Jak krok za krokem používat aplikaci Microsoft Defender Application Guard

Pokud denně pracujete s citlivými informacemi nebo prohlížíte podezřelé webové stránky, Ochrana aplikací v programu Microsoft Defender (MDAG) Je to jedna z těch funkcí Windows, které mohou znamenat rozdíl mezi strachem a katastrofou. Není to jen další antivirový program, ale další vrstva, která izoluje hrozby od vašeho systému a dat.

V následujících řádcích jasně uvidíte Co přesně je Application Guard, jak interně funguje, na jakých zařízeních ho můžete používat a jak ho konfigurovat? Probereme jak jednoduchá, tak i podniková nasazení. Také si projdeme požadavky, skupinové zásady, běžné chyby a různé často kladené otázky, které se objevují při zahájení práce s touto technologií.

Co je ochrana aplikací v programu Microsoft Defender a jak funguje?

Microsoft Defender Application Guard je pokročilá bezpečnostní funkce navržená pro Izolujte nedůvěryhodné webové stránky a dokumenty ve virtuálním kontejneru Založeno na Hyper-V. Místo snahy blokovat každý útok jeden po druhém vytváří malý „jednorázový počítač“, kam ukládá podezřelý materiál.

Tento kontejner běží v odděleně od hlavního operačního systémus vlastní zesílenou instancí Windows a bez přímého přístupu k souborům, přihlašovacím údajům nebo interním firemním zdrojům. I když se škodlivému webu podaří zneužít zranitelnost prohlížeče nebo Office, škoda zůstává v tomto izolovaném prostředí.

V případě Microsoft Edge zajišťuje Application Guard, že jakákoli doména, která není označena jako důvěryhodná Automaticky se otevírá v daném kontejneru. V případě Office totéž dělá s dokumenty Wordu, Excelu a PowerPointu, které pocházejí ze zdrojů, které organizace nepovažuje za bezpečné.

Klíčové je, že tato izolace je hardwarového typu: Hyper-V vytváří nezávislé prostředí z hostitele, což drasticky snižuje možnost, že útočník přejde z izolované relace do reálného systému, ukradne firemní data nebo zneužije uložené přihlašovací údaje.

Kontejner je navíc považován za anonymní prostředí: Nedědí soubory cookie, hesla ani relace uživatele.To značně ztěžuje život útočníkům, kteří se spoléhají na techniky falšování dat nebo krádeže relací.

Doporučené typy zařízení pro použití Application Guardu

Ačkoli může Application Guard technicky fungovat v různých scénářích, je speciálně navržen pro firemní prostředí a spravovaná zařízeníSpolečnost Microsoft rozlišuje několik typů zařízení, u kterých má MDAG největší smysl.

Za prvé existují podnikový desktop připojený k doméněTy se obvykle spravují pomocí Configuration Manageru nebo Intune. Jsou to tradiční kancelářské počítače se standardními uživateli připojené k pevné firemní síti, kde riziko pochází hlavně z každodenního prohlížení internetu.

Pak máme firemní notebookyTato zařízení jsou rovněž doménově připojena a centrálně spravována, ale připojují se k interním nebo externím sítím Wi-Fi. Zde se riziko zvyšuje, protože zařízení opouští kontrolovanou síť a je vystaveno Wi-Fi v hotelech, na letištích nebo v domácích sítích.

Další skupinou jsou notebooky BYOD (Bring Your Own Device – Přineste si vlastní zařízení), osobní vybavení, které nepatří společnosti, ale je spravováno prostřednictvím řešení jako Intune. Obvykle jsou v rukou uživatelů s oprávněními lokálního správce, což zvyšuje plochu pro útok a činí izolaci pro přístup k podnikovým zdrojům atraktivnější.

Konečně existují zcela nespravovaná osobní zařízeníJedná se o webové stránky, které nepatří do žádné domény a nad nimiž má uživatel absolutní kontrolu. V těchto případech lze Application Guard používat v samostatném režimu (zejména pro Edge), aby poskytl další vrstvu ochrany při návštěvě potenciálně nebezpečných webových stránek.

Požadované edice a licence systému Windows

Než začnete s jakoukoli konfigurací, je důležité si v tomto ujasnit. Ve kterých edicích Windows můžete používat Microsoft Defender Application Guard a s jakými licenčními právy.

