- Microsoft Defender Application Guard izoluje nepouzdane web-lokacije i dokumente u Hyper-V kontejneru kako bi zaštitio sistem i korporativne podatke.
- Za njegovu implementaciju potrebna su specifična izdanja i licence za Windows, kao i usklađenost sa zahtjevima za virtualizaciju i konfiguraciju mreže.
- Sigurnost i korisničko iskustvo kontroliraju se putem grupnih politika koje reguliraju međuspremnik, preuzimanja, ispis, ekstenzije i pristup resursima.
- Alati za dijagnostiku, reviziju i podršku omogućavaju identifikaciju konflikata, optimizaciju performansi i održavanje ravnoteže između zaštite i produktivnosti.
Ako radite s osjetljivim informacijama ili svakodnevno pregledavate sumnjive web stranice, Microsoft Defender Application Guard (MDAG) To je jedna od onih Windows funkcija koje mogu napraviti razliku između straha i katastrofe. To nije samo još jedan antivirusni program, već dodatni sloj koji izoluje prijetnje od vašeg sistema i podataka.
U sljedećim redovima ćete jasno vidjeti Šta je tačno Application Guard, kako interno funkcioniše, na kojim uređajima ga možete koristiti i kako ga konfigurirati? Pokrit ćemo i jednostavne i poslovne implementacije. Također ćemo pregledati zahtjeve, grupne politike, uobičajene greške i razna često postavljana pitanja koja se javljaju prilikom početka rada s ovom tehnologijom.
Šta je Microsoft Defender Application Guard i kako funkcioniše?
Microsoft Defender Application Guard je napredna sigurnosna funkcija dizajnirana da Izolujte nepouzdane web stranice i dokumente u virtuelnom kontejneru Bazirano na Hyper-V-u. Umjesto pokušaja blokiranja svakog napada pojedinačno, kreira mali "računar za jednokratnu upotrebu" gdje smješta sumnjivi materijal.
Taj kontejner radi u odvojeno od glavnog operativnog sistemasa vlastitom ojačanom instancom Windowsa i bez direktnog pristupa datotekama, akreditivima ili internim resursima kompanije. Čak i ako zlonamjerna stranica uspije iskoristiti ranjivost preglednika ili Officea, šteta ostaje unutar tog izoliranog okruženja.
U slučaju Microsoft Edgea, Application Guard osigurava da bilo koja domena koja nije označena kao pouzdana Automatski se otvara unutar tog kontejnera. Za Office, isto radi s Word, Excel i PowerPoint dokumentima koji dolaze iz izvora koje organizacija ne smatra sigurnima.
Ključno je da je ova izolacija hardverskog tipa: Hyper-V stvara nezavisno okruženje od hosta, što drastično smanjuje mogućnost da napadač pređe sa izolovane sesije na stvarni sistem, ukrade podatke kompanije ili iskoristi pohranjene akreditive.
Nadalje, kontejner se tretira kao anonimno okruženje: Ne nasljeđuje kolačiće, lozinke ili sesije korisnika.Ovo znatno otežava život napadačima koji se oslanjaju na tehnike lažiranja podataka ili krađe sesije.
Preporučeni tipovi uređaja za korištenje Application Guarda
Iako se Application Guard tehnički može pokrenuti u različitim scenarijima, posebno je dizajniran za korporativna okruženja i upravljani uređajiMicrosoft razlikuje nekoliko vrsta opreme gdje MDAG ima najviše smisla.
Prije svega tu su radna površina preduzeća pridružena domeniNjima se obično upravlja pomoću Configuration Managera ili Intunea. To su tradicionalni kancelarijski računari sa standardnim korisnicima i povezani na žičanu korporativnu mrežu, gdje rizik uglavnom dolazi od svakodnevnog pretraživanja interneta.
Onda imamo korporativni laptopiOvo su također uređaji povezani s domenom i centralno upravljani, ali se povezuju na interne ili eksterne Wi-Fi mreže. Ovdje se rizik povećava jer uređaj napušta kontroliranu mrežu i izložen je Wi-Fi-ju u hotelima, aerodromima ili kućnim mrežama.
