- Microsoft Defender Application Guard isolerer websteder og dokumenter, der ikke er tillid til, i en Hyper-V-container for at beskytte systemet og virksomhedens data.
- Implementeringen kræver specifikke udgaver og licenser af Windows samt overholdelse af krav til virtualisering og netværkskonfiguration.
- Sikkerhed og brugeroplevelse styres via gruppepolitikker, der regulerer udklipsholder, downloads, udskrivning, udvidelser og adgang til ressourcer.
- Diagnostiske, revisions- og supportværktøjer muliggør identifikation af konflikter, optimering af ydeevne og opretholdelse af en balance mellem beskyttelse og produktivitet.
Hvis du arbejder med følsomme oplysninger eller besøger mistænkelige websteder dagligt, Microsoft Defender Application Guard (MDAG) Det er en af de Windows-funktioner, der kan gøre forskellen mellem en skræmmetur og en katastrofe. Det er ikke bare endnu et antivirusprogram, men et ekstra lag, der isolerer trusler fra dit system og dine data.
I de følgende linjer vil du tydeligt se Hvad er Application Guard præcist, hvordan fungerer det internt, hvilke enheder kan man bruge det på, og hvordan konfigurerer man det? Vi dækker både simple implementeringer og implementeringer i virksomheder. Vi gennemgår også krav, gruppepolitikker, almindelige fejl og forskellige ofte stillede spørgsmål, der opstår, når man begynder at arbejde med denne teknologi.
Hvad er Microsoft Defender Application Guard, og hvordan fungerer det?
Microsoft Defender Application Guard er en avanceret sikkerhedsfunktion designet til at Isoler ikke-tillid til websteder og dokumenter i en virtuel container Baseret på Hyper-V. I stedet for at forsøge at blokere hvert angreb et efter et, opretter den en lille "engangscomputer", hvor den placerer det mistænkelige materiale.
Den container kører i en separat fra det primære operativsystemmed sin egen forstærkede instans af Windows og ingen direkte adgang til filer, legitimationsoplysninger eller interne virksomhedsressourcer. Selv hvis et ondsindet websted formår at udnytte en browser- eller Office-sårbarhed, forbliver skaden inden for det isolerede miljø.
I tilfælde af Microsoft Edge sørger Application Guard for, at ethvert domæne, der ikke er markeret som betroet Den åbnes automatisk i den pågældende container. For Office gør den det samme med Word-, Excel- og PowerPoint-dokumenter, der kommer fra kilder, som organisationen ikke anser for sikre.
Nøglen er, at denne isolation er af hardwaretypen: Hyper-V skaber et uafhængigt miljø fra værten, hvilket drastisk reducerer muligheden for, at en angriber hopper fra den isolerede session til det rigtige system, stjæler virksomhedsdata eller udnytter lagrede legitimationsoplysninger.
Derudover behandles containeren som et anonymt miljø: Den arver ikke brugerens cookies, adgangskoder eller sessioner.Dette gør livet meget vanskeligere for angribere, der er afhængige af spoofing eller sessionstyveriteknikker.
Anbefalede enhedstyper til brug af Application Guard
Selvom Application Guard teknisk set kan køre i forskellige scenarier, er det specielt designet til virksomhedsmiljøer og administrerede enhederMicrosoft skelner mellem flere typer udstyr, hvor MDAG giver mest mening.
Først og fremmest er der domænetilsluttet virksomhedsdesktopDisse administreres typisk med Configuration Manager eller Intune. Det er traditionelle kontorcomputere med standardbrugere og forbundet til det kabelbaserede virksomhedsnetværk, hvor risikoen primært stammer fra daglig internetsurfing.
Så har vi virksomhedens bærbare computereDisse er også domæneforbundne og centralt administrerede enheder, men de opretter forbindelse til interne eller eksterne Wi-Fi-netværk. Her øges risikoen, fordi enheden forlader det kontrollerede netværk og er udsat for Wi-Fi på hoteller, i lufthavne eller hjemmenetværk.
En anden gruppe er BYOD (Bring Your Own Device) bærbare computere, personligt udstyr, der ikke tilhører virksomheden, men som administreres gennem løsninger som Intune. De er normalt i hænderne på brugere med lokale administratorrettigheder, hvilket øger angrebsfladen og gør det mere attraktivt at bruge isolation til adgang til virksomhedens ressourcer.
Endelig er der fuldstændig uadministrerede personlige enhederDette er websteder, der ikke tilhører noget domæne, og hvor brugeren har absolut kontrol. I disse tilfælde kan Application Guard bruges i standalone-tilstand (især til Edge) for at give et ekstra lag af beskyttelse, når man besøger potentielt farlige websteder.
Nødvendige Windows-udgaver og licenser
Før du begynder at konfigurere noget, er det vigtigt at være klar over dette. I hvilke udgaver af Windows kan du bruge Microsoft Defender Application Guard og med hvilke licensrettigheder.
For Edge standalone-tilstand (dvs. kun at bruge Application Guard som en browser-sandkasse uden avanceret virksomhedsadministration), understøttes på Windows:
- Windows pro
- Windows Enterprise
- Windows Pro Education / SE
- Windows Uddannelse
I dette scenarie gives MDAG-licensrettigheder, hvis du har licenser som f.eks. Windows Pro/Pro Education/SE, Windows Enterprise E3 eller E5 og Windows Education A3 eller A5I praksis kan du på mange professionelle pc'er med Windows Pro allerede aktivere funktionen til grundlæggende brug.
For Edge Enterprise-tilstand og virksomhedsadministration (hvor avancerede direktiver og mere komplekse scenarier kommer i spil), reduceres supporten:
- Windows Enterprise y Windows Uddannelse Application Guard understøttes i denne tilstand.
- Windows Pro og Windows Pro Education/SE ingen De har understøttelse af denne virksomhedsvariant.
Hvad angår licenser, kræver denne mere avancerede virksomhedsbrug Windows Enterprise E3/E5 eller Windows Education A3/A5Hvis din organisation kun bruger Pro uden Enterprise-abonnementer, vil du være begrænset til Edge standalone-tilstand.
Systemkrav og kompatibilitet
Ud over Windows-udgaven skal du opfylde kravene for at Application Guard kan fungere stabilt en række tekniske krav relateret til version, hardware og virtualiseringssupport.
Med hensyn til operativsystemet er det obligatorisk at bruge Windows 10 1809 eller nyere (Opdatering fra oktober 2018) eller en tilsvarende version af Windows 11. Den er ikke beregnet til server-SKU'er eller kraftigt nedskalerede varianter; den er tydeligvis rettet mod klientcomputere.
På hardwareniveau skal udstyret have hardwarebaseret virtualisering aktiveret (Intel VT-x/AMD-V-understøttelse og adresseoversættelse på andet niveau, såsom SLAT), da Hyper-V er nøglekomponenten til at oprette den isolerede container. Uden dette lag vil MDAG ikke være i stand til at oprette sit sikre miljø.
Det er også vigtigt at have kompatible administrationsmekanismer Hvis du skal bruge det centralt (f.eks. Microsoft Intune eller Configuration Manager), som beskrevet i kravene til virksomhedssoftwaren. Til simple implementeringer vil selve Windows Security-grænsefladen være tilstrækkelig.
Bemærk endelig det Application Guard er ved at blive udfaset. For Microsoft Edge til virksomheder, og at visse API'er tilknyttet enkeltstående applikationer ikke længere vil blive opdateret. Alligevel er det stadig meget udbredt i miljøer, hvor der er behov for risikoinddæmning på kort og mellemlang sigt.
Anvendelsesscenarie: sikkerhed versus produktivitet
Et af de klassiske problemer inden for cybersikkerhed er at finde den rette balance mellem for virkelig at beskytte, ikke for at blokere brugerenHvis du kun tillader en håndfuld "velsignede" hjemmesider, reducerer du risikoen, men du dræber produktiviteten. Hvis du løsner restriktionerne, stiger eksponeringsniveauet voldsomt.
Browseren er en af de de vigtigste angrebsflader af jobbet, fordi dets formål er at åbne upålidelig indhold fra en bred vifte af kilder: ukendte websteder, downloads, tredjepartsscripts, aggressiv reklame osv. Uanset hvor meget du forbedrer søgemotoren, vil der altid være nye sårbarheder, som nogen vil forsøge at udnytte.
I denne model definerer administratoren præcist, hvilke domæner, IP-intervaller og cloudressourcer de anser for at være troværdige. Alt, der ikke er på listen, går automatisk til containerenDer kan brugeren browse uden frygt for, at en browserfejl vil bringe resten af de interne systemer i fare.
Resultatet er en relativt fleksibel navigation for medarbejderen, men med en stærkt bevogtet grænse mellem hvad der er en upålidelig omverden og hvad der er et virksomhedsmiljø, der skal beskyttes for enhver pris.
Seneste funktioner og opdateringer til Application Guard i Microsoft Edge
Gennem de forskellige versioner af Microsoft Edge baseret på Chromium har Microsoft tilføjet Specifikke forbedringer til Application Guard med det formål at forbedre brugeroplevelsen og give administratoren mere kontrol.
En af de vigtige nye funktioner er blokering af filuploads fra containerenSiden Edge 96 har organisationer været i stand til at forhindre brugere i at uploade dokumenter fra deres lokale enhed til en formular eller webtjeneste inden for en isoleret session ved hjælp af politikken. ApplicationGuardUploadBlockingEnabledDette reducerer risikoen for informationslækager.
En anden meget nyttig forbedring er passiv tilstand, tilgængelig siden Edge 94. Når aktiveret af politikken ApplicationGuardPassiveModeEnabledApplication Guard stopper med at gennemtvinge webstedslisten og tillader brugeren at navigere i Edge "normalt", selvom funktionen forbliver installeret. Det er en bekvem måde at have teknologien klar uden at omdirigere trafik endnu.
Muligheden for er også blevet tilføjet synkroniser værtens favoritter med containerenDette var noget, mange kunder efterspurgte for at undgå to fuldstændig usammenhængende browseroplevelser. Siden Edge 91 har politikken ApplicationGuardFavoritesSyncEnabled Det tillader nye markører at vises ligeligt inden for det isolerede miljø.
Inden for netværksområdet inkorporerede Edge 91 understøttelse af Mærk trafikken, der forlader containeren takket være direktivet ApplicationGuardTrafficIdentificationEnabledDette giver virksomheder mulighed for at identificere og filtrere denne trafik via en proxy, for eksempel for at begrænse adgangen til et meget lille sæt websteder, når de browser fra MDAG.
Dobbelt proxy, udvidelser og andre avancerede scenarier
Nogle organisationer bruger Application Guard i mere komplekse implementeringer, hvor de har brug for det. nøje overvåge containertrafikken og browserens muligheder i det isolerede miljø.
I disse tilfælde understøtter Edge dobbelt proxy Fra stabil version 84 og fremefter, konfigurerbar via direktivet ApplicationGuardContainerProxyIdeen er, at trafik, der stammer fra containeren, dirigeres gennem en specifik proxy, der er forskellig fra den, som værten bruger, hvilket gør det nemmere at anvende uafhængige regler og strengere inspektion.
En anden tilbagevendende forespørgsel fra kunder var muligheden for brug udvidelser i containerenSiden Edge 81 har dette været muligt, så annonceblokkere, interne virksomhedsudvidelser eller andre værktøjer kan køres, så længe de overholder de definerede politikker. Det er nødvendigt at deklarere updateURL af udvidelsen i netværksisoleringspolitikkerne, så den betragtes som en neutral ressource, der er tilgængelig fra Application Guard.
De accepterede scenarier omfatter tvungen installation af udvidelser på værten Disse udvidelser vises derefter i containeren, hvilket giver mulighed for at fjerne specifikke udvidelser eller blokere andre, der anses for uønskede af sikkerhedsmæssige årsager. Dette gælder dog ikke for udvidelser, der er afhængige af native meddelelseshåndteringskomponenter. De er ikke kompatible inden for MDAG.
For at hjælpe med at diagnosticere konfigurations- eller adfærdsproblemer, en specifik diagnostisk side en edge://application-guard-internalsDerfra kan du blandt andet kontrollere, om en given URL anses for at være troværdig eller ej i henhold til de politikker, der faktisk gælder for brugeren.
Endelig, angående opdateringer, vil den nye Microsoft Edge Den opdaterer også sig selv i containerenDen følger den samme kanal og version som værtsbrowseren. Den afhænger ikke længere af operativsystemets opdateringscyklus, som det var tilfældet med Legacy-versionen af Edge, hvilket forenkler vedligeholdelsen betydeligt.
Sådan aktiverer du Microsoft Defender Application Guard i Windows
Hvis du vil køre det på en kompatibel enhed, er det første trin aktiver Windows-funktionen tilsvarende. Processen er grundlæggende ret ligetil.
Den hurtigste måde er at åbne dialogboksen Kør med Win + R, at skrive appwiz.cpl og tryk på Enter for at gå direkte til panelet "Programmer og funktioner". Derfra finder du linket til "Slå Windows-funktioner til eller fra" i venstre side.
På listen over tilgængelige komponenter skal du finde posten "Microsoft Defender Application Guard" og vælg den. Når du har accepteret, downloader eller aktiverer Windows de nødvendige binære filer og beder dig om at genstarte computeren for at anvende ændringerne.
Efter genstart, på kompatible enheder med de korrekte versioner af Edge, burde du kunne Åbn nye vinduer eller isolerede faner via browserindstillinger eller, i administrerede miljøer, automatisk i henhold til konfigurationen af listen over websteder, der ikke er tillid til.
Hvis du ikke ser muligheder som "Nyt Application Guard-vindue", eller hvis containeren ikke åbnes, er det muligt, at De instruktioner, du følger, kan være forældede.Dette kan skyldes, at din version af Windows ikke understøttes, at du ikke har Hyper-V aktiveret, eller at din organisations politik har deaktiveret funktionen.
Konfiguration af Application Guard med gruppepolitik
I forretningsmiljøer konfigureres hvert stykke udstyr ikke manuelt; i stedet anvendes et foruddefineret system. gruppepolitik (GPO) eller konfigurationsprofiler i Intune til at definere politikker centralt. Application Guard er afhængig af to primære konfigurationsblokke: netværksisolering og applikationsspecifikke parametre.
Indstillingerne for netværksisolation findes i Computer Configuration\Administrative Templates\Network\Network IsolationDet er her, for eksempel følgende er defineret: interne netværksområder og domæner, der betragtes som virksomhedsdomænersom vil markere grænsen mellem, hvad der er pålideligt, og hvad der bør smides i skraldespanden.
En af de vigtigste politikker er, at "Private netværksintervaller for applikationer"Dette afsnit angiver, i en kommasepareret liste, de IP-adresseområder, der tilhører virksomhedens netværk. Slutpunkter i disse områder åbnes i normal Edge og vil ikke være tilgængelige fra Application Guard-miljøet.
En anden vigtig politik er, at "Cloudhostede virksomhedsressourcedomæner"som bruger en liste adskilt af tegnet | At angive SaaS-domæner og cloud-tjenester i organisationen, der skal behandles som interne. Disse vil også blive gengivet på Edge uden for containeren.
Endelig direktivet fra "Domæner klassificeret som personlige og arbejdsmæssige" Det giver dig mulighed for at deklarere domæner, der kan bruges til både personlige og forretningsmæssige formål. Disse websteder vil være tilgængelige fra både det normale Edge-miljø og Application Guard, alt efter hvad der er relevant.
Brug af jokertegn i netværksisolationsindstillinger
For at undgå at skulle skrive hvert underdomæne ét efter ét, understøttes netværksisolationslister jokertegn i domænenavneDette giver bedre kontrol over, hvad der anses for pålideligt.
Hvis det er simpelt defineret contoso.comBrowseren vil kun stole på den specifikke værdi og ikke på andre domæner, der indeholder den. Med andre ord vil den kun behandle den bogstavelige værdi som tilhørende en virksomhed. den nøjagtige rod og ikke www.contoso.com heller ikke varianter.
Hvis angivet www.contoso.com, så kun den specifikke vært vil blive betragtet som betroede. Andre underdomæner som f.eks. shop.contoso.com De ville blive efterladt og kunne ende i skraldespanden.
Med formatet .contoso.com (en periode før) indikerer at Ethvert domæne, der ender på "contoso.com", er betroet. Dette inkluderer fra contoso.com hasta www.contoso.com eller endda kæder som spearphishingcontoso.comSå det skal bruges med omhu.
Endelig, hvis det bruges ..contoso.com (initial kolon), alle niveauer i hierarkiet til venstre for domænet er betroede, for eksempel shop.contoso.com o us.shop.contoso.comMen Roden "contoso.com" er ikke betroet i sig selv. Det er en bedre måde at kontrollere, hvad der betragtes som en virksomhedsressource.
