Πώς να χρησιμοποιήσετε το Microsoft Defender Application Guard βήμα προς βήμα

Εάν εργάζεστε με ευαίσθητες πληροφορίες ή περιηγείστε σε ύποπτους ιστότοπους καθημερινά, Microsoft Defender Application Guard (MDAG) Είναι μία από εκείνες τις λειτουργίες των Windows που μπορούν να κάνουν τη διαφορά μεταξύ ενός τρόμου και μιας καταστροφής. Δεν είναι απλώς ένα ακόμη πρόγραμμα προστασίας από ιούς, αλλά ένα επιπλέον επίπεδο που απομονώνει τις απειλές από το σύστημα και τα δεδομένα σας.

Στις επόμενες γραμμές θα δείτε καθαρά Τι ακριβώς είναι το Application Guard, πώς λειτουργεί εσωτερικά, σε ποιες συσκευές μπορείτε να το χρησιμοποιήσετε και πώς το ρυθμίζετε; Θα καλύψουμε τόσο απλές όσο και εταιρικές αναπτύξεις. Θα εξετάσουμε επίσης τις απαιτήσεις, τις πολιτικές ομάδας, τα συνηθισμένα σφάλματα και διάφορες συχνές ερωτήσεις που προκύπτουν όταν ξεκινάτε να εργάζεστε με αυτήν την τεχνολογία.

Τι είναι το Microsoft Defender Application Guard και πώς λειτουργεί;

Το Microsoft Defender Application Guard είναι μια προηγμένη λειτουργία ασφαλείας που έχει σχεδιαστεί για να Απομονώστε μη αξιόπιστους ιστότοπους και έγγραφα σε ένα εικονικό κοντέινερ Βασισμένο στο Hyper-V. Αντί να προσπαθεί να μπλοκάρει κάθε επίθεση μία προς μία, δημιουργεί έναν μικρό «υπολογιστή μιας χρήσης» όπου τοποθετεί το ύποπτο υλικό.

Αυτό το κοντέινερ τρέχει σε ένα ξεχωριστό από το κύριο λειτουργικό σύστημαμε τη δική του ενισχυμένη παρουσία των Windows και χωρίς άμεση πρόσβαση σε αρχεία, διαπιστευτήρια ή εσωτερικούς πόρους της εταιρείας. Ακόμα κι αν ένας κακόβουλος ιστότοπος καταφέρει να εκμεταλλευτεί ένα κενό ασφαλείας του προγράμματος περιήγησης ή του Office, η ζημιά παραμένει εντός αυτού του απομονωμένου περιβάλλοντος.

Στην περίπτωση του Microsoft Edge, το Application Guard διασφαλίζει ότι οποιοδήποτε domain που δεν έχει επισημανθεί ως αξιόπιστο Ανοίγει αυτόματα μέσα σε αυτό το κοντέινερ. Για το Office, κάνει το ίδιο με έγγραφα Word, Excel και PowerPoint που προέρχονται από πηγές που ο οργανισμός δεν θεωρεί ασφαλείς.

Το κλειδί είναι ότι αυτή η απομόνωση είναι τύπου υλικού: Το Hyper-V δημιουργεί ένα ανεξάρτητο περιβάλλον από τον κεντρικό υπολογιστή, γεγονός που μειώνει δραστικά την πιθανότητα ένας εισβολέας να μεταβεί από την απομονωμένη συνεδρία στο πραγματικό σύστημα, να κλέψει δεδομένα εταιρείας ή να εκμεταλλευτεί αποθηκευμένα διαπιστευτήρια.

Επιπλέον, το κοντέινερ αντιμετωπίζεται ως ανώνυμο περιβάλλον: Δεν κληρονομεί τα cookies, τους κωδικούς πρόσβασης ή τις περιόδους σύνδεσης του χρήστη.Αυτό κάνει τη ζωή πολύ πιο δύσκολη για τους επιτιθέμενους που βασίζονται σε τεχνικές πλαστογράφησης ή κλοπής συνεδρίας.

Προτεινόμενοι τύποι συσκευών για χρήση του Application Guard

Παρόλο που το Application Guard μπορεί τεχνικά να εκτελεστεί σε διάφορα σενάρια, έχει σχεδιαστεί ειδικά για εταιρικά περιβάλλοντα και διαχειριζόμενες συσκευέςΗ Microsoft διακρίνει διάφορους τύπους εξοπλισμού όπου το MDAG έχει τη μεγαλύτερη σημασία.

Πρώτα από όλα υπάρχουν τα εταιρικός υπολογιστής συνδεδεμένος σε τομέαΑυτά συνήθως διαχειρίζονται με το Configuration Manager ή το Intune. Είναι παραδοσιακοί υπολογιστές γραφείου, με τυπικούς χρήστες και συνδεδεμένοι στο ενσύρματο εταιρικό δίκτυο, όπου ο κίνδυνος προέρχεται κυρίως από την καθημερινή περιήγηση στο διαδίκτυο.