Druga grupa su BYOD (Donesi svoj vlastiti uređaj) laptopi, lična oprema koja ne pripada kompaniji, ali se njome upravlja putem rješenja poput Intunea. Obično su u rukama korisnika s lokalnim administratorskim privilegijama, što povećava površinu za napad i čini korištenje izolacije za pristup korporativnim resursima privlačnijim.
Konačno, tu su potpuno neupravljani lični uređajiTo su web stranice koje ne pripadaju nijednoj domeni i gdje korisnik ima apsolutnu kontrolu. U tim slučajevima, Application Guard se može koristiti u samostalnom načinu rada (posebno za Edge) kako bi se pružio dodatni sloj zaštite prilikom posjete potencijalno opasnim web stranicama.
Potrebna izdanja i licenciranje sistema Windows
Prije nego što počnete s konfiguracijom bilo čega, važno je da ovo bude jasno. U kojim izdanjima Windowsa možete koristiti Microsoft Defender Application Guard i sa kojim licencnim pravima.
Za Samostalni način rada na Edgeu (tj. korištenje Application Guarda samo kao sandboxa preglednika bez naprednog upravljanja preduzećem), podržano je na Windowsu:
- Windows pro
- Windows Enterprise
- Windows Pro Education / SE
- Windows Education
U ovom scenariju, prava na MDAG licencu se dodjeljuju ako posjedujete licence kao što su Windows Pro / Pro Education / SE, Windows Enterprise E3 ili E5 i Windows Education A3 ili A5U praksi, na mnogim profesionalnim računarima sa Windows Pro operativnim sistemom već možete aktivirati ovu funkciju za osnovnu upotrebu.
Za način rada na rubu preduzeća i korporativna administracija (gdje dolaze u obzir napredne direktive i složeniji scenariji), podrška je smanjena:
- Windows Enterprise y Windows Education Application Guard je podržan u ovom režimu.
- Windows Pro i Windows Pro Education/SE Ne. Imaju podršku za ovu enterprise varijantu.
Što se tiče licenci, ova naprednija korporativna upotreba zahtijeva Windows Enterprise E3/E5 ili Windows Education A3/A5Ako vaša organizacija koristi samo Pro pretplatu bez Enterprise pretplata, bit ćete ograničeni na samostalni Edge način rada.
Sistemski preduslovi i kompatibilnost
Pored Windows izdanja, da bi Application Guard radio stabilno, potrebno je da ispunjavate niz tehničkih zahtjeva vezano za verziju, hardver i podršku za virtualizaciju.
Što se tiče operativnog sistema, obavezno ga je koristiti Windows 10 1809 ili noviji (Ažuriranje iz oktobra 2018.) ili ekvivalentna verzija sistema Windows 11. Nije namijenjen za serverske SKU-ove ili znatno smanjene varijante; jasno je da je usmjeren na klijentske računare.
Na hardverskom nivou, oprema mora imati omogućena hardverska virtualizacija (Podrška za Intel VT-x/AMD-V i prevođenje adresa drugog nivoa, kao što je SLAT), budući da je Hyper-V ključna komponenta za kreiranje izolovanog kontejnera. Bez ovog sloja, MDAG neće moći da postavi svoje sigurno okruženje.
Takođe je neophodno imati kompatibilni mehanizmi administracije Ako ćete ga koristiti centralno (na primjer, Microsoft Intune ili Configuration Manager), kako je detaljno opisano u zahtjevima za poslovni softver. Za jednostavne implementacije, sam Windows Security interfejs će biti dovoljan.
Na kraju, imajte na umu da Application Guard je u procesu ukidanja. Za Microsoft Edge za preduzeća, te da se određeni API-ji povezani sa samostalnim aplikacijama više neće ažurirati. Uprkos tome, to je i dalje vrlo rasprostranjeno u okruženjima gdje je potrebno kratkoročno i srednjoročno ograničavanje rizika.
