Com utilitzar Microsoft Defender Application Guard pas a pas

Si treballes amb informació sensible o navegues per webs sospitoses diàriament, Microsoft Defender Application Guard (MDAG) és una daquestes funcions de Windows que poden marcar la diferència entre un ensurt i un desastre. No és un simple antivirus més, sinó una capa extra que aïlla allò perillós perquè no toqui el teu sistema ni les teves dades.

A les següents línies veuràs de forma clara què és exactament Application Guard, com funciona per dins, en quins equips el pots fer servir i com es configura tant en mode senzill com en desplegaments empresarials. També repassarem requisits, directives de grup, errors típics i diversos dubtes freqüents que solen sortir quan es comença a treballar amb aquesta tecnologia.

Què és Microsoft Defender Application Guard i com funciona

Microsoft Defender Application Guard és una funció de seguretat avançada dissenyada per aïllar llocs web i documents que no són de confiança en un contenidor virtual basat en Hyper-V. En lloc d'intentar bloquejar cada atac un per un, crea un petit “ordinador d'un sol ús” on ficar el sospitós.

Aquest contenidor s'executa de manera separada del sistema operatiu principal, amb la seva pròpia instància endurida de Windows i sense accés directe a fitxers, credencials ni recursos interns de l'empresa. Encara que un lloc maliciós aconsegueixi explotar una vulnerabilitat del navegador o de l'Office, el dany es queda dins d'aquest entorn aïllat.

En el cas de Microsoft Edge, Application Guard s'encarrega que qualsevol domini que no estigui marcat com de confiança s'obri automàticament dins aquest contenidor. Per Office, fa el mateix amb els documents de Word, Excel i PowerPoint que provenen de fonts que lorganització no considera segures.

La clau és que aquest aïllament és de tipus maquinari: Hyper-V crea un entorn independent del host, cosa que redueix dràsticament la possibilitat que un atacant salti de la sessió aïllada al sistema real, robi dades de l'empresa o aprofiti credencials emmagatzemades.

A més, el contenidor es tracta com un entorn anònim: no hereta les galetes, les contrasenyes ni les sessions de l'usuari, cosa que complica molt la vida als atacants que es recolzen en tècniques de suplantació o robatori de sessions.

Tipus de dispositius recomanats per utilitzar Application Guard

Tot i que tècnicament Application Guard pot arribar a executar-se en diversos escenaris, està especialment pensat per a entorns corporatius i dispositius gestionats. Microsoft distingeix diversos tipus dequips on MDAG té més sentit.

En primer lloc hi ha els sobretaula d'empresa units a domini, gestionats normalment amb Configuration Manager o Intune. Són equips tradicionals d'oficina, amb usuaris estàndard i connectats a la xarxa corporativa cablejada, on el risc ve sobretot de la navegació diària per Internet.

Després tenim els portàtils corporatius, també units a domini i administrats centralment, però que es connecten a xarxes Wi‑Fi internes o externes. Aquí el risc augmenta perquè l'equip surt de la xarxa controlada i s'exposa a Wi‑Fi d'hotels, aeroports o xarxes domèstiques.

Un altre grup són els portàtils BYOD (Bring Your Own Device), equips personals que no pertanyen a l'empresa però que es gestionen a través de solucions com Intune. Solen estar en mans d'usuaris amb permisos d'administrador local, cosa que incrementa la superfície d'atac i fa més interessant fer servir aïllament per a l'accés a recursos corporatius.

Finalment, hi ha els dispositius personals totalment no gestionats, que no pertanyen a cap domini i on lusuari és el propietari absolut. En aquests casos, Application Guard es pot utilitzar en mode independent (sobretot per a Edge) per oferir una capa de protecció addicional quan es visiten webs potencialment perilloses.

Edicions de Windows i llicenciament necessaris

Abans de lliurar-te a configurar res convé tenir clar en quines edicions de Windows pots fer servir Microsoft Defender Application Guard i amb quins drets de llicència.