Pro Samostatný režim Edge (tj. použití Application Guard pouze jako sandboxu prohlížeče bez pokročilé správy podniku), je podporováno ve Windows:

• Windows Pro
• Windows Enterprise
• Windows Pro Education / SE
• Windows Education

V tomto scénáři jsou licenční práva MDAG udělena, pokud máte licence, jako například Windows Pro / Pro Education / SE, Windows Enterprise E3 nebo E5 a Windows Education A3 nebo A5V praxi na mnoha profesionálních počítačích s Windows Pro již můžete tuto funkci aktivovat pro základní použití.

Pro režim edge enterprise a podniková administrace (kde se uplatňují pokročilé direktivy a složitější scénáře), je podpora snížena:

• Windows Enterprise y Windows Education V tomto režimu je podporována ochrana aplikací.
• Windows Pro a Windows Pro Education/SE Ne Mají podporu pro tuto podnikovou variantu.

Pokud jde o licence, toto pokročilejší firemní použití vyžaduje Windows Enterprise E3/E5 nebo Windows Education A3/A5Pokud vaše organizace používá pouze předplatné Pro bez předplatného Enterprise, budete omezeni na samostatný režim Edge.

Systémové požadavky a kompatibilita

Kromě edice pro Windows je pro stabilní fungování Application Guard nutné splňovat řada technických požadavků související s verzí, hardwarem a podporou virtualizace.

Pokud jde o operační systém, je povinné používat Windows 10 1809 nebo novější (aktualizace z října 2018) nebo ekvivalentní verzi systému Windows 11. Není určena pro serverové SKU ani pro výrazně zmenšené varianty; je jasně zaměřena na klientské počítače.

Na hardwarové úrovni musí mít zařízení povolena hardwarová virtualizace (Podpora Intel VT-x/AMD-V a překlad adres druhé úrovně, jako je SLAT), protože Hyper-V je klíčovou komponentou pro vytvoření izolovaného kontejneru. Bez této vrstvy nebude MDAG schopen nastavit své bezpečné prostředí.

Je také nezbytné mít kompatibilní administrativní mechanismy Pokud jej budete používat centrálně (například Microsoft Intune nebo Configuration Manager), jak je podrobně popsáno v požadavcích na podnikový software. Pro jednoduchá nasazení postačí samotné rozhraní Zabezpečení systému Windows.

Všimněte si konečně Ochrana aplikací je v procesu zastarávání. Pro Microsoft Edge pro firmy a že některá API spojená se samostatnými aplikacemi již nebudou aktualizována. Přesto je stále velmi rozšířený v prostředích, kde je nutné omezit krátkodobé a střednědobé rizikové faktory.

Případ užití: bezpečnost versus produktivita

Jedním z klasických problémů v kybernetické bezpečnosti je nalezení správné rovnováhy mezi skutečně chránit, ne blokovat uživatelePokud povolíte jen hrstku „požehnaných“ webových stránek, snížíte riziko, ale zabijete produktivitu. Pokud omezení uvolníte, míra vystavení se riziku prudce vzroste.

Prohlížeč je jedním z hlavní útočné plochy této práce, protože jejím účelem je otevírat nedůvěryhodný obsah z nejrůznějších zdrojů: neznámé webové stránky, soubory ke stažení, skripty třetích stran, agresivní reklama atd. Bez ohledu na to, jak moc engine vylepšíte, vždy se objeví nové zranitelnosti, které se někdo pokusí zneužít.

V tomto modelu administrátor přesně definuje, které domény, rozsahy IP adres a cloudové zdroje považuje za důvěryhodné. Všechno, co není na tomto seznamu, se automaticky přesune do kontejneru.Tam si uživatel může prohlížet web bez obav, že selhání prohlížeče ohrozí zbytek interních systémů.

Výsledkem je relativně flexibilní navigace pro zaměstnance, ale s přísně střežená hranice mezi tím, co je nespolehlivý vnější svět, a tím, co je firemní prostředí, které je nutné za každou cenu chránit.