Primjer upotrebe: sigurnost naspram produktivnosti
Jedan od klasičnih problema u sajber sigurnosti je pronalaženje prave ravnoteže između istinski zaštititi, a ne blokirati korisnikaAko dozvolite samo nekoliko "blagoslovljenih" web stranica, smanjujete rizik, ali ubijate produktivnost. Ako ublažite ograničenja, nivo izloženosti naglo raste.
Preglednik je jedan od glavne površine za napad posla, jer mu je svrha otvaranje nepouzdanog sadržaja iz širokog spektra izvora: nepoznatih web stranica, preuzimanja, skripti trećih strana, agresivnog oglašavanja itd. Bez obzira koliko poboljšavate engine, uvijek će postojati nove ranjivosti koje će neko pokušati iskoristiti.
U ovom modelu, administrator precizno definira koje domene, IP raspone i cloud resurse smatra pouzdanima. Sve što nije na toj listi automatski ide u kontejnerTamo korisnik može pretraživati internet bez straha da će kvar preglednika ugroziti ostale interne sisteme.
Rezultat je relativno fleksibilna navigacija za zaposlenika, ali sa strogo čuvana granica između onoga što je nepouzdan vanjski svijet i onoga što je korporativno okruženje koje se mora zaštititi po svaku cijenu.
Nedavne funkcije i ažuriranja za Application Guard u pregledniku Microsoft Edge
Kroz različite verzije Microsoft Edgea zasnovane na Chromiumu, Microsoft je dodavao Specifična poboljšanja za Application Guard s ciljem poboljšanja korisničkog iskustva i davanja administratoru veće kontrole.
Jedna od važnih novih karakteristika je blokiranje otpremanja datoteka iz kontejneraOd verzije Edge 96, organizacije su mogle spriječiti korisnike da otpremaju dokumente sa svog lokalnog uređaja na obrazac ili web servis unutar izolirane sesije, koristeći politiku ApplicationGuardUploadBlockingEnabledOvo smanjuje rizik od curenja informacija.
Još jedno veoma korisno poboljšanje je pasivni način rada, dostupno od Edge 94. Kada se aktivira pravilnikom ApplicationGuardPassiveModeEnabledApplication Guard prestaje forsirati listu web-mjesta i omogućava korisniku da "normalno" pregleda Edge, iako je funkcija i dalje instalirana. To je praktičan način da tehnologija bude spremna bez preusmjeravanja prometa.
Dodata je i mogućnost sinhronizujte favorite hosta sa kontejneromOvo je nešto što su mnogi korisnici tražili kako bi izbjegli dva potpuno nepovezana iskustva pregledavanja. Od Edgea 91, politika ApplicationGuardFavoritesSyncEnabled Omogućava novim markerima da se pojave ravnopravno unutar izolovanog okruženja.
U području umrežavanja, Edge 91 je uključio podršku za označite promet koji napušta kontejner zahvaljujući direktivi ApplicationGuardTrafficIdentificationEnabledOvo omogućava kompanijama da identifikuju i filtriraju taj saobraćaj putem proxyja, na primjer, da ograniče pristup vrlo malom skupu web stranica prilikom pregledavanja sa MDAG-a.
Dvostruki proxy, ekstenzije i drugi napredni scenariji
Neke organizacije koriste Application Guard u složenijim implementacijama gdje im je potreban pažljivo pratiti kontejnerski promet i mogućnosti preglednika unutar tog izoliranog okruženja.
Za ove slučajeve, Edge ima podršku za dvostruki proxy Od stabilne verzije 84 nadalje, konfigurabilno putem direktive ApplicationGuardContainerProxyIdeja je da se promet koji potiče iz kontejnera usmjerava kroz određeni proxy, različit od onog koji koristi host, što olakšava primjenu nezavisnih pravila i strožije inspekcije.