Hovedapplikation Guard-specifikke direktiver
Det andet store sæt indstillinger er placeret i Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application GuardHerfra styres landet detaljeret containeradfærd og hvad brugeren kan eller ikke kan gøre i den.
En af de mest relevante politikker er den, der "Indstillinger for udklipsholder"Dette styrer, om det er muligt at kopiere og indsætte tekst eller billeder mellem værten og Application Guard. I administreret tilstand kan du tillade kopiering kun fra containeren og ud, kun i omvendt retning eller endda deaktivere udklipsholderen helt.
Tilsvarende direktivet fra "Udskriftsindstillinger" Den afgør, om indhold kan udskrives fra containeren, og i hvilke formater. Du kan aktivere udskrivning til PDF, XPS, tilsluttede lokale printere eller foruddefinerede netværksprintere, eller blokere alle udskrivningsmuligheder i MDAG.
Valget "Anerkend vedholdenhed" Denne indstilling bestemmer, om brugerdata (downloadede filer, cookies, favoritter osv.) gemmes mellem Application Guard-sessioner eller slettes, hver gang miljøet lukkes ned. Aktivering af dette i administreret tilstand giver containeren mulighed for at gemme disse oplysninger til fremtidige sessioner; deaktivering resulterer i et stort set rent miljø ved hver opstart.
Hvis du senere beslutter dig for at stoppe med at tillade vedvarende data, kan du bruge værktøjet wdagtool.exe med parametrene cleanup o cleanup RESET_PERSISTENCE_LAYER at nulstille containeren og kassere de oplysninger, som medarbejderen har genereret.
En anden central politik er "Aktiver Application Guard i administreret tilstand"Dette afsnit angiver, om funktionen gælder for Microsoft Edge, Microsoft Office eller begge. Denne politik træder ikke i kraft, hvis enheden ikke opfylder forudsætningerne eller har konfigureret netværksisolering (undtagen i visse nyere versioner af Windows, hvor den ikke længere er påkrævet for Edge, hvis specifikke KB-opdateringer er blevet installeret).
Fildeling, certifikater, kamera og revision
Ud over de ovennævnte politikker er der andre direktiver, der påvirker hvordan containeren relaterer sig til værtssystemet og med periferiudstyret.
Politik "Tillad download af filer til værtens operativsystem" Den afgør, om brugeren kan gemme filer, der er downloadet fra det isolerede miljø, på værten. Når den er aktiveret, opretter den en delt ressource mellem begge miljøer, som også tillader visse uploads fra værten til containeren – meget nyttigt, men et system, der bør evalueres ud fra et sikkerhedsmæssigt perspektiv.
Konfigurationen af "Aktivér hardwareaccelereret gengivelse" Aktiverer GPU-brug via vGPU for at forbedre grafikydeevnen, især ved afspilning af video og tungt indhold. Hvis der ikke er kompatibel hardware tilgængelig, vender Application Guard tilbage til CPU-rendering. Aktivering af denne indstilling på enheder med upålidelige drivere kan dog øge risikoen for værten.
Der er også et direktiv vedr. tillad adgang til kamera og mikrofon i containeren. Aktivering af den giver applikationer, der kører under MDAG, mulighed for at bruge disse enheder, hvilket muliggør videoopkald eller konferencer fra isolerede miljøer, selvom det også åbner døren for at omgå standardtilladelser, hvis containeren kompromitteres.
En anden politik tillader Application Guard brug specifikke værtsrodcertificeringsmyndighederDette overfører de certifikater, hvis fingeraftryk er angivet, til containeren. Hvis dette er deaktiveret, arver containeren ikke disse certifikater, hvilket kan blokere forbindelser til visse interne tjenester, hvis de er afhængige af private autorisationer.
Endelig muligheden for "Tillad revisionshændelser" Det forårsager, at systemhændelser, der genereres i containeren, logges, og at enhedsrevisionspolitikker nedarves, så sikkerhedsteamet kan spore, hvad der sker i Application Guard, fra værtsloggene.
Integration med support- og tilpasningsrammer
Når noget går galt i Application Guard, ser brugeren en fejldialogboks Som standard inkluderer dette kun en beskrivelse af problemet og en knap til at rapportere det til Microsoft via Feedback Hub. Denne oplevelse kan dog tilpasses for at lette intern support.
På ruten Administrative Templates\Windows Components\Windows Security\Enterprise Customization Der er en politik, som administratoren kan bruge Tilføj kontaktoplysninger til supporttjenestenInterne links eller korte instruktioner. På denne måde ved en medarbejder, når de ser fejlen, straks hvem de skal kontakte, eller hvilke skridt de skal tage.
Ofte stillede spørgsmål og almindelige problemer med Application Guard
Brugen af Application Guard genererer en god håndfuld tilbagevendende spørgsmål i implementeringer i den virkelige verden, især med hensyn til ydeevne, kompatibilitet og netværksadfærd.
Et af de første spørgsmål er, om det kan aktiveres i enheder med kun 4 GB RAMSelvom der er scenarier, hvor det kan virke, lider ydeevnen normalt betydeligt i praksis, da containeren praktisk talt er et andet operativsystem, der kører parallelt.
Et andet følsomt punkt er integration med netværksproxyer og PAC-scriptsMeddelelser som "Kan ikke fortolke eksterne URL'er fra MDAG-browseren: ERR_CONNECTION_REFUSED" eller "ERR_NAME_NOT_RESOLVED", når adgang til PAC-filen mislykkes, indikerer normalt konfigurationsproblemer mellem containeren, proxyen og isolationsreglerne.
Der er også problemer relateret til IME'er (input method editorer) understøttes ikke I visse versioner af Windows forhindrer konflikter med diskkrypteringsdrivere eller enhedskontrolløsninger, at containeren indlæses.
Nogle administratorer støder på fejl som f.eks. "FEJL_VIRTUEL_DISK_BEGRÆNSNING" Hvis der er begrænsninger relateret til virtuelle diske, eller hvis der ikke er mulighed for at deaktivere teknologier som hyperthreading, der indirekte påvirker Hyper-V og dermed MDAG.
Der rejses også spørgsmål om, hvordan stol kun på bestemte underdomæner, vedrørende størrelsesbegrænsninger for domænelister eller hvordan man deaktiverer den funktion, hvor værtsfanen automatisk lukkes, når man navigerer til et websted, der åbnes i containeren.
Application Guard, IE-tilstand, Chrome og Office
I miljøer, hvor IE-tilstand i Microsoft EdgeApplication Guard understøttes, men Microsoft forventer ikke udbredt brug af funktionen i denne tilstand. Det anbefales at reservere IE-tilstand til [specifikke applikationer/anvendelser]. pålidelige interne websteder og brug kun MDAG til websteder, der betragtes som eksterne og upålidelige.
Det er vigtigt at sikre sig alle websteder konfigureret i IE-tilstandNetværket skal sammen med dets tilhørende IP-adresser også inkluderes i netværksisoleringspolitikkerne som betroede ressourcer. Ellers kan der opstå uventet adfærd, når begge funktioner kombineres.
Angående Chrome spørger mange brugere, om det er nødvendigt Installer en Application Guard-udvidelseSvaret er nej: Funktionaliteten er integreret i Microsoft Edge, og den gamle Chrome-udvidelse understøttes ikke, når man arbejder med Edge.
For Office-dokumenter tillader Application Guard Åbn Word-, Excel- og PowerPoint-filer i en isoleret container når filer anses for at være upålidelige, hvilket forhindrer ondsindede makroer eller andre angrebsvektorer i at nå værten. Denne beskyttelse kan kombineres med andre Defender-funktioner og filtillidspolitikker.
Der er endda en gruppepolitikindstilling, der giver brugerne mulighed for at "have tillid til" bestemte filer, der er åbnet i Application Guard, så de behandles som sikre og afslutter containeren. Denne funktion bør administreres omhyggeligt for at undgå at miste fordelen ved isolation.
Downloads, udklipsholder, favoritter og udvidelser: brugeroplevelse
Fra brugerens synspunkt drejer nogle af de mest praktiske spørgsmål sig om hvad der kan og ikke kan gøres inde i containerenisær med downloads, kopier/indsæt og udvidelser.
I Windows 10 Enterprise 1803 og nyere versioner (med nuancer afhængigt af udgaven) er det muligt tillad download af dokumenter fra containeren til værten Denne mulighed var ikke tilgængelig i tidligere versioner eller i visse builds af udgaver som Pro, selvom det var muligt at udskrive til PDF eller XPS og gemme resultatet på værtsenheden.
Hvad angår udklipsholderen, kan virksomhedens politik tillade det Billeder i BMP-format og tekst kopieres til og fra det isolerede miljø. Hvis medarbejdere klager over, at de ikke kan kopiere indhold, skal disse politikker normalt gennemgås.
Mange brugere spørger også hvorfor De kan ikke se deres favoritter eller deres udvidelser i Edge-sessionen under Application Guard. Dette skyldes normalt, at bogmærkesynkronisering er deaktiveret, eller at udvidelsespolitikken i MDAG ikke er aktiveret. Når disse indstillinger er justeret, kan browseren i containeren arve bogmærker og visse udvidelser, altid med de tidligere nævnte begrænsninger.
Der er endda tilfælde, hvor en udvidelse vises, men "ikke virker". Hvis den er afhængig af native komponenter til meddelelseshåndtering, vil denne funktionalitet ikke være tilgængelig i containeren, og udvidelsen vil udvise begrænset eller fuldstændig inaktiv funktion.
Grafikydeevne, HDR og hardwareacceleration
Et andet emne, der ofte dukker op, er videoafspilning og avancerede funktioner såsom HDR i Application Guard. Når containeren kører på Hyper-V, har den ikke altid direkte adgang til GPU-funktioner.
For at HDR-afspilning kan fungere korrekt i et isoleret miljø, er det nødvendigt, at vGPU-hardwareacceleration er aktiveret gennem den accelererede renderingspolitik. Ellers vil systemet være afhængigt af CPU'en, og visse muligheder som HDR vises ikke i afspilleren eller webstedsindstillingerne.
Selv med acceleration aktiveret, kan Application Guard muligvis, hvis grafikhardwaren ikke anses for tilstrækkelig sikker eller kompatibel vender automatisk tilbage til softwaregengivelsehvilket påvirker flydende egenskaber og batteriforbrug i bærbare computere.
Nogle implementeringer har vist problemer med TCP-fragmentering og konflikter med VPN'er, der aldrig ser ud til at komme i gang når trafik passerer gennem containeren. I disse tilfælde er det normalt nødvendigt at gennemgå netværkspolitikker, MTU, proxykonfiguration og nogle gange justere, hvordan MDAG integreres med andre allerede installerede sikkerhedskomponenter.
Support, diagnose og hændelsesrapportering
Når der trods alt opstår problemer, som ikke kan løses internt, anbefaler Microsoft åbne en specifik supportsag til Microsoft Defender Application Guard. Det er vigtigt at indsamle oplysninger på forhånd fra diagnosticeringssiden, relaterede hændelseslogfiler og detaljer om den konfiguration, der er anvendt på enheden.
Brugen af siden edge://application-guard-internals, kombineret med aktiverede revisionshændelser og frigivelsen af værktøjer som f.eks. wdagtool.exeDet giver normalt supportteamet nok data til at finde kilden til problemet, uanset om det er en dårligt defineret politik, en konflikt med et andet sikkerhedsprodukt eller en hardwarebegrænsning.
Derudover kan brugerne tilpasse fejlmeddelelser og kontaktoplysninger i dialogboksen for teknisk support i Windows Security, hvilket gør det nemmere for dem at finde den rigtige løsning. Du skal ikke sidde fast i at vide, hvem du skal henvende dig til når beholderen ikke starter eller ikke åbner som forventet.
Samlet set tilbyder Microsoft Defender Application Guard en kraftfuld kombination af hardwareisolering, detaljeret politikkontrol og diagnosticeringsværktøjer, der, når de anvendes korrekt, kan reducere risikoen forbundet med at browse på upålidelige websteder eller åbne dokumenter fra tvivlsomme kilder betydeligt uden at gå på kompromis med den daglige produktivitet.
Passioneret forfatter om bytes-verdenen og teknologien generelt. Jeg elsker at dele min viden gennem skrivning, og det er det, jeg vil gøre i denne blog, vise dig alle de mest interessante ting om gadgets, software, hardware, teknologiske trends og mere. Mit mål er at hjælpe dig med at navigere i den digitale verden på en enkel og underholdende måde.