Per al mode independent d'Edge (és a dir, utilitzar Application Guard només com a entorn aïllat del navegador sense administració empresarial avançada), s'admet a Windows:

• Windows Pro
• Windows Enterprise
• Windows Pro Education / ES
• Windows Educació

En aquest escenari, els drets de llicència per a MDAG es concedeixen si comptes amb llicències com Windows Pro / Pro Education / SE, Windows Enterprise E3 o E5 i Windows Education A3 o A5. A la pràctica, en molts PC professionals amb Windows Pro ja pots activar la característica per a un ús bàsic.

Per al mode d'empresa perimetral i administració corporativa (on ja entren en joc directives avançades i escenaris més complexos), el suport es redueix:

• Windows Enterprise y Windows Educació admeten Application Guard en aquest mode.
• Windows Pro i Windows Pro Education/SE no tenen suport per a aquesta variant empresarial.

Pel que fa a llicències, per a aquest ús corporatiu més avançat es requereix Windows Enterprise E3/E5 o Windows Education A3/A5. Si la vostra organització només treballa amb Pro sense subscripcions Enterprise, estareu limitat al mode independent d'Edge.

Requisits previs de sistema i compatibilitat

A més de l'edició de Windows, perquè Application Guard funcioni de manera estable necessites complir una sèrie de requisits tècnics relacionats amb versió, maquinari i suport de virtualització.

Pel que fa al sistema operatiu, és obligatori fer servir Windows 10 1809 o posterior (Actualització d'octubre del 2018) o una versió equivalent de Windows 11. No està pensat per a SKUs de servidor ni variants molt retallades; sorienta clarament a equips client.

A nivell de maquinari, lequip ha de comptar amb virtualització basada en maquinari habilitada (suport Intel VT‑x/AMD‑V i traducció d'adreces de segon nivell, com SLAT), ja que Hyper‑V és la peça clau per crear el contenidor aïllat. Sense aquesta capa, MDAG no podrà aixecar el vostre entorn segur.

També és imprescindible disposar de mecanismes d'administració compatibles si l'usaràs de forma centralitzada (per exemple, Microsoft Intune o Configuration Manager), tal com es detalla en els requisits de programari corporatius. En desplegaments senzills, n'hi haurà prou amb la pròpia interfície de Seguretat de Windows.

Finalment, tingues en compte que Application Guard està en procés de quedar en desús per a Microsoft Edge per a negocis, i que determinades API associades a aplicacions aïllades ja no s'actualitzaran. Tot i així, continua estant molt present en entorns on es necessita contenció de risc a curt i mitjà termini.

Cas d'ús: seguretat davant de productivitat

Un dels problemes clàssics en ciberseguretat és trobar el punt just entre protegir de veritat i no bloquejar l'usuari. Si només permets un grapat de webs “beneïdes”, reduïxes el risc, però mates la productivitat. Si obriu la mà, el nivell d'exposició es dispara.

El navegador és una de les principals superfícies d'atac del lloc de treball perquè la seva raó de ser és obrir contingut no fiable d'orígens molt variats: webs desconegudes, descàrregues, scripts de tercers, publicitat agressiva, etc. Per més que millors el motor, sempre hi haurà vulnerabilitats noves que algú intentarà explotar.

En aquest model, l'administrador defineix amb precisió quins dominis, rangs IP i recursos al núvol considera de confiança. Tot allò que no estigui en aquesta llista va automàticament al contenidor. Aquí l'usuari pot navegar sense por que una fallada del navegador posi en perill la resta de sistemes interns.

El resultat és una navegació relativament flexible per a l'empleat, però amb una frontera molt ben vigilada entre el que és món extern no fiable i el que és entorn corporatiu que cal protegir sigui com sigui.