Τότε έχουμε το εταιρικοί φορητοί υπολογιστέςΑυτές είναι επίσης συσκευές που συνδέονται σε τομείς και διαχειρίζονται κεντρικά, αλλά συνδέονται σε εσωτερικά ή εξωτερικά δίκτυα Wi-Fi. Εδώ, ο κίνδυνος αυξάνεται επειδή η συσκευή εγκαταλείπει το ελεγχόμενο δίκτυο και εκτίθεται σε Wi-Fi σε ξενοδοχεία, αεροδρόμια ή οικιακά δίκτυα.

Μια άλλη ομάδα είναι οι φορητοί υπολογιστές BYOD (Bring Your Own Device - Φέρτε τη Δική σας Συσκευή), Προσωπικός εξοπλισμός που δεν ανήκει στην εταιρεία αλλά διαχειρίζεται μέσω λύσεων όπως το Intune. Συνήθως βρίσκονται στα χέρια χρηστών με δικαιώματα τοπικού διαχειριστή, γεγονός που αυξάνει την επιφάνεια επίθεσης και καθιστά πιο ελκυστική τη χρήση της απομόνωσης για την πρόσβαση σε εταιρικούς πόρους.

Τέλος, υπάρχουν εντελώς μη διαχειριζόμενες προσωπικές συσκευέςΠρόκειται για ιστότοπους που δεν ανήκουν σε κανέναν τομέα και όπου ο χρήστης έχει τον απόλυτο έλεγχο. Σε αυτές τις περιπτώσεις, το Application Guard μπορεί να χρησιμοποιηθεί σε αυτόνομη λειτουργία (ειδικά για το Edge) για να παρέχει ένα επιπλέον επίπεδο προστασίας κατά την επίσκεψη σε δυνητικά επικίνδυνους ιστότοπους.

Απαιτούμενες εκδόσεις και άδειες χρήσης των Windows

Πριν ξεκινήσετε να ρυθμίζετε οτιδήποτε, είναι σημαντικό να το ξεκαθαρίσετε αυτό. Σε ποιες εκδόσεις των Windows μπορείτε να χρησιμοποιήσετε το Microsoft Defender Application Guard και με ποια δικαιώματα αδειοδότησης.

Για Αυτόνομη λειτουργία Edge (δηλαδή, η χρήση του Application Guard μόνο ως sandbox προγράμματος περιήγησης χωρίς προηγμένη διαχείριση επιχειρήσεων), υποστηρίζεται στα Windows:

• Windows pro
• Windows Enterprise
• Windows Pro Education / SE
• Εκπαίδευση των Windows

Σε αυτό το σενάριο, τα δικαιώματα άδειας χρήσης MDAG παραχωρούνται εάν έχετε άδειες χρήσης όπως Windows Pro / Pro Education / SE, Windows Enterprise E3 ή E5 και Windows Education A3 ή A5Στην πράξη, σε πολλούς επαγγελματικούς υπολογιστές με Windows Pro μπορείτε ήδη να ενεργοποιήσετε τη λειτουργία για βασική χρήση.

Για λειτουργία edge enterprise και εταιρική διοίκηση (όπου εμπλέκονται προηγμένες οδηγίες και πιο σύνθετα σενάρια), η υποστήριξη μειώνεται:

• Windows Enterprise y Εκπαίδευση των Windows Το Application Guard υποστηρίζεται σε αυτήν τη λειτουργία.
• Windows Pro και Windows Pro Education/SE Όχι. Έχουν υποστήριξη για αυτήν την εταιρική παραλλαγή.

Όσον αφορά τις άδειες χρήσης, αυτή η πιο προηγμένη εταιρική χρήση απαιτεί Windows Enterprise E3/E5 ή Windows Education A3/A5Εάν ο οργανισμός σας χρησιμοποιεί μόνο το Pro χωρίς συνδρομές Enterprise, θα περιοριστείτε στην αυτόνομη λειτουργία Edge.

Προαπαιτούμενα συστήματος και συμβατότητα

Εκτός από την έκδοση των Windows, για να λειτουργεί σταθερά το Application Guard, πρέπει να πληροίτε τις προϋποθέσεις: μια σειρά τεχνικών απαιτήσεων σχετικά με την έκδοση, το υλικό και την υποστήριξη εικονικοποίησης.

Όσον αφορά το λειτουργικό σύστημα, είναι υποχρεωτική η χρήση Windows 10 1809 ή νεότερη έκδοση (Ενημέρωση Οκτωβρίου 2018) ή μια ισοδύναμη έκδοση των Windows 11. Δεν προορίζεται για SKU διακομιστών ή παραλλαγές σε μεγάλο βαθμό μειωμένης κλίμακας. Προφανώς απευθύνεται σε υπολογιστές-πελάτες.

Σε επίπεδο υλικού, ο εξοπλισμός πρέπει να έχει ενεργοποιημένη εικονικοποίηση βάσει υλικού (Υποστήριξη Intel VT-x/AMD-V και μετάφραση διευθύνσεων δεύτερου επιπέδου, όπως το SLAT), καθώς το Hyper-V είναι το βασικό στοιχείο για τη δημιουργία του απομονωμένου κοντέινερ. Χωρίς αυτό το επίπεδο, το MDAG δεν θα είναι σε θέση να ρυθμίσει το ασφαλές περιβάλλον του.

Είναι επίσης απαραίτητο να υπάρχει συμβατοί μηχανισμοί διαχείρισης Εάν πρόκειται να το χρησιμοποιήσετε κεντρικά (για παράδειγμα, Microsoft Intune ή Configuration Manager), όπως περιγράφεται λεπτομερώς στις απαιτήσεις εταιρικού λογισμικού. Για απλές αναπτύξεις, η ίδια η διεπαφή ασφαλείας των Windows θα είναι αρκετή.

Τέλος, σημειώστε ότι Το Application Guard βρίσκεται σε διαδικασία κατάργησης. Για το Microsoft Edge για επιχειρήσεις, και ότι ορισμένα API που σχετίζονται με αυτόνομες εφαρμογές δεν θα ενημερώνονται πλέον. Παρόλα αυτά, παραμένει πολύ διαδεδομένο σε περιβάλλοντα όπου απαιτείται βραχυπρόθεσμος και μεσοπρόθεσμος περιορισμός του κινδύνου.

Περίπτωση χρήσης: ασφάλεια έναντι παραγωγικότητας

Ένα από τα κλασικά προβλήματα στην κυβερνοασφάλεια είναι η εύρεση της σωστής ισορροπίας μεταξύ για να προστατεύσει πραγματικά, όχι για να μπλοκάρει τον χρήστηΑν επιτρέπετε μόνο μια χούφτα «ευλογημένων» ιστοσελίδων, μειώνετε τον κίνδυνο, αλλά σκοτώνετε την παραγωγικότητα. Αν χαλαρώσετε τους περιορισμούς, το επίπεδο έκθεσης εκτοξεύεται.

Το πρόγραμμα περιήγησης είναι ένα από τα κύριες επιφάνειες επίθεσης της εργασίας, επειδή ο σκοπός της είναι να ανοίγει μη αξιόπιστο περιεχόμενο από μια μεγάλη ποικιλία πηγών: άγνωστους ιστότοπους, λήψεις, σενάρια τρίτων, επιθετική διαφήμιση κ.λπ. Όσο κι αν βελτιώνετε τη μηχανή, θα υπάρχουν πάντα νέα τρωτά σημεία που κάποιος θα προσπαθήσει να εκμεταλλευτεί.

Σε αυτό το μοντέλο, ο διαχειριστής ορίζει με ακρίβεια ποιους τομείς, εύρη IP και πόρους cloud θεωρεί αξιόπιστους. Οτιδήποτε δεν βρίσκεται σε αυτήν τη λίστα μεταφέρεται αυτόματα στο κοντέινερΕκεί, ο χρήστης μπορεί να περιηγηθεί χωρίς φόβο ότι μια βλάβη του προγράμματος περιήγησης θα θέσει σε κίνδυνο τα υπόλοιπα εσωτερικά συστήματα.

Το αποτέλεσμα είναι σχετικά ευέλικτη πλοήγηση για τον εργαζόμενο, αλλά με αυστηρά φυλασσόμενα σύνορα ανάμεσα σε αυτό που αποτελεί έναν αναξιόπιστο εξωτερικό κόσμο και σε αυτό που αποτελεί ένα εταιρικό περιβάλλον που πρέπει να προστατεύεται πάση θυσία.

Πρόσφατες δυνατότητες και ενημερώσεις για το Application Guard στο Microsoft Edge

Σε όλες τις διάφορες εκδόσεις του Microsoft Edge που βασίζονται στο Chromium, η Microsoft έχει προσθέσει Συγκεκριμένες βελτιώσεις για το Application Guard με στόχο τη βελτίωση της εμπειρίας χρήστη και την παροχή μεγαλύτερου ελέγχου στον διαχειριστή.

Ένα από τα σημαντικά νέα χαρακτηριστικά είναι η αποκλεισμός μεταφορτώσεων αρχείων από το κοντέινερΑπό το Edge 96, οι οργανισμοί έχουν τη δυνατότητα να εμποδίζουν τους χρήστες να ανεβάζουν έγγραφα από την τοπική τους συσκευή σε μια φόρμα ή μια υπηρεσία web εντός μιας μεμονωμένης περιόδου σύνδεσης, χρησιμοποιώντας την πολιτική ApplicationGuardUploadBlockingEnabledΑυτό μειώνει τον κίνδυνο διαρροής πληροφοριών.

Μια άλλη πολύ χρήσιμη βελτίωση είναι η παθητική λειτουργία, διαθέσιμο από το Edge 94. Όταν ενεργοποιείται από την πολιτική ApplicationGuardPassiveModeEnabledΤο Application Guard σταματά να επιβάλλει τη λίστα ιστότοπων και επιτρέπει στον χρήστη να περιηγείται στο Edge "κανονικά", παρόλο που η λειτουργία παραμένει εγκατεστημένη. Είναι ένας βολικός τρόπος για να έχετε την τεχνολογία έτοιμη χωρίς να ανακατευθύνετε την επισκεψιμότητα ακόμα.

Έχει επίσης προστεθεί η δυνατότητα συγχρονίστε τα αγαπημένα του κεντρικού υπολογιστή με το κοντέινερΑυτό ήταν κάτι που πολλοί πελάτες ζήτησαν για να αποφύγουν να έχουν δύο εντελώς αποσυνδεδεμένες εμπειρίες περιήγησης. Από το Edge 91, η πολιτική ApplicationGuardFavoritesSyncEnabled Επιτρέπει την εμφάνιση νέων δεικτών ισότιμα ​​εντός του απομονωμένου περιβάλλοντος.

Στον τομέα της δικτύωσης, το Edge 91 ενσωμάτωσε υποστήριξη για επισημάνετε την κυκλοφορία που εξέρχεται από το κοντέινερ χάρη στην οδηγία ApplicationGuardTrafficIdentificationEnabledΑυτό επιτρέπει στις εταιρείες να εντοπίζουν και να φιλτράρουν αυτήν την επισκεψιμότητα μέσω ενός διακομιστή μεσολάβησης, για παράδειγμα, να περιορίζουν την πρόσβαση σε ένα πολύ μικρό σύνολο ιστότοπων κατά την περιήγηση από το MDAG.

Διπλός διακομιστής μεσολάβησης, επεκτάσεις και άλλα προηγμένα σενάρια

Ορισμένοι οργανισμοί χρησιμοποιούν το Application Guard σε πιο σύνθετες αναπτύξεις όπου χρειάζονται παρακολουθούν στενά την κυκλοφορία των εμπορευματοκιβωτίων και τις δυνατότητες του προγράμματος περιήγησης μέσα σε αυτό το απομονωμένο περιβάλλον.

Για αυτές τις περιπτώσεις, το Edge υποστηρίζει διπλό πληρεξούσιο Από την σταθερή έκδοση 84 και μετά, διαμορφώσιμο μέσω της οδηγίας ApplicationGuardContainerProxyΗ ιδέα είναι ότι η κίνηση που προέρχεται από το κοντέινερ δρομολογείται μέσω ενός συγκεκριμένου διακομιστή μεσολάβησης, διαφορετικού από αυτόν που χρησιμοποιεί ο κεντρικός υπολογιστής, γεγονός που διευκολύνει την εφαρμογή ανεξάρτητων κανόνων και την αυστηρότερη επιθεώρηση.

Ένα άλλο επαναλαμβανόμενο αίτημα από τους πελάτες ήταν η δυνατότητα χρήση επεκτάσεων εντός του κοντέινερΑπό το Edge 81, αυτό είναι εφικτό, επομένως μπορούν να εκτελούνται προγράμματα αποκλεισμού διαφημίσεων, εσωτερικές εταιρικές επεκτάσεις ή άλλα εργαλεία, εφόσον συμμορφώνονται με τις καθορισμένες πολιτικές. Είναι απαραίτητο να δηλωθεί το updateURL της επέκτασης στις πολιτικές απομόνωσης δικτύου, έτσι ώστε να θεωρείται ουδέτερος πόρος προσβάσιμος από το Application Guard.

Τα αποδεκτά σενάρια περιλαμβάνουν αναγκαστική εγκατάσταση επεκτάσεων στον κεντρικό υπολογιστή Αυτές οι επεκτάσεις εμφανίζονται στη συνέχεια στο κοντέινερ, επιτρέποντας την κατάργηση συγκεκριμένων επεκτάσεων ή τον αποκλεισμό άλλων που θεωρούνται ανεπιθύμητες για λόγους ασφαλείας. Ωστόσο, αυτό δεν ισχύει για επεκτάσεις που βασίζονται σε εγγενή στοιχεία χειρισμού μηνυμάτων. Δεν είναι συμβατά εντός της MDAG.

Για να βοηθήσει στη διάγνωση προβλημάτων διαμόρφωσης ή συμπεριφοράς, ένα συγκεκριμένη διαγνωστική σελίδα en edge://application-guard-internalsΑπό εκεί, μπορείτε να ελέγξετε, μεταξύ άλλων, εάν μια δεδομένη διεύθυνση URL θεωρείται αξιόπιστη ή όχι σύμφωνα με τις πολιτικές που εφαρμόζονται στον χρήστη.

Τέλος, όσον αφορά τις ενημερώσεις, ο νέος Microsoft Edge θα Ενημερώνεται επίσης μέσα στο κοντέινερΑκολουθεί το ίδιο κανάλι και έκδοση με το κεντρικό πρόγραμμα περιήγησης. Δεν εξαρτάται πλέον από τον κύκλο ενημέρωσης του λειτουργικού συστήματος, όπως συνέβαινε με την παλαιότερη έκδοση του Edge, γεγονός που απλοποιεί σημαντικά τη συντήρηση.

Πώς να ενεργοποιήσετε το Microsoft Defender Application Guard στα Windows

Αν θέλετε να το εκτελέσετε σε μια συμβατή συσκευή, το πρώτο βήμα είναι ενεργοποιήστε τη λειτουργία των Windows αντίστοιχη. Η διαδικασία, σε βασικό επίπεδο, είναι αρκετά απλή.

Ο πιο γρήγορος τρόπος είναι να ανοίξετε το παράθυρο διαλόγου Εκτέλεση με Win + R, να γράψω appwiz.cpl και πατήστε Enter για να μεταβείτε απευθείας στον πίνακα "Προγράμματα και δυνατότητες". Από εκεί, στην αριστερή πλευρά, θα βρείτε τον σύνδεσμο για την "Ενεργοποίηση ή απενεργοποίηση των δυνατοτήτων των Windows".

Στη λίστα με τα διαθέσιμα στοιχεία, θα πρέπει να εντοπίσετε την καταχώρηση «Προστασία εφαρμογών Microsoft Defender» και επιλέξτε το. Μετά την αποδοχή, τα Windows θα κατεβάσουν ή θα ενεργοποιήσουν τα απαραίτητα δυαδικά αρχεία και θα σας ζητήσουν να επανεκκινήσετε τον υπολογιστή σας για να εφαρμοστούν οι αλλαγές.

Μετά την επανεκκίνηση, σε συμβατές συσκευές με τις σωστές εκδόσεις του Edge, θα πρέπει να μπορείτε να Άνοιγμα νέων παραθύρων ή μεμονωμένων καρτελών μέσω των επιλογών του προγράμματος περιήγησης ή, σε διαχειριζόμενα περιβάλλοντα, αυτόματα σύμφωνα με τη διαμόρφωση της λίστας μη αξιόπιστων ιστότοπων.

Εάν δεν βλέπετε επιλογές όπως "Νέο παράθυρο προστασίας εφαρμογών" ή το κοντέινερ δεν ανοίγει, είναι πιθανό ότι Οι οδηγίες που ακολουθείτε ενδέχεται να είναι ξεπερασμένες.Αυτό μπορεί να συμβαίνει επειδή η έκδοση των Windows που διαθέτετε δεν υποστηρίζεται, δεν έχετε ενεργοποιήσει το Hyper-V ή επειδή η πολιτική του οργανισμού σας έχει απενεργοποιήσει τη λειτουργία.

Ρύθμιση παραμέτρων του Application Guard με πολιτική ομάδας

Σε επιχειρηματικά περιβάλλοντα, κάθε κομμάτι εξοπλισμού δεν διαμορφώνεται χειροκίνητα. Αντίθετα, χρησιμοποιείται ένα προκαθορισμένο σύστημα. πολιτική ομάδας (GPO) ή προφίλ διαμόρφωσης στο Intune για τον κεντρικό ορισμό πολιτικής. Το Application Guard βασίζεται σε δύο κύρια μπλοκ διαμόρφωσης: την απομόνωση δικτύου και τις παραμέτρους που αφορούν συγκεκριμένες εφαρμογές.

Οι ρυθμίσεις απομόνωσης δικτύου βρίσκονται στο Computer Configuration\Administrative Templates\Network\Network IsolationΕδώ, για παράδειγμα, ορίζονται τα εξής: εσωτερικές περιοχές δικτύου και τομείς που θεωρούνται εταιρικοί τομείςτο οποίο θα σηματοδοτεί το όριο μεταξύ του τι είναι αξιόπιστο και τι πρέπει να πεταχτεί στα σκουπίδια.

Μία από τις βασικές πολιτικές είναι αυτή της «Διαστήματα ιδιωτικού δικτύου για εφαρμογές»Αυτή η ενότητα καθορίζει, σε μια λίστα διαχωρισμένη με κόμμα, τα εύρη IP που ανήκουν στο εταιρικό δίκτυο. Τα τελικά σημεία σε αυτά τα εύρη θα ανοίγουν στο κανονικό Edge και δεν θα είναι προσβάσιμα από το περιβάλλον Application Guard.

Μια άλλη σημαντική πολιτική είναι αυτή της «Τομείς εταιρικών πόρων που φιλοξενούνται στο cloud»η οποία χρησιμοποιεί μια λίστα που χωρίζεται από τον χαρακτήρα | Για να υποδείξει τομείς SaaS και υπηρεσίες cloud του οργανισμού που θα πρέπει να αντιμετωπίζονται ως εσωτερικοί. Αυτά θα αποδίδονται επίσης στο Edge εκτός του κοντέινερ.

Τέλος, η οδηγία του «Τομείς που ταξινομούνται ως προσωπικοί και επαγγελματικοί» Σας επιτρέπει να δηλώσετε τομείς που μπορούν να χρησιμοποιηθούν τόσο για προσωπικούς όσο και για επαγγελματικούς σκοπούς. Αυτοί οι ιστότοποι θα είναι προσβάσιμοι τόσο από το κανονικό περιβάλλον Edge όσο και από το Application Guard, ανάλογα με την περίπτωση.

Χρήση χαρακτήρων μπαλαντέρ στις ρυθμίσεις απομόνωσης δικτύου

Για να αποφευχθεί η εγγραφή κάθε υποτομέα ξεχωριστά, οι λίστες απομόνωσης δικτύου υποστηρίζουν χαρακτήρες μπαλαντέρ σε ονόματα τομέαΑυτό επιτρέπει τον καλύτερο έλεγχο του τι θεωρείται αξιόπιστο.

Αν οριστεί απλά contoso.comΤο πρόγραμμα περιήγησης θα εμπιστευτεί μόνο αυτήν τη συγκεκριμένη τιμή και όχι άλλους τομείς που την περιέχουν. Με άλλα λόγια, θα αντιμετωπίσει μόνο αυτήν την κυριολεκτική τιμή ως ιδιοκτησία μιας επιχείρησης. η ακριβής ρίζα και όχι www.contoso.com ούτε παραλλαγές.

Εάν καθοριστεί www.contoso.com, Έτσι μόνο αυτός ο συγκεκριμένος κεντρικός υπολογιστής θα θεωρούνται αξιόπιστα. Άλλοι υποτομείς όπως shop.contoso.com Θα έμεναν έξω και θα μπορούσαν να καταλήξουν στον κάδο απορριμμάτων.

Με τη μορφή .contoso.com (μια περίοδος πριν) υποδηλώνει ότι Οποιοσδήποτε τομέας που τελειώνει σε "contoso.com" είναι αξιόπιστος. Αυτό περιλαμβάνει από contoso.com πάνω www.contoso.com ή ακόμα και αλυσίδες όπως spearphishingcontoso.comΕπομένως, πρέπει να χρησιμοποιείται με προσοχή.

Τέλος, αν χρησιμοποιηθεί ..contoso.com (αρχική άνω και κάτω τελεία), όλα τα επίπεδα της ιεραρχίας που βρίσκονται στα αριστερά του τομέα είναι αξιόπιστα, για παράδειγμα shop.contoso.com o us.shop.contoso.comΑλλά Η ρίζα "contoso.com" δεν είναι αξιόπιστη από μόνο του. Είναι ένας καλύτερος τρόπος ελέγχου αυτού που θεωρείται εταιρικός πόρος.

Κύριες οδηγίες ειδικά για το Guard της εφαρμογής

Το δεύτερο κύριο σύνολο ρυθμίσεων βρίσκεται στο Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application GuardΑπό εδώ κυβερνάται η χώρα λεπτομερής συμπεριφορά κοντέινερ και τι μπορεί ή δεν μπορεί να κάνει ο χρήστης μέσα σε αυτό.

Μία από τις πιο σχετικές πολιτικές είναι αυτή της «Ρυθμίσεις πρόχειρου»Αυτό ελέγχει εάν είναι δυνατή η αντιγραφή και επικόλληση κειμένου ή εικόνων μεταξύ του κεντρικού υπολογιστή και του Application Guard. Στη διαχειριζόμενη λειτουργία, μπορείτε να επιτρέψετε την αντιγραφή μόνο από το κοντέινερ προς τα έξω, μόνο προς την αντίστροφη κατεύθυνση ή ακόμα και να απενεργοποιήσετε εντελώς το πρόχειρο.

Ομοίως, η οδηγία του «Ρυθμίσεις εκτύπωσης» Αποφασίζει εάν το περιεχόμενο μπορεί να εκτυπωθεί από το κοντέινερ και σε ποιες μορφές. Μπορείτε να ενεργοποιήσετε την εκτύπωση σε PDF, XPS, συνδεδεμένους τοπικούς εκτυπωτές ή προκαθορισμένους εκτυπωτές δικτύου ή να αποκλείσετε όλες τις δυνατότητες εκτύπωσης εντός του MDAG.

η επιλογή «Αναγνωρίστε την επιμονή» Αυτή η ρύθμιση καθορίζει εάν τα δεδομένα χρήστη (αρχεία που έχουν ληφθεί, cookies, αγαπημένα κ.λπ.) διατηρούνται μεταξύ των περιόδων λειτουργίας του Application Guard ή διαγράφονται κάθε φορά που το περιβάλλον τερματίζεται. Η ενεργοποίηση αυτής της ρύθμισης σε διαχειριζόμενη λειτουργία επιτρέπει στο κοντέινερ να διατηρεί αυτές τις πληροφορίες για μελλοντικές περιόδους λειτουργίας. Η απενεργοποίησή της έχει ως αποτέλεσμα ένα σχεδόν καθαρό περιβάλλον σε κάθε εκκίνηση.

Αν αποφασίσετε να σταματήσετε να επιτρέπετε την επιμονή αργότερα, μπορείτε να χρησιμοποιήσετε το εργαλείο wdagtool.exe με τις παραμέτρους cleanup o cleanup RESET_PERSISTENCE_LAYER για να επαναφέρετε το κοντέινερ και να απορρίψετε τις πληροφορίες που δημιουργήθηκαν από τον υπάλληλο.

Μια άλλη βασική πολιτική είναι «Ενεργοποίηση του Application Guard σε διαχειριζόμενη λειτουργία»Αυτή η ενότητα καθορίζει εάν η λειτουργία ισχύει για το Microsoft Edge, το Microsoft Office ή και τα δύο. Αυτή η πολιτική δεν θα τεθεί σε ισχύ εάν η συσκευή δεν πληροί τις προϋποθέσεις ή έχει ρυθμιστεί η απομόνωση δικτύου (εκτός από ορισμένες πρόσφατες εκδόσεις των Windows όπου δεν απαιτείται πλέον για το Edge εάν έχουν εγκατασταθεί συγκεκριμένες ενημερώσεις KB).

Κοινή χρήση αρχείων, πιστοποιητικά, κάμερα και έλεγχος

Εκτός από τις προαναφερθείσες πολιτικές, υπάρχουν και άλλες οδηγίες που επηρεάζουν πώς σχετίζεται το κοντέινερ με το σύστημα υποδοχής και με τα περιφερειακά.

Πολιτική «Να επιτρέπεται η λήψη αρχείων στο λειτουργικό σύστημα του κεντρικού υπολογιστή» Αποφασίζει εάν ο χρήστης μπορεί να αποθηκεύσει αρχεία που έχουν ληφθεί από το απομονωμένο περιβάλλον στον κεντρικό υπολογιστή. Όταν είναι ενεργοποιημένο, δημιουργεί έναν κοινόχρηστο πόρο μεταξύ και των δύο περιβαλλόντων, ο οποίος επιτρέπει επίσης ορισμένες μεταφορτώσεις από τον κεντρικό υπολογιστή στο κοντέινερ—πολύ χρήσιμο, αλλά θα πρέπει να αξιολογηθεί από άποψη ασφάλειας.

Η διαμόρφωση του "Ενεργοποίηση απόδοσης με επιτάχυνση υλικού" Επιτρέπει τη χρήση της GPU μέσω vGPU για τη βελτίωση της απόδοσης των γραφικών, ειδικά κατά την αναπαραγωγή βίντεο και βαρέος περιεχομένου. Εάν δεν υπάρχει διαθέσιμο συμβατό υλικό, το Application Guard θα επανέλθει στην απόδοση της CPU. Η ενεργοποίηση αυτής της επιλογής σε συσκευές με αναξιόπιστα προγράμματα οδήγησης ενδέχεται, ωστόσο, να αυξήσει τον κίνδυνο για τον κεντρικό υπολογιστή.

Υπάρχει επίσης οδηγία για επιτρέψτε την πρόσβαση στην κάμερα και το μικρόφωνο εντός του κοντέινερ. Η ενεργοποίησή του επιτρέπει σε εφαρμογές που εκτελούνται με MDAG να χρησιμοποιούν αυτές τις συσκευές, διευκολύνοντας τις βιντεοκλήσεις ή τις διασκέψεις από απομονωμένα περιβάλλοντα, αν και ανοίγει επίσης την πόρτα για την παράκαμψη τυπικών δικαιωμάτων εάν το κοντέινερ έχει παραβιαστεί.

Μια άλλη πολιτική επιτρέπει το Application Guard χρήση συγκεκριμένων αρχών πιστοποίησης ρίζας κεντρικού υπολογιστήΑυτό μεταφέρει στο κοντέινερ τα πιστοποιητικά των οποίων έχει καθοριστεί το δακτυλικό αποτύπωμα. Εάν αυτό απενεργοποιηθεί, το κοντέινερ δεν θα κληρονομήσει αυτά τα πιστοποιητικά, κάτι που ενδέχεται να εμποδίσει τις συνδέσεις με ορισμένες εσωτερικές υπηρεσίες εάν βασίζονται σε ιδιωτικές αρχές.

Τέλος, η επιλογή του «Επιτρέπονται συμβάντα ελέγχου» Προκαλεί την καταγραφή συμβάντων συστήματος που δημιουργούνται στο κοντέινερ και την κληρονομικότητα πολιτικών ελέγχου συσκευών, έτσι ώστε η ομάδα ασφαλείας να μπορεί να παρακολουθεί τι συμβαίνει μέσα στο Application Guard από τα αρχεία καταγραφής του κεντρικού υπολογιστή.

Ενσωμάτωση με πλαίσια υποστήριξης και προσαρμογής

Όταν κάτι πάει στραβά στο Application Guard, ο χρήστης βλέπει ένα παράθυρο διαλόγου σφάλματος Από προεπιλογή, αυτό περιλαμβάνει μόνο μια περιγραφή του προβλήματος και ένα κουμπί για να το αναφέρετε στη Microsoft μέσω του Κέντρου σχολίων. Ωστόσο, αυτή η εμπειρία μπορεί να προσαρμοστεί για να διευκολύνει την εσωτερική υποστήριξη.

Στη διαδρομή Administrative Templates\Windows Components\Windows Security\Enterprise Customization Υπάρχει μια πολιτική που μπορεί να χρησιμοποιήσει ο διαχειριστής Προσθήκη στοιχείων επικοινωνίας με την υπηρεσία υποστήριξηςΕσωτερικοί σύνδεσμοι ή σύντομες οδηγίες. Με αυτόν τον τρόπο, όταν ένας υπάλληλος δει το σφάλμα, θα γνωρίζει αμέσως με ποιον να επικοινωνήσει ή ποια βήματα πρέπει να κάνει.

Συχνές ερωτήσεις και συνηθισμένα προβλήματα με το Application Guard

Η χρήση του Application Guard δημιουργεί μια καλή χούφτα επαναλαμβανόμενες ερωτήσεις σε πραγματικές εφαρμογές, ειδικά όσον αφορά την απόδοση, τη συμβατότητα και τη συμπεριφορά δικτύου.

Ένα από τα πρώτα ερωτήματα είναι αν μπορεί να ενεργοποιηθεί συσκευές με μόνο 4 GB μνήμης RAMΠαρόλο που υπάρχουν σενάρια όπου μπορεί να λειτουργήσει, στην πράξη η απόδοση συνήθως υποφέρει σημαντικά, καθώς το κοντέινερ είναι ουσιαστικά ένα άλλο λειτουργικό σύστημα που εκτελείται παράλληλα.

Ένα άλλο ευαίσθητο σημείο είναι η ενσωμάτωση με διακομιστές μεσολάβησης δικτύου και σενάρια PACΜηνύματα όπως "Δεν είναι δυνατή η επίλυση εξωτερικών διευθύνσεων URL από το πρόγραμμα περιήγησης MDAG: ERR_CONNECTION_REFUSED" ή "ERR_NAME_NOT_RESOLVED" κατά την πρόσβαση στο αρχείο PAC αποτυγχάνουν συνήθως υποδεικνύουν προβλήματα ρύθμισης παραμέτρων μεταξύ του κοντέινερ, του διακομιστή μεσολάβησης και των κανόνων απομόνωσης.

Υπάρχουν επίσης ζητήματα που σχετίζονται με Δεν υποστηρίζονται τα IME (επεξεργαστές μεθόδων εισαγωγής) Σε ορισμένες εκδόσεις των Windows, οι διενέξεις με τα προγράμματα οδήγησης κρυπτογράφησης δίσκου ή τις λύσεις ελέγχου συσκευών εμποδίζουν την ολοκλήρωση της φόρτωσης του κοντέινερ.

Ορισμένοι διαχειριστές αντιμετωπίζουν σφάλματα όπως «ΣΦΑΛΜΑ_ΠΕΡΙΟΡΙΣΜΟΣ_ΕΙΚΟΝΙΚΟΥ_ΔΙΣΚΟΥ» