политика позволява Application Guard използвайте специфични органи за сертифициране на корен на хостаТова прехвърля към контейнера сертификатите, чийто пръстов отпечатък е бил зададен. Ако това е деактивирано, контейнерът няма да наследи тези сертификати, което може да блокира връзките към определени вътрешни услуги, ако те разчитат на частни оторизации.

И накрая, опцията за „Разрешаване на събития за одит“ Това води до регистриране на системни събития, генерирани в контейнера, и наследяване на правилата за одит на устройства, така че екипът по сигурността да може да проследява какво се случва в Application Guard от регистрационните файлове на хоста.

Интеграция с рамки за поддръжка и персонализиране

Когато нещо се обърка в Application Guard, потребителят вижда диалогов прозорец за грешка По подразбиране това включва само описание на проблема и бутон за докладването му на Microsoft чрез Центъра за обратна връзка. Този интерфейс обаче може да бъде персонализиран, за да се улесни вътрешната поддръжка.

По маршрута Administrative Templates\Windows Components\Windows Security\Enterprise Customization Има политика, която администраторът може да използва Добавете информация за контакт с отдела за поддръжкаВътрешни връзки или кратки инструкции. По този начин, когато служител види грешката, той веднага ще знае с кого да се свърже или какви стъпки да предприеме.

Често задавани въпроси и често срещани проблеми с Application Guard

Използването на Application Guard генерира доста повтарящи се въпроси в реални внедрявания, особено по отношение на производителността, съвместимостта и поведението на мрежата.

Един от първите въпроси е дали може да се активира в устройства само с 4 GB RAMВъпреки че има сценарии, в които може да работи, на практика производителността обикновено страда значително, тъй като контейнерът е на практика друга операционна система, работеща паралелно.

Друг чувствителен момент е интеграцията с мрежови прокси сървъри и PAC скриптовеСъобщения като „Не може да се разрешат външни URL адреси от браузъра MDAG: ERR_CONNECTION_REFUSED“ или „ERR_NAME_NOT_RESOLVED“ при неуспешен достъп до PAC файла обикновено показват проблеми с конфигурацията между контейнера, проксито и правилата за изолация.

Съществуват и проблеми, свързани с IME (редактори на методи за въвеждане) не се поддържат В някои версии на Windows, конфликтите с драйвери за криптиране на дискове или решения за контрол на устройства пречат на контейнера да завърши зареждането.

Някои администратори срещат грешки, като например „ГРЕШКА_НА_ОГРАНИЧЕНИЕ_НА_ВИРТУАЛНИЯ_ДИСК“ Ако има ограничения, свързани с виртуални дискове, или неуспехи при деактивиране на технологии като хипернишков режим, които косвено засягат Hyper-V и, по-скоро, MDAG.

Повдигат се и въпроси за това как доверявай се само на определени поддомейни, относно ограниченията за размер на списъка с домейни или как да се деактивира поведението, при което разделът за хостове се затваря автоматично при преминаване към сайт, който се отваря в контейнера.

Защита на приложенията, режим на IE, Chrome и Office

В среди, където Режим на IE в Microsoft EdgeApplication Guard се поддържа, но Microsoft не очаква широко разпространение на функцията в този режим. Препоръчително е режимът на IE да се запази за [специфични приложения/употреби]. надеждни вътрешни сайтове и използвайте MDAG само за уебсайтове, които се считат за външни и ненадеждни.

Важно е да се уверите, че всички сайтове, конфигурирани в режим на IEМрежата, заедно със свързаните с нея IP адреси, също трябва да бъдат включени в политиките за изолиране на мрежата като надеждни ресурси. В противен случай може да възникне неочаквано поведение при комбиниране на двете функции.

Що се отнася до Chrome, много потребители питат дали е необходим инсталирайте разширението Application GuardОтговорът е не: функционалността е вградена в Microsoft Edge, а старото разширение за Chrome не е поддържана конфигурация при работа с Edge.

За документи на Office, Application Guard позволява Отваряне на Word, Excel и PowerPoint файлове в изолиран контейнер когато файловете се считат за ненадеждни, като по този начин се предотвратява достигането на злонамерени макроси или други вектори на атака до хоста. Тази защита може да се комбинира с други функции на Defender и политики за доверие на файлове.

Има дори опция за групови правила, която позволява на потребителите да „доверяват“ определени файлове, отворени в Application Guard, така че те да се третират като безопасни и да излизат от контейнера. Тази възможност трябва да се управлява внимателно, за да се избегне загубата на предимството на изолацията.

Изтегляния, клипборд, любими и разширения: потребителско изживяване

От гледна точка на потребителя, някои от най-практичните въпроси се въртят около какво може и какво не може да се прави вътре в контейнераособено при изтегляния, копиране/поставяне и разширения.

В Windows 10 Enterprise 1803 и по-нови версии (с нюанси в зависимост от изданието) е възможно разреши изтеглянето на документи от контейнера към хоста Тази опция не беше налична в предишни версии или в някои компилации на издания като Pro, въпреки че можехте да отпечатате в PDF или XPS и да запазите резултата на хост устройството.

Що се отнася до клипборда, корпоративната политика може да го позволи Изображенията във формат BMP и текстът се копират до и от изолираната среда. Ако служителите се оплакват, че не могат да копират съдържание, тези политики обикновено ще трябва да бъдат преразгледани.

Много потребители също питат защо Те не виждат любимите си или разширенията си в Edge сесията под Application Guard. Това обикновено се дължи на деактивирана синхронизация на отметки или на това, че политиката за разширения в MDAG не е активирана. След като тези опции бъдат коригирани, браузърът в контейнера може да наследява отметки и определени разширения, винаги с ограниченията, споменати по-рано.

Има дори случаи, в които разширението се появява, но „не работи“. Ако то разчита на вградени компоненти за обработка на съобщения, тази функционалност няма да бъде налична в контейнера и разширението ще показва ограничено или напълно неработещо поведение.

Графична производителност, HDR и хардуерно ускорение

Друга тема, която често се повдига, е тази за възпроизвеждане на видео и разширени функции като HDR в Application Guard. Когато работи на Hyper-V, контейнерът не винаги има директен достъп до възможностите на графичния процесор.

За да работи правилно HDR възпроизвеждането в изолирана среда, е необходимо Хардуерното ускорение на vGPU е активирано чрез политиката за ускорено рендериране. В противен случай системата ще разчита на процесора и някои опции, като HDR, няма да се показват в настройките на плейъра или уебсайта.

Дори при активирано ускорение, ако графичният хардуер не се счита за достатъчно сигурен или съвместим, Application Guard може автоматично връщане към софтуерно рендиранекоето влияе на плавността и разхода на батерия в лаптопите.

Някои внедрявания показаха проблеми с фрагментацията на TCP и конфликти с VPN мрежи, които сякаш никога не се стартират и не работят когато трафикът преминава през контейнера. В тези случаи обикновено е необходимо да се прегледат мрежовите политики, MTU, конфигурацията на прокси сървъра и понякога да се коригира как MDAG се интегрира с други вече инсталирани компоненти за сигурност.

Поддръжка, диагностика и докладване на инциденти

Когато въпреки всичко възникнат проблеми, които не могат да бъдат решени вътрешно, Microsoft препоръчва отворете специален билет за поддръжка за Microsoft Defender Application Guard. Важно е предварително да се събере информация от страницата за диагностика, свързаните регистрационни файлове на събития и подробности за конфигурацията, приложена към устройството.

Използването на страницата edge://application-guard-internals, комбиниран с активирани събития за одит и пускането на инструменти като wdagtool.exeОбикновено това предоставя на екипа по поддръжка достатъчно данни, за да локализира източника на проблема, независимо дали става въпрос за лошо дефинирана политика, конфликт с друг продукт за сигурност или хардуерно ограничение.

В допълнение към всичко това, потребителите могат да персонализират съобщенията за грешки и информацията за контакт в диалоговия прозорец за техническа поддръжка на Windows Security, което улеснява намирането на правилното решение. Не се зацикляйте, без да знаете към кого да се обърнете когато контейнерът не успее да стартира или не се отваря както се очаква.

Като цяло, Microsoft Defender Application Guard предлага мощна комбинация от хардуерна изолация, подробен контрол на правилата и диагностични инструменти, които, когато се използват правилно, могат значително да намалят риска, свързан с преглеждането на ненадеждни сайтове или отварянето на документи от съмнителни източници, без да се прави компромис с ежедневната производителност.