Još jedan ponavljajući zahtjev kupaca bio je mogućnost koristite ekstenzije unutar kontejneraOd Edge 81 verzije, ovo je moguće, tako da se blokatori oglasa, interna korporativna proširenja ili drugi alati mogu pokretati sve dok su u skladu s definiranim pravilima. Potrebno je deklarirati updateURL ekstenzije u pravilima izolacije mreže tako da se smatra neutralnim resursom dostupnim iz Application Guarda.
Prihvaćeni scenariji uključuju prisilna instalacija ekstenzija na hostu Ove ekstenzije se zatim pojavljuju u kontejneru, omogućavajući uklanjanje određenih ekstenzija ili blokiranje drugih koje se smatraju nepoželjnim iz sigurnosnih razloga. Međutim, ovo se ne odnosi na ekstenzije koje se oslanjaju na izvorne komponente za obradu poruka. Nisu kompatibilni unutar MDAG-a.
Da bi se pomoglo u dijagnosticiranju problema s konfiguracijom ili ponašanjem, a specifična dijagnostička stranica en edge://application-guard-internalsOdatle možete provjeriti, između ostalog, da li se određeni URL smatra pouzdanim ili ne u skladu s pravilima koja se stvarno primjenjuju na korisnika.
Konačno, što se tiče ažuriranja, novi Microsoft Edge će Takođe se ažurira unutar kontejnera.Prati isti kanal i verziju kao i glavni preglednik. Više ne zavisi od ciklusa ažuriranja operativnog sistema, kao što je bio slučaj sa Legacy verzijom Edgea, što znatno pojednostavljuje održavanje.
Kako omogućiti Microsoft Defender Application Guard u Windowsu
Ako ga želite pokrenuti na kompatibilnom uređaju, prvi korak je aktivirajte Windows funkciju odgovarajuće. Proces je, na osnovnom nivou, prilično jednostavan.
Najbrži način je otvaranje dijaloga Pokreni pomoću Win + R, pisati appwiz.cpl i pritisnite Enter da biste direktno otišli na panel "Programi i funkcije". Odatle ćete, s lijeve strane, pronaći vezu "Uključivanje ili isključivanje funkcija Windowsa".
Na listi dostupnih komponenti, morat ćete pronaći unos „Zaštitnik aplikacija Microsoft Defendera“ i odaberite ga. Nakon prihvatanja, Windows će preuzeti ili omogućiti potrebne binarne datoteke i zatražiti od vas da ponovo pokrenete računar kako biste primijenili promjene.
Nakon ponovnog pokretanja, na kompatibilnim uređajima s ispravnim verzijama Edgea, trebali biste moći Otvorite nove prozore ili izolirane kartice putem opcija preglednika ili, u upravljanim okruženjima, automatski prema konfiguraciji liste nepouzdanih web-mjesta.
Ako ne vidite opcije poput "Novi prozor Application Guard" ili se kontejner ne otvara, moguće je da Upute koje slijedite mogu biti zastarjele.To bi moglo biti zato što vaše izdanje Windowsa nije podržano, nemate omogućen Hyper-V ili je politika vaše organizacije onemogućila tu funkciju.
Konfiguriranje Application Guarda pomoću grupnih pravila
U poslovnim okruženjima, svaki dio opreme se ne konfiguriše ručno; umjesto toga se koristi unaprijed definisani sistem. grupna politika (GPO) ili konfiguracijske profile u Intuneu za centralno definiranje pravila. Application Guard se oslanja na dva glavna konfiguracijska bloka: izolaciju mreže i parametre specifične za aplikaciju.
Postavke izolacije mreže nalaze se u Computer Configuration\Administrative Templates\Network\Network IsolationOvdje su, na primjer, definirani sljedeći pojmovi: interni mrežni rasponi i domene koje se smatraju domenama kompanijekoji će označiti granicu između onoga što je pouzdano i onoga što treba baciti u kantu za smeće.
Jedna od ključnih politika je ona o "Intervali privatne mreže za aplikacije"Ovaj odjeljak navodi, u listi odvojenim zarezima, IP raspone koji pripadaju korporativnoj mreži. Krajnje tačke u ovim rasponima će se otvoriti u normalnom Edge okruženju i neće biti dostupne iz Application Guard okruženja.
Još jedna važna politika je ona o „Domene resursa preduzeća hostovane u oblaku“koja koristi listu odvojenu znakom | Da bi se naznačile SaaS domene i usluge u oblaku organizacije koje treba tretirati kao interne. One će se također prikazivati na Edgeu izvan kontejnera.
Konačno, direktiva od „Domene klasifikovane kao lične i poslovne“ Omogućava vam da deklarišete domene koje se mogu koristiti i u lične i u poslovne svrhe. Ove stranice će biti dostupne i iz normalnog Edge okruženja i iz Application Guarda, prema potrebi.
Korištenje džoker znakova u postavkama izolacije mreže
Kako bi se izbjeglo pisanje svake poddomene pojedinačno, liste za izolaciju mreže podržavaju džoker znakovi u nazivima domenaOvo omogućava bolju kontrolu nad onim što se smatra pouzdanim.
Ako je jednostavno definirano contoso.comPreglednik će vjerovati samo toj specifičnoj vrijednosti, a ne drugim domenima koji je sadrže. Drugim riječima, tretirat će samo tu doslovnu vrijednost kao da pripada poslovnom subjektu. tačan korijen i ne www.contoso.com niti varijante.
Ako je navedeno www.contoso.com, pa samo taj određeni domaćin smatrat će se pouzdanim. Druge poddomene kao što su shop.contoso.com Ostali bi izostavljeni i mogli bi završiti u kontejneru za smeće.
S formatom .contoso.com (tačka prije) ukazuje na to Svaka domena koja završava na „contoso.com“ je pouzdana. Ovo uključuje od contoso.com gore www.contoso.com ili čak lanci poput spearphishingcontoso.comDakle, mora se koristiti s oprezom.
Konačno, ako se koristi ..contoso.com (početna dvotačka), svi nivoi hijerarhije koji se nalaze lijevo od domene su pouzdani, na primjer shop.contoso.com o us.shop.contoso.com, ali Korijen "contoso.com" nije pouzdan samo po sebi. To je finiji način kontrole onoga što se smatra korporativnim resursom.
Glavne direktive specifične za Application Guard
Drugi glavni skup postavki nalazi se u Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application GuardOdavde se upravlja državom detaljno ponašanje kontejnera i šta korisnik može ili ne može uraditi unutar njega.
Jedna od najrelevantnijih politika je ona o "Postavke međuspremnika"Ovo kontrolira da li je moguće kopiranje i lijepljenje teksta ili slika između hosta i Application Guarda. U upravljanom načinu rada možete dozvoliti kopiranje samo iz kontejnera prema van, samo u obrnutom smjeru ili čak potpuno onemogućiti međuspremnik.
Slično tome, direktiva od "Postavke štampanja" Odlučuje da li se sadržaj može štampati iz kontejnera i u kojim formatima. Možete omogućiti štampanje u PDF, XPS, povezane lokalne štampače ili unaprijed definirane mrežne štampače ili blokirati sve mogućnosti štampanja unutar MDAG-a.
Opcija "Priznajte upornost" Ova postavka određuje da li se korisnički podaci (preuzete datoteke, kolačići, favoriti itd.) zadržavaju između sesija Application Guarda ili se brišu svaki put kada se okruženje isključi. Omogućavanje ove postavke u upravljanom režimu omogućava kontejneru da zadrži ove informacije za buduće sesije; onemogućavanje ove postavke rezultira praktično čistim okruženjem pri svakom pokretanju.
Ako kasnije odlučite da prestanete dozvoljavati perzistentnost, možete koristiti alat wdagtool.exe s parametrima cleanup o cleanup RESET_PERSISTENCE_LAYER resetirati kontejner i odbaciti informacije koje je generirao zaposlenik.
Druga ključna politika je "Aktivirajte Application Guard u upravljanom načinu rada"Ovaj odjeljak određuje da li se funkcija primjenjuje na Microsoft Edge, Microsoft Office ili oba. Ova politika neće stupiti na snagu ako uređaj ne ispunjava preduvjete ili ima konfiguriranu mrežnu izolaciju (osim u određenim novijim verzijama Windowsa gdje više nije potrebna za Edge ako su instalirana određena ažuriranja baze znanja).
Dijeljenje datoteka, certifikati, kamera i revizija
Pored gore navedenih politika, postoje i druge direktive koje utiču na kako se kontejner odnosi na host sistem i sa perifernim uređajima.
Politika "Dozvoli preuzimanje datoteka na glavni operativni sistem" Odlučuje da li korisnik može sačuvati datoteke preuzete iz izolovanog okruženja na host. Kada je omogućen, kreira zajednički resurs između oba okruženja, što također omogućava određene prenose sa hosta na kontejner - vrlo korisno, ali nešto što treba procijeniti sa sigurnosne perspektive.
Konfiguracija "Omogući hardverski ubrzano renderiranje" Omogućava korištenje GPU-a putem vGPU-a radi poboljšanja grafičkih performansi, posebno prilikom reprodukcije videa i teškog sadržaja. Ako nije dostupan kompatibilan hardver, Application Guard će se vratiti na CPU renderiranje. Međutim, omogućavanje ove opcije na uređajima s nepouzdanim upravljačkim programima može povećati rizik za hosta.
Postoji i direktiva za dozvoli pristup kameri i mikrofonu unutar kontejnera. Omogućavanje ove opcije omogućava aplikacijama koje rade pod MDAG-om da koriste ove uređaje, olakšavajući video pozive ili konferencije iz izolovanih okruženja, iako također otvara vrata zaobilaženju standardnih dozvola ako je kontejner kompromitovan.
Druga politika dozvoljava zaštitu aplikacija koristite specifične autoritete za certifikaciju korijena hostaOvo prenosi u kontejner certifikate čiji je otisak prsta određen. Ako je ovo onemogućeno, kontejner neće naslijeđivati te certifikate, što može blokirati veze s određenim internim servisima ako se oni oslanjaju na privatne autorizacije.
Konačno, opcija za "Dozvoli događaje revizije" To uzrokuje zapisivanje sistemskih događaja generiranih u kontejneru i nasljeđivanje politika revizije uređaja, tako da sigurnosni tim može pratiti šta se dešava unutar Application Guarda iz zapisnika hosta.
Integracija s okvirima za podršku i prilagođavanje
Kada nešto krene po zlu u funkciji Application Guard, korisnik vidi dijaloški okvir za grešku Podrazumevano, ovo uključuje samo opis problema i dugme za prijavljivanje problema Microsoftu putem Centra za povratne informacije. Međutim, ovo iskustvo se može prilagoditi kako bi se olakšala interna podrška.
Na ruti Administrative Templates\Windows Components\Windows Security\Enterprise Customization Postoji politika koju administrator može koristiti Dodajte kontakt informacije za podrškuInterni linkovi ili kratke upute. Na ovaj način, kada zaposlenik vidi grešku, odmah će znati koga treba kontaktirati ili koje korake treba poduzeti.
Često postavljana pitanja i uobičajeni problemi sa Application Guardom
Korištenje Application Guarda generira dobar dio ponavljajuća pitanja u stvarnim primjenama, posebno u pogledu performansi, kompatibilnosti i ponašanja mreže.
Jedno od prvih pitanja je da li se to može omogućiti u uređaji sa samo 4 GB RAM-aIako postoje scenariji u kojima bi to moglo funkcionirati, u praksi performanse obično znatno pate, budući da je kontejner praktično još jedan operativni sistem koji radi paralelno.
Još jedna osjetljiva tačka je integracija sa mrežni proxyji i PAC skriptePoruke poput „Nije moguće razriješiti vanjske URL-ove iz MDAG preglednika: ERR_CONNECTION_REFUSED“ ili „ERR_NAME_NOT_RESOLVED“ prilikom neuspjelog pristupa PAC datoteci obično ukazuju na probleme s konfiguracijom između kontejnera, proxyja i pravila izolacije.
Također postoje problemi vezani za IME-ovi (uređivači metoda unosa) nisu podržani U određenim verzijama Windowsa, sukobi s upravljačkim programima za šifriranje diska ili rješenjima za kontrolu uređaja sprječavaju završetak učitavanja kontejnera.
Neki administratori se suočavaju s greškama kao što su "GREŠKA_OGRANIČENJE_VIRTUALNOG_DISKA" Ako postoje ograničenja vezana za virtuelne diskove ili greške u onemogućavanju tehnologija kao što je hyperthreading koje indirektno utiču na Hyper-V i, posledično, na MDAG.
Također se postavljaju pitanja o tome kako vjerovati samo određenim poddomenama, u vezi s ograničenjima veličine liste domena ili kako onemogućiti ponašanje pri kojem se kartica hosta automatski zatvara prilikom navigacije do web-lokacije koja se otvara u kontejneru.
Zaštitnik aplikacija, IE način rada, Chrome i Office
U okruženjima gdje se IE način rada u Microsoft EdgeuApplication Guard je podržan, ali Microsoft ne očekuje široku upotrebu ove funkcije u ovom režimu. Preporučuje se da se IE režim rezerviše za [određene aplikacije/upotrebe]. pouzdane interne stranice i koristite MDAG samo za web stranice koje se smatraju vanjskim i nepouzdanim.
Važno je da se u to uverite sve stranice konfigurirane u IE načinu radaMreža, zajedno sa svojim pridruženim IP adresama, također mora biti uključena u politike izolacije mreže kao pouzdani resursi. U suprotnom, može doći do neočekivanog ponašanja prilikom kombinovanja obje funkcije.
Što se tiče Chromea, mnogi korisnici pitaju je li on potreban instalirajte ekstenziju Application GuardOdgovor je ne: funkcionalnost je izvorno integrirana u Microsoft Edge, a stara Chrome ekstenzija nije podržana konfiguracija pri radu s Edgeom.
Za Office dokumente, Application Guard omogućava Otvaranje Word, Excel i PowerPoint datoteka u izolovanom kontejneru kada se datoteke smatraju nepouzdanim, čime se sprječava da zlonamjerni makroi ili drugi vektori napada dođu do hosta. Ova zaštita se može kombinirati s drugim funkcijama Defendera i pravilima o povjerenju datoteka.
Postoji čak i opcija grupnih pravila koja korisnicima omogućava da "vjeruju" određenim datotekama otvorenim u Application Guardu, tako da se tretiraju kao sigurne i izlaze iz kontejnera. Ovu mogućnost treba pažljivo upravljati kako bi se izbjegao gubitak prednosti izolacije.
Preuzimanja, međuspremnik, favoriti i ekstenzije: korisničko iskustvo
Sa stanovišta korisnika, neka od najpraktičnijih pitanja se vrte oko Šta se smije, a šta ne smije raditi unutar kontejneraposebno kod preuzimanja, kopiranja/lijepljenja i ekstenzija.
U Windows 10 Enterprise 1803 i novijim verzijama (s nijansama ovisno o izdanju), moguće je dozvoli preuzimanje dokumenata iz kontejnera na host Ova opcija nije bila dostupna u prethodnim verzijama ili u određenim verzijama poput Pro, iako je bilo moguće ispisati u PDF ili XPS formatu i sačuvati rezultat na host uređaju.
Što se tiče međuspremnika, korporativna politika može to dozvoliti Slike u BMP formatu i tekst se kopiraju do i iz izolovanog okruženja. Ako se zaposleni žale da ne mogu kopirati sadržaj, ove politike će obično trebati preispitati.
Mnogi korisnici se također pitaju zašto Ne vide svoje favorite ili ekstenzije u Edge sesiji pod Application Guard. To je obično zbog onemogućene sinhronizacije oznaka ili neomogućene politike proširenja u MDAG-u. Nakon što se ove opcije prilagode, preglednik u kontejneru može naslijeđivati oznake i određena proširenja, uvijek uz ranije spomenuta ograničenja.
Postoje čak i slučajevi kada se ekstenzija pojavi, ali "ne radi". Ako se oslanja na izvorne komponente za rukovanje porukama, ta funkcionalnost neće biti dostupna unutar kontejnera, a ekstenzija će pokazivati ograničeno ili potpuno neoperativno ponašanje.
Grafičke performanse, HDR i hardversko ubrzanje
Još jedna tema koja se često pojavljuje je ona o reprodukcija videa i napredne funkcije poput HDR-a unutar Application Guarda. Kada se pokreće na Hyper-V-u, kontejner nema uvijek direktan pristup mogućnostima GPU-a.
Da bi HDR reprodukcija ispravno funkcionirala u izoliranom okruženju, potrebno je da vGPU hardversko ubrzanje je omogućeno putem politike ubrzanog renderiranja. U suprotnom, sistem će se oslanjati na CPU, a određene opcije poput HDR-a neće se pojaviti u postavkama playera ili web stranice.
Čak i sa omogućenim ubrzanjem, ako se grafički hardver ne smatra dovoljno sigurnim ili kompatibilnim, Application Guard može automatski povratak na softversko renderiranješto utiče na fluidnost i potrošnju baterije kod laptopa.
Neke implementacije su pokazale probleme sa fragmentacijom TCP-a i konfliktima sa VPN-ovi koji se nikad ne pokreću i ne rade kada saobraćaj prolazi kroz kontejner. U tim slučajevima, obično je potrebno pregledati mrežne politike, MTU, konfiguraciju proxyja, a ponekad i prilagoditi način na koji se MDAG integrira s drugim već instaliranim sigurnosnim komponentama.
Podrška, dijagnoza i izvještavanje o incidentima
Kada se, uprkos svemu, pojave problemi koji se ne mogu riješiti interno, Microsoft preporučuje otvorite određeni tiket za podršku za Microsoft Defender Application Guard. Važno je unaprijed prikupiti informacije sa stranice za dijagnostiku, povezanih zapisnika događaja i detalja o konfiguraciji primijenjenoj na uređaj.
Korištenje stranice edge://application-guard-internals, u kombinaciji sa omogućeni događaji revizije i izdavanje alata kao što su wdagtool.exeObično pruža timu za podršku dovoljno podataka da locira izvor problema, bilo da se radi o loše definiranoj politici, sukobu s drugim sigurnosnim proizvodom ili hardverskom ograničenju.
Pored svega ovoga, korisnici mogu prilagoditi poruke o greškama i kontakt informacije u dijaloškom okviru tehničke podrške za Windows sigurnost, što im olakšava pronalaženje pravog rješenja. Nemojte se zaglaviti ne znajući kome da se obratite kada se kontejner ne pokrene ili se ne otvori kako se očekuje.
Sveukupno, Microsoft Defender Application Guard nudi moćnu kombinaciju izolacije hardvera, detaljne kontrole pravila i dijagnostičkih alata koji, kada se pravilno koriste, mogu značajno smanjiti rizik povezan s pregledavanjem nepouzdanih web-mjesta ili otvaranjem dokumenata iz sumnjivih izvora bez ugrožavanja svakodnevne produktivnosti.
Strastveni pisac o svijetu bajtova i tehnologije općenito. Volim dijeliti svoje znanje kroz pisanje, a to je ono što ću raditi na ovom blogu, pokazivati vam sve najzanimljivije stvari o gadžetima, softveru, hardveru, tehnološkim trendovima i još mnogo toga. Moj cilj je pomoći vam da se krećete u digitalnom svijetu na jednostavan i zabavan način.