Nedávné funkce a aktualizace Application Guard v aplikaci Microsoft Edge

V různých verzích prohlížeče Microsoft Edge založených na Chromiu společnost Microsoft přidává… Specifická vylepšení pro Application Guard s cílem zdokonalit uživatelskou zkušenost a poskytnout administrátorovi větší kontrolu.

Jednou z důležitých nových funkcí je blokování nahrávání souborů z kontejneruOd verze Edge 96 mohou organizace zabránit uživatelům v nahrávání dokumentů z jejich lokálního zařízení do formuláře nebo webové služby v rámci izolované relace pomocí zásad. ApplicationGuardUploadBlockingEnabledTím se snižuje riziko úniku informací.

Dalším velmi užitečným vylepšením je pasivní režim, dostupné od Edge 94. Po aktivaci zásadami ApplicationGuardPassiveModeEnabledOchrana aplikací přestane vynucovat seznam webů a umožní uživateli procházet Edge „normálně“, i když je funkce stále nainstalována. Je to pohodlný způsob, jak mít technologii připravenou, aniž by se musel provoz přesměrovávat.

Byla také přidána možnost synchronizovat oblíbené položky hostitele s kontejneremTo bylo něco, co mnoho zákazníků požadovalo, aby se vyhnuli dvěma zcela odděleným zážitkům z prohlížení. Od verze Edge 91 tato politika… ApplicationGuardFavoritesSyncEnabled Umožňuje to novým markerům, aby se v izolovaném prostředí objevovaly rovnoměrně.

V oblasti sítí Edge 91 zahrnul podporu pro označte provoz opouštějící kontejner díky směrnici ApplicationGuardTrafficIdentificationEnabledTo umožňuje společnostem identifikovat a filtrovat daný provoz přes proxy, například omezit přístup na velmi malou skupinu webů při prohlížení z MDAG.

Duální proxy, rozšíření a další pokročilé scénáře

Některé organizace používají Application Guard ve složitějších nasazeních, kde potřebují pečlivě sledovat kontejnerovou dopravu a možnosti prohlížeče v tomto izolovaném prostředí.

Pro tyto případy Edge nabízí podporu pro dvojitý proxy Od stabilní verze 84 výše, konfigurovatelné pomocí direktivy ApplicationGuardContainerProxyMyšlenka je taková, že provoz pocházející z kontejneru je směrován přes specifický proxy server, odlišný od toho, který používá hostitel, což usnadňuje aplikaci nezávislých pravidel a přísnější kontrolu.

Dalším opakujícím se požadavkem zákazníků byla možnost používat rozšíření v kontejneruOd verze Edge 81 je to možné, takže blokovače reklam, interní firemní rozšíření nebo jiné nástroje lze spouštět, pokud splňují definované zásady. Je nutné deklarovat updateURL rozšíření v zásadách izolace sítě tak, aby bylo považováno za neutrální prostředek přístupný z Application Guard.

Mezi akceptované scénáře patří vynucená instalace rozšíření na hostiteli Tato rozšíření se poté zobrazí v kontejneru, což umožňuje odstranění konkrétních rozšíření nebo blokování jiných, která jsou z bezpečnostních důvodů považována za nežádoucí. Toto se však nevztahuje na rozšíření, která se spoléhají na nativní komponenty pro zpracování zpráv. Nejsou kompatibilní v rámci MDAG.

Pro diagnostiku problémů s konfigurací nebo chováním je konkrétní diagnostická stránka en edge://application-guard-internalsOdtud můžete mimo jiné zkontrolovat, zda je daná URL adresa považována za důvěryhodnou na základě zásad, které se na uživatele skutečně vztahují.

A konečně, pokud jde o aktualizace, nový Microsoft Edge bude Také se aktualizuje v rámci kontejneru.Používá stejný kanál a verzi jako hostitelský prohlížeč. Již není závislý na cyklu aktualizací operačního systému, jako tomu bylo u starší verze Edge, což výrazně zjednodušuje údržbu.

Jak povolit ochranu aplikací v programu Microsoft Defender ve Windows

Pokud jej chcete spustit na kompatibilním zařízení, prvním krokem je aktivovat funkci Windows odpovídající. Proces je v základní rovině poměrně přímočarý.

Nejrychlejší způsob je otevřít dialogové okno Spustit pomocí Win + R, psát appwiz.cpl a stisknutím klávesy Enter přejděte přímo na panel „Programy a funkce“. Na levé straně najdete odkaz „Zapnout nebo vypnout funkce systému Windows“.

V seznamu dostupných komponent budete muset najít položku „Ochrana aplikací v programu Microsoft Defender“ a vyberte ji. Po přijetí Windows stáhne nebo povolí potřebné binární soubory a vyzve vás k restartování počítače, aby se změny projevily.

Po restartu byste měli být na kompatibilních zařízeních se správnými verzemi Edge schopni Otevírání nových oken nebo izolovaných karet prostřednictvím možností prohlížeče nebo ve spravovaných prostředích automaticky podle konfigurace seznamu nedůvěryhodných webů.

Pokud nevidíte možnosti jako „Nové okno Application Guard“ nebo se kontejner neotevře, je možné, že Pokyny, které dodržujete, mohou být zastaralé.Může to být způsobeno tím, že vaše edice systému Windows není podporována, nemáte povolenou technologii Hyper-V nebo je tato funkce zakázána zásadami vaší organizace.

Konfigurace Application Guard pomocí skupinových zásad

V obchodním prostředí se každé zařízení nekonfiguruje ručně; místo toho se používá předdefinovaný systém. skupinové zásady (GPO) nebo konfigurační profily v Intune pro centrální definování zásad. Application Guard se spoléhá na dva hlavní konfigurační bloky: izolaci sítě a parametry specifické pro aplikaci.

Nastavení izolace sítě se nachází v Computer Configuration\Administrative Templates\Network\Network IsolationZde jsou definovány například následující: interní síťové rozsahy a domény považované za firemní doménykterá bude vyznačovat hranici mezi tím, co je spolehlivé, a tím, co by mělo být vyhozeno do koše.

Jednou z klíčových politik je ta, „Intervaly privátních sítí pro aplikace“Tato část uvádí v seznamu odděleném čárkami rozsahy IP adres, které patří do podnikové sítě. Koncové body v těchto rozsazích se otevřou v normálním prostředí Edge a nebudou přístupné z prostředí Application Guard.

Další důležitou politikou je politika „Cloudově hostované podnikové domény zdrojů“který používá seznam oddělený znakem | Pro označení SaaS domén a cloudových služeb organizace, které by měly být považovány za interní. Ty budou také vykreslovány na Edge mimo kontejner.

Konečně, směrnice „Domény klasifikované jako osobní a pracovní“ Umožňuje deklarovat domény, které lze používat pro osobní i firemní účely. Tyto weby budou přístupné jak z běžného prostředí Edge, tak i z Application Guardu, dle potřeby.

Používání zástupných znaků v nastavení izolace sítě

Aby se předešlo nutnosti zapisovat každou subdoménu zvlášť, seznamy pro izolaci sítě podporují zástupné znaky v doménových jménechTo umožňuje lepší kontrolu nad tím, co je považováno za spolehlivé.

Pokud je to jednoduše definováno contoso.comProhlížeč bude důvěřovat pouze této konkrétní hodnotě a nikoli jiným doménám, které ji obsahují. Jinými slovy, bude za příslušnost firmy považovat pouze tuto doslovnou hodnotu. přesný kořen a ne www.contoso.com ani varianty.

Pokud je uvedeno www.contoso.com, tak pouze daný konkrétní hostitel budou považovány za důvěryhodné. Další subdomény, jako například shop.contoso.com Zůstaly by venku a mohly by skončit v kontejneru.

S formátem .contoso.com (tečka před) naznačuje, že Důvěryhodná je jakákoli doména končící na „contoso.com“.. To zahrnuje od contoso.com nahoru www.contoso.com nebo dokonce řetězy jako spearphishingcontoso.comTakže se musí používat s opatrností.

Nakonec, pokud se použije ..contoso.com (počáteční dvojtečka), všechny úrovně hierarchie nacházející se nalevo od domény jsou důvěryhodné, například shop.contoso.com o us.shop.contoso.comAle Kořenový adresář „contoso.com“ není důvěryhodný. samo o sobě. Je to jemnější způsob kontroly toho, co je považováno za firemní zdroj.

Hlavní direktivy specifické pro Application Guard

Druhá hlavní sada nastavení se nachází v Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application GuardOdtud je země řízena podrobné chování kontejneru a co v něm uživatel může nebo nemůže dělat.

Jednou z nejrelevantnějších politik je politika „Nastavení schránky“Toto určuje, zda je možné kopírovat a vkládat text nebo obrázky mezi hostitelem a Application Guard. Ve spravovaném režimu můžete povolit kopírování pouze z kontejneru ven, pouze v opačném směru nebo dokonce schránku zcela zakázat.

Podobně směrnice „Nastavení tisku“ Rozhoduje, zda lze obsah z kontejneru tisknout a v jakých formátech. Můžete povolit tisk do formátu PDF, XPS, připojených lokálních tiskáren nebo předdefinovaných síťových tiskáren, případně zablokovat všechny možnosti tisku v rámci MDAG.

Volba „Uznat vytrvalost“ Toto nastavení určuje, zda se uživatelská data (stažené soubory, soubory cookie, oblíbené položky atd.) mezi relacemi Application Guard uchovávají, nebo se při každém vypnutí prostředí vymažou. Povolení této možnosti ve spravovaném režimu umožňuje kontejneru uchovávat tyto informace pro budoucí relace; její zakázání má za následek prakticky čisté prostředí při každém spuštění.

Pokud se později rozhodnete trvalost zastavit, můžete použít nástroj wdagtool.exe s parametry cleanup o cleanup RESET_PERSISTENCE_LAYER resetovat kontejner a zahodit informace vygenerované zaměstnancem.

Další klíčovou politikou je „Aktivovat ochranu aplikací ve spravovaném režimu“Tato část určuje, zda se funkce vztahuje na Microsoft Edge, Microsoft Office nebo obojí. Tato zásada se neprojeví, pokud zařízení nesplňuje požadavky nebo má nakonfigurovanou izolaci sítě (s výjimkou některých novějších verzí systému Windows, kde již pro Edge není vyžadována, pokud byly nainstalovány specifické aktualizace znalostní báze).

Sdílení souborů, certifikáty, kamera a auditování

Kromě výše uvedených politik existují i ​​další směrnice, které ovlivňují jak se kontejner vztahuje k hostitelskému systému a s periferiemi.

Politika „Povolit stahování souborů do hostitelského operačního systému“ Rozhoduje, zda může uživatel ukládat soubory stažené z izolovaného prostředí na hostitele. Pokud je tato funkce povolena, vytvoří sdílený prostředek mezi oběma prostředími, který také umožňuje určité nahrávání z hostitele do kontejneru – což je velmi užitečné, ale mělo by být vyhodnoceno z bezpečnostního hlediska.

Konfigurace „Povolit hardwarově akcelerované vykreslování“ Umožňuje využití GPU prostřednictvím vGPU pro zlepšení grafického výkonu, zejména při přehrávání videa a náročného obsahu. Pokud není k dispozici kompatibilní hardware, Application Guard se vrátí k vykreslování pomocí CPU. Povolení této možnosti na zařízeních s nespolehlivými ovladači však může zvýšit riziko pro hostitele.

Existuje také směrnice pro povolit přístup k fotoaparátu a mikrofonu v rámci kontejneru. Jeho povolení umožňuje aplikacím běžícím pod MDAG používat tato zařízení, což usnadňuje videohovory nebo konference z izolovaných prostředí, ale zároveň otevírá dveře k obejití standardních oprávnění, pokud je kontejner ohrožen.

Jiná zásada umožňuje ochranu aplikací používat specifické kořenové certifikační autority hostiteleTím se do kontejneru přenesou certifikáty, jejichž otisk byl zadán. Pokud je tato možnost zakázána, kontejner tyto certifikáty nezdědí, což může blokovat připojení k určitým interním službám, pokud se spoléhají na soukromé autority.

Konečně, možnost „Povolit auditní události“ Způsobuje to protokolování systémových událostí generovaných v kontejneru a dědění zásad auditu zařízení, aby bezpečnostní tým mohl sledovat, co se děje uvnitř Application Guardu, z protokolů hostitele.

Integrace s frameworky podpory a přizpůsobení

Když se v aplikaci Application Guard něco pokazí, uživatel uvidí dialogové okno s chybou Ve výchozím nastavení se zde zobrazuje pouze popis problému a tlačítko pro jeho nahlášení společnosti Microsoft prostřednictvím Centra zpětné vazby. Toto rozhraní lze však přizpůsobit tak, aby usnadňovalo interní podporu.

Na trase Administrative Templates\Windows Components\Windows Security\Enterprise Customization Existuje zásada, kterou může administrátor použít Přidejte kontaktní informace na podporuInterní odkazy nebo stručné pokyny. Tímto způsobem, když zaměstnanec uvidí chybu, bude okamžitě vědět, na koho se má obrátit nebo jaké kroky má podniknout.

Často kladené otázky a běžné problémy s Application Guard

Použití Application Guard generuje pěknou hrstku opakující se otázky v reálných nasazeních, zejména pokud jde o výkon, kompatibilitu a chování sítě.

Jednou z prvních otázek je, zda to lze povolit v zařízení s pouhými 4 GB RAMI když existují scénáře, kde by to mohlo fungovat, v praxi výkon obvykle značně trpí, protože kontejner je prakticky další operační systém běžící paralelně.

Dalším citlivým bodem je integrace s síťové proxy a PAC skriptyZprávy jako „Nelze vyřešit externí adresy URL z prohlížeče MDAG: ERR_CONNECTION_REFUSED“ nebo „ERR_NAME_NOT_RESOLVED“ při selhání přístupu k souboru PAC obvykle naznačují problémy s konfigurací mezi kontejnerem, proxy a pravidly izolace.

Existují také problémy související s Editory IME (vstupní metody) nejsou podporovány V některých verzích systému Windows brání konflikty s ovladači šifrování disku nebo řešeními pro správu zařízení dokončení načítání kontejneru.

Někteří administrátoři se setkávají s chybami, jako např. „CHYBA_OMEZENÍ_VIRTUÁLNÍHO_DISKU“ Pokud existují omezení týkající se virtuálních disků nebo selhání při zakázání technologií, jako je hyperthreading, které nepřímo ovlivňují Hyper-V a v širším smyslu i MDAG.

Vyvstávají také otázky ohledně toho, jak důvěřovat pouze určitým subdoménám, týkající se limitů velikosti seznamu domén nebo jak zakázat chování, kdy se karta hostitele automaticky zavře při přechodu na web, který se otevře v kontejneru.

Ochrana aplikací, režim IE, Chrome a Office

V prostředích, kde Režim IE v prohlížeči Microsoft EdgeFunkce Application Guard je podporována, ale společnost Microsoft neočekává její široké využití v tomto režimu. Doporučuje se rezervovat režim IE pro [konkrétní aplikace/použití]. důvěryhodné interní weby a MDAG používejte pouze pro webové stránky, které jsou považovány za externí a nedůvěryhodné.

Je důležité se o to ujistit všechny weby nakonfigurované v režimu IESíť spolu s přidruženými IP adresami musí být také zahrnuta do zásad izolace sítě jako důvěryhodné zdroje. Jinak může při kombinaci obou funkcí dojít k neočekávanému chování.

Co se týče Chromu, mnoho uživatelů se ptá, zda je nezbytný. nainstalujte rozšíření Application GuardOdpověď zní ne: tato funkce je nativně integrována do Microsoft Edge a staré rozšíření pro Chrome není při práci s Edge podporovanou konfigurací.

U dokumentů Office umožňuje ochrana aplikací Otevírání souborů aplikací Word, Excel a PowerPoint v izolovaném kontejneru když jsou soubory považovány za nedůvěryhodné, čímž se zabrání škodlivým makrům nebo jiným útočným vektorům v dosažení hostitele. Tuto ochranu lze kombinovat s dalšími funkcemi Defenderu a zásadami důvěryhodnosti souborů.

Existuje dokonce možnost skupinové politiky, která uživatelům umožňuje „důvěřovat“ určitým souborům otevřeným v Application Guard, takže jsou považovány za bezpečné a opouštějí kontejner. Tuto funkci je třeba spravovat pečlivě, aby se předešlo ztrátě výhod izolace.

Stažení, schránka, oblíbené položky a rozšíření: uživatelská zkušenost

Z pohledu uživatele se některé z nejpraktičtějších otázek točí kolem co se uvnitř kontejneru smí a smí dělatzejména u stahování, kopírování/vkládání a rozšíření.

Ve Windows 10 Enterprise 1803 a novějších verzích (s nuancemi v závislosti na edici) je možné povolit stahování dokumentů z kontejneru do hostitele Tato možnost nebyla k dispozici v předchozích verzích ani v některých sestaveních edic, jako je Pro, ačkoli jste mohli tisknout do PDF nebo XPS a výsledek uložit do hostitelského zařízení.

Pokud jde o schránku, firemní politika to může umožnit Obrázky ve formátu BMP a text se kopírují do a z izolovaného prostředí. Pokud si zaměstnanci stěžují, že nemohou kopírovat obsah, bude obvykle nutné tyto zásady přezkoumat.

Mnoho uživatelů se také ptá proč Nevidí své oblíbené položky ani rozšíření v relaci Edge v části Application Guard. To je obvykle způsobeno zakázanou synchronizací záložek nebo nepovolenou zásadou rozšíření v MDAG. Po úpravě těchto možností může prohlížeč v kontejneru dědit záložky a určitá rozšíření, vždy s výše uvedenými omezeními.

Existují dokonce případy, kdy se rozšíření zobrazí, ale „nefunguje“. Pokud se spoléhá na nativní komponenty pro zpracování zpráv, tato funkce nebude v kontejneru k dispozici a rozšíření bude vykazovat omezené nebo zcela nefunkční chování.

Grafický výkon, HDR a hardwarová akcelerace

Dalším často se objevujícím tématem je přehrávání videa a pokročilé funkce, jako je HDR v rámci Application Guard. Při spuštění v platformě Hyper-V nemá kontejner vždy přímý přístup k funkcím GPU.

Aby přehrávání HDR správně fungovalo v izolovaném prostředí, je nutné, aby Hardwarová akcelerace vGPU je povolena prostřednictvím zásad zrychleného vykreslování. Jinak se systém bude spoléhat na procesor a některé možnosti, jako například HDR, se v nastavení přehrávače ani webových stránek nezobrazí.

I když je akcelerace povolena, pokud grafický hardware není považován za dostatečně bezpečný nebo kompatibilní, může ochrana aplikací automaticky se vrátí k softwarovému vykreslovánícož ovlivňuje plynulost a spotřebu baterie v noteboocích.

Některá nasazení vykazovala problémy s fragmentací TCP a konflikty s... VPN, které se zdají být nespuštěné a nefungují když provoz prochází kontejnerem. V těchto případech je obvykle nutné zkontrolovat síťové zásady, MTU, konfiguraci proxy a někdy upravit, jak se MDAG integruje s dalšími již nainstalovanými bezpečnostními komponentami.

Podpora, diagnostika a hlášení incidentů

Pokud se i přes všechno objeví problémy, které nelze vyřešit interně, společnost Microsoft doporučuje otevřít konkrétní tiket podpory pro Microsoft Defender Application Guard. Je důležité předem shromáždit informace ze stránky diagnostiky, souvisejících protokolů událostí a podrobností o konfiguraci použité na zařízení.

Použití stránky edge://application-guard-internals, v kombinaci s povolené události auditu a vydání nástrojů, jako například wdagtool.exeObvykle to poskytne týmu podpory dostatek dat k nalezení zdroje problému, ať už se jedná o špatně definovanou politiku, konflikt s jiným bezpečnostním produktem nebo hardwarové omezení.

Kromě toho všeho si uživatelé mohou v dialogovém okně technické podpory zabezpečení systému Windows přizpůsobit chybové zprávy a kontaktní informace, což jim usnadní nalezení správného řešení. Nenechte se uvíznout v situaci, kdy nebudete vědět, na koho se obrátit když se kontejner nespustí nebo se neotevře podle očekávání.

Celkově vzato, Microsoft Defender Application Guard nabízí výkonnou kombinaci hardwarové izolace, podrobné kontroly zásad a diagnostických nástrojů, které při správném použití mohou výrazně snížit riziko spojené s procházením nedůvěryhodných webů nebo otevíráním dokumentů z pochybných zdrojů, aniž by to ohrozilo každodenní produktivitu.