Funcions recents i novetats d'Application Guard a Microsoft Edge

Al llarg de les diferents versions de Microsoft Edge basat en Chromium, Microsoft ha anat afegint millores específiques per a Application Guard amb l'objectiu de polir l'experiència de l'usuari i donar més control a l'administrador.

Una de les novetats importants és el bloqueig de càrregues de fitxers des del contenidor. Des d'Edge 96, les organitzacions poden impedir que l'usuari pugi documents des del dispositiu local a un formulari o servei web dins de la sessió aïllada, usant la directiva ApplicationGuardUploadBlockingEnabled. D'aquesta manera, es redueix el risc de fuga d'informació.

Una altra millora molt útil és el mode passiu, disponible des de Edge 94. Quan s'activa mitjançant la directiva ApplicationGuardPassiveModeEnabled, Application Guard deixa de forçar la llista de llocs i permet que l'usuari explori Edge de manera “normal”, encara que la característica segueixi instal·lada. És una manera còmoda de tenir la tecnologia preparada sense redirigir encara el trànsit.

També s'ha afegit la possibilitat de sincronitzar els favorits del host amb el contenidor, cosa que molts clients reclamaven per no tenir dues experiències de navegació totalment desconnectades. Des d'Edge 91, la directiva ApplicationGuardFavoritesSyncEnabled permet que els marcadors nous apareguin igualment dins de lentorn aïllat.

A l'àmbit de xarxa, Edge 91 va incorporar suport per etiquetar el trànsit que surt del contenidor gràcies a la directiva ApplicationGuardTrafficIdentificationEnabled. Això permet a les empreses identificar i filtrar aquest trànsit a través d'un servidor intermediari, per exemple per restringir l'accés a un conjunt molt reduït de llocs quan es navega des de MDAG.

Proxy doble, extensions i altres escenaris avançats

Algunes organitzacions utilitzen Application Guard en desplegaments més complexos on necessiten controlar amb lupa el trànsit del contenidor i les capacitats del navegador dins aquest entorn aïllat.

Per a aquests casos, Edge compta amb suport de proxy doble des de la versió estable 84, configurable mitjançant la directiva ApplicationGuardContainerProxy. La idea és que el trànsit originat al contenidor s'encamini a través d'un servidor intermediari específic, diferent del que fa servir el host, cosa que facilita aplicar regles independents i una inspecció més estricta.

Una altra petició recurrent dels clients va ser la possibilitat de utilitzar extensions dins del contenidor. Des d'Edge 81 això ja és viable, de manera que es poden executar bloquejadors d'anuncis, extensions corporatives internes o altres eines sempre que s'ajustin a les polítiques definides. Cal declarar la updateURL de l'extensió a les directives d'aïllament de xarxa perquè es consideri un recurs neutre accessible des de l'Application Guard.

Entre els escenaris admesos s'inclou la instal·lació forçosa d'extensions al host que després apareixen disponibles al contenidor, la retirada d'extensions concretes o el bloqueig d'altres que no interessen per motius de seguretat. Això sí, les extensions que depenguin de components de control de missatges nadius no són compatibles dins de MDAG.

Per ajudar a diagnosticar problemes de configuració o de comportament s'ofereix una pàgina de diagnòstic específica en edge://application-guard-internals. Des d'aquí es pot comprovar, entre altres coses, si una URL donada es considera de confiança o no segons les polítiques aplicades efectivament a l'usuari.

Finalment, quant a actualitzacions, el nou Microsoft Edge es actualitza per si mateix també dins del contenidor, seguint el mateix canal i versió que el navegador del host. Ja no depèn del cicle d'actualització del sistema operatiu com passava amb la versió Legacy d'Edge, cosa que simplifica força el manteniment.

Com habilitar Microsoft Defender Application Guard a Windows

Si vols posar-lo en marxa en un equip compatible, el primer pas és activar la característica de Windows corresponent. El procés, a nivell bàsic, és força directe.

El més ràpid és obrir el quadre Executar amb Win + R, escriure appwiz.cpl i prémer Intro per accedir directament al panell de “Programes i característiques”. Des d'aquí, al lateral esquerre, tens l'enllaç a “Activar o desactivar les característiques del Windows”.

A la llista de components disponibles haureu de localitzar l'entrada “Microsoft Defender Application Guard” i marcar-la. En acceptar, Windows descarregarà o habilitarà els binaris necessaris i us demanarà reiniciar l'equip per aplicar els canvis.

Després del reinici, en equips compatibles i amb les versions correctes d'Edge, hauries de poder obrir noves finestres o pestanyes aïllades mitjançant les opcions del navegador o, en entorns gestionats, de manera automàtica segons la configuració de la llista de llocs no fiables.

Si no veieu opcions com ara “Nova finestra d'Application Guard” o no obriu el contenidor, és possible que les instruccions següents estan desactualitzades, que la teva edició de Windows no sigui suportada, que no tinguis Hyper‑V habilitat o que la política de l'organització hagi desactivat la característica.

Configuració d'Application Guard amb directiva de grup

En entorns d'empresa no es configura equip per equip a mà, sinó que es llença de directiva de grup (GPO) o de perfils de configuració a Intune per definir política de manera centralitzada. Application Guard es recolza en dos grans blocs de configuració: aïllament de xarxa i paràmetres específics de laplicació.

La configuració d'aïllament de xarxa es troba a Computer Configuration\Administrative Templates\Network\Network Isolation. Aquí és on es defineixen, per exemple, els rangs de xarxa interna i els dominis considerats dempresa, que marcaran la frontera entre el que és fiable i el que ha de saltar al contenidor.

Una de les polítiques clau és la de “Intervals de xarxa privada per a aplicacions”, on s'especifica, en una llista separada per comes, els rangs IP que pertanyen a la xarxa corporativa. Els endpoints en aquests rangs s'obriran a Edge normal i no seran accessibles des de l'entorn d'Application Guard.

Una altra política important és la de “Dominis de recursos d'empresa allotjats al núvol”, que utilitza una llista separada pel caràcter | per indicar dominis de SaaS i serveis cloud de l'organització que s'han de tractar com a interns. Aquests també es representaran a Edge fora del contenidor.

Finalment, la directiva de “Dominis classificats com a personals i de treball” permet declarar dominis que es poden fer servir tant per a fins personals com corporatius. Aquests llocs seran accessibles tant des de l'entorn normal d'Edge com des d'Application Guard segons escaigui.

Ús de comodins a la configuració d'aïllament de xarxa

Per no haver d'escriure cada subdomini un per un, les llistes d'aïllament de xarxa admeten caràcters comodí als noms de domini. Això permet controlar millor què es considera fiable.

Si es defineix simplement contoso.com, s'estarà confiant únicament en aquest valor literal i no en altres dominis que el continguin. És a dir, el navegador tractarà com a empresa només l'arrel exacta i no www.contoso.com ni variants.

Si s'especifica www.contoso.com, llavors només aquest host concret es considera de confiança. Altres subdominis com shop.contoso.com quedarien fora i podrien acabar al contenidor.

Amb el format .contoso.com (un punt davant) s'indica que es confia en qualsevol domini que acabi amb “contoso.com”. Això inclou des contoso.com fins www.contoso.com o fins i tot cadenes com spearphishingcontoso.com, així que cal utilitzar-lo amb compte.

Finalment, si es fa servir ..contoso.com (dos punts inicials), es confia a tots els nivells de la jerarquia situats a l'esquerra del domini, per exemple shop.contoso.com o us.shop.contoso.com, però no es confia a l'arrel “contoso.com” en si mateixa. És una manera més fina de controlar què es considera recurs corporatiu.

Principals directives específiques d'Application Guard

El segon gran bloc d'ajustos es troba a Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application Guard. Des d'aquí es governa el comportament detallat del contenidor i què pot o no pot fer l'usuari dins seu.

Una de les polítiques més rellevants és la de “Configuració de porta-retalls”, que controla si és possible copiar i enganxar text o imatges entre l'amfitrió i Application Guard. En mode administrat es pot permetre còpia només des del contenidor cap a fora, només en sentit invers o fins i tot desactivar el porta-retalls del tot.

De manera similar, la directiva de "Configuració d'impressió" decideix si es poden imprimir continguts des del contenidor i en quins formats. És possible habilitar impressió a PDF, XPS, impressores locals connectades o impressores de xarxa ja definides, o bé bloquejar tota capacitat d'impressió dins MDAG.

L'opció “Admetre la persistència” determina si les dades de l'usuari (fitxers descarregats, galetes, preferits, etc.) es mantenen entre sessions de Application Guard o es purguen cada vegada que es tanca l'entorn. Si s'habilita en mode administrat, el contenidor conserva aquesta informació per a sessions futures; si es deshabilita, cada inici és pràcticament un entorn net.

En cas que decideixis deixar de permetre persistència més endavant, pots fer servir l'eina wdagtool.exe amb els paràmetres cleanup o cleanup RESET_PERSISTENCE_LAYER per restablir el contenidor i descartar la informació generada per l'empleat.

Una altra política clau és “Activar Application Guard en mode administrat”, on s'indica si la característica s'aplica al Microsoft Edge, al Microsoft Office oa tots dos. Aquesta directiva no tindrà efecte si el dispositiu no compleix els requisits previs ni té configurat l'aïllament de xarxa (llevat de certes versions recents de Windows on ja no és imprescindible per a Edge si s'han instal·lat KB concrets).

Intercanvi d'arxius, certificats, càmera i auditoria

A més de les polítiques anteriors, hi ha altres directives que afecten com es relaciona el contenidor amb el sistema host i amb els perifèrics.

la política “Permetre que els fitxers es descarreguin al sistema operatiu host” decideix si l'usuari pot desar al host els fitxers que es descarreguen des de l'entorn aïllat. Quan s'habilita, es crea un recurs compartit entre tots dos entorns que també possibilita certes càrregues des del host fins al contenidor, cosa molt útil però que convé avaluar des del prisma de la seguretat.

La configuració de “Permetre la representació accelerada per maquinari” habilita lús de GPU mitjançant vGPU per millorar el rendiment gràfic, especialment en reproducció de vídeo i continguts pesats. Si no hi ha maquinari compatible, Application Guard tornarà a caure en representació per CPU. Activar aquesta opció en dispositius amb controladors dubtosos pot, això sí, incrementar el risc per al host.

Així mateix, existeix una directiva per a permetre l'accés a càmera i micròfon dins del contenidor. En habilitar-la, les aplicacions executades sota MDAG podran utilitzar aquests dispositius, cosa que facilita videotrucades o conferències des d'entorns aïllats, encara que també obre la porta que, si el contenidor es comprometés, se saltessin els permisos habituals.

Una altra política permet que Application Guard useu determinades entitats de certificació arrel del host, transferint al contenidor els certificats la petjada digital dels quals s'hagi especificat. Si es deshabilita, el contenidor no heretarà aquests certificats, cosa que pot bloquejar connexions a certs serveis interns si depenen d'autoritats privades.

Finalment, l'opció de Permetre esdeveniments d'auditoria fa que es registrin esdeveniments de sistema generats al contenidor i s'heretin les directives d'auditoria del dispositiu, de manera que l'equip de seguretat pugui rastrejar el que passa dins de l'Application Guard des dels registres del host.

Integració amb quadres de suport i personalització

Quan alguna cosa falla a Application Guard, l'usuari veu un quadre de diàleg d'error que, per defecte, només inclou la descripció del problema i un botó per informar Microsoft mitjançant el Centre d'opinions. Això no obstant, es pot personalitzar aquesta experiència per facilitar el suport intern.

A la ruta Administrative Templates\Windows Components\Windows Security\Enterprise Customization hi ha una directiva amb què l'administrador pot afegir informació de contacte del servei de suport, enllaços interns o instruccions breus. Així, quan un empleat vegi l'error, sabrà immediatament a qui dirigir-se o quins passos fer.

Preguntes freqüents i problemes habituals amb Application Guard

L'ús de Application Guard genera un bon grapat de dubtes recurrents en desplegaments reals, sobretot quant a rendiment, compatibilitat i comportament de xarxa.

Una de les primeres preguntes és si es pot habilitar a equips amb només 4 GB de RAM. Encara que hi ha escenaris on pot arribar a funcionar, a la pràctica el rendiment sol ressentir-se força, ja que el contenidor és pràcticament un altre sistema operatiu corrent en paral·lel.

Un altre punt delicat és la integració amb proxies de xarxa i PAC scripts. Missatges com “No es poden resoldre adreces URL externes des de MDAG Browser: ERR_CONNECTION_REFUSED” o “ERR_NAME_NOT_RESOLVED” quan falla l'accés al fitxer PAC solen indicar problemes de configuració entre el contenidor, el proxy i les regles d'aïllament.

També hi ha qüestions relacionades amb IME (editors de mètodes d'entrada) no admesos en determinades versions de Windows, conflictes amb controladors de xifratge de disc o amb solucions de control de dispositius que impedeixen que el contenidor acabi de carregar.

Alguns administradors es troben amb errors com “ERROR_VIRTUAL_DISK_LIMITATION” si hi ha limitacions relacionades amb discos virtuals, o amb errors en desactivar tecnologies com l'hiperprocessament (hyperthreading) que afecten indirectament Hyper-V i, per extensió, MDAG.

També es plantegen dubtes sobre com confiar únicament en determinats subdominis, sobre els límits de mida de les llistes de dominis o sobre com desactivar el comportament pel qual la pestanya del host es tanca automàticament en navegar a un lloc que s'obre al contenidor.

Application Guard, mode IE, Chrome i Office

En entorns on encara es fa servir el mode IE a Microsoft Edge, Application Guard és compatible, però Microsoft no espera un ús massiu de la funció en aquest mode. El recomanat és reservar el mode IE per llocs interns de confiança i utilitzar MDAG només per a webs que es considerin externs i no fiables.

És important assegurar-se que tots els llocs configurats en mode IE, així com les seves adreces IP associades, estiguin inclosos també a les directives d'aïllament de xarxa com a recursos fiables. Si no, es poden produir comportaments estranys en combinar les dues funcions.

Pel que fa a Chrome, molts usuaris pregunten si cal instal·lar alguna extensió d'Application Guard. La resposta és que no: la funcionalitat està integrada de forma nativa a Microsoft Edge i l'antiga extensió per a Chrome no és una configuració suportada quan es treballa amb Edge.

Per a documents d'Office, Application Guard permet obrir fitxers de Word, Excel i PowerPoint en un contenidor aïllat quan es consideren no fiables, evitant així que macros malicioses o altres vectors datac arribin al host. És possible combinar aquesta protecció amb altres funcions de Defensar i amb polítiques de confiança en fitxers.

Hi ha fins i tot una opció de directiva de grup destinada a permetre que els usuaris “confien” en certs arxius oberts a Application Guard, de manera que passin a tractar-se com a assegurances i surtin del contenidor. Aquesta capacitat s'ha de gestionar amb cautela per no perdre el benefici de l'aïllament.

Descàrregues, porta-retalls, favorits i extensions: experiència d'usuari

Des del punt de vista de l'usuari, alguns dels dubtes més pràctics giren al voltant de què es pot fer dins del contenidor i què no, especialment amb descàrregues, còpia/enganxa i extensions.

A Windows 10 Enterprise 1803 i versions posteriors (amb matisos segons edició), és possible permetre la descàrrega de documents des del contenidor al host si lorganització ho configura així mitjançant directiva. En versions anteriors o en edicions com Pro en certs builds, aquesta opció no estava disponible, encara que es podia recórrer a imprimir a PDF o XPS i desar el resultat al dispositiu amfitrió.

Pel que fa al porta-retalls, la política corporativa pot permetre que es copiïn imatges en format BMP i text cap ai des de l'entorn aïllat. Si els empleats es queixen que no poden copiar contingut, normalment cal revisar aquestes directives.

Molts usuaris també pregunten per què no veuen els vostres favorits o les seves extensions a la sessió d'Edge sota Application Guard. Se sol deure al fet que la sincronització de preferits està deshabilitada o que la directiva d'extensions a MDAG no s'ha activat. Un cop ajustades aquestes opcions, el navegador al contenidor pot heretar marcadors i certes extensions, sempre amb les limitacions comentades abans.

Hi ha fins i tot casos en què una extensió sí que apareix però “no funciona”. Si depèn de components nadius de control de missatges, aquesta funcionalitat no estarà disponible dins del contenidor i l'extensió mostrarà un comportament limitat o directament inoperatiu.

Rendiment gràfic, HDR i acceleració de maquinari

Un altre tema que surt sovint és el de la reproducció de vídeo i les funcions avançades com HDR dins d'Application Guard. En executar-se sobre Hyper-V, el contenidor no sempre té accés directe a les capacitats de la GPU.

Perquè la reproducció HDR funcioni correctament a l'entorn aïllat, cal que la acceleració de maquinari vGPU estigui habilitada mitjançant la directiva de representació accelerada. Si no, el sistema tirarà de CPU i certes opcions com HDR no apareixeran disponibles a la configuració del reproductor o del lloc web.

Fins i tot amb l'acceleració activa, si el maquinari de gràfics no és considerat prou segur o compatible, Application Guard pot tornar automàticament a la representació per programari, el que repercuteix en fluïdesa i consum de bateria a portàtils.

En alguns desplegaments s'han vist problemes de fragmentació TCP i conflictes amb VPN que no acaben d'aixecar quan el trànsit passa pel contenidor. En aquests casos sol ser necessari revisar les polítiques de xarxa, MTU, configuració del servidor intermediari i, de vegades, ajustar com s'integra MDAG amb altres components de seguretat ja instal·lats.

Suport, diagnòstic i obertura d'incidències

Quan, malgrat tot, sorgeixen problemes que no es poden resoldre internament, Microsoft recomana obrir una incidència de suport específica per a Microsoft Defender Application Guard. És important recopilar prèviament informació de la pàgina de diagnòstic, registres d'esdeveniments relacionats i detalls de la configuració aplicada al dispositiu.

L'ús de la pàgina edge://application-guard-internals, combinat amb els esdeveniments d'auditoria habilitats i la sortida d'eines com wdagtool.exe, sol proporcionar a l'equip de suport dades suficients per localitzar l'origen del problema, ja sigui una directiva mal definida, un conflicte amb un altre producte de seguretat o una limitació de maquinari.

A tot això s'hi afegeix la possibilitat de personalitzar els missatges d'error i la informació de contacte al quadre de diàleg de suport tècnic de Seguretat de Windows, cosa que facilita que els usuaris no es quedin bloquejats sense saber a qui acudir quan el contenidor falla en arrencar o no s'obre com esperen.

En conjunt, Microsoft Defender Application Guard ofereix una potent combinació d'aïllament de maquinari, control granular mitjançant polítiques i eines de diagnòstic que, ben aprofitades, permeten reduir molt el risc associat a navegar per llocs no fiables o obrir documents d'origen dubtós sense condemnar la productivitat del dia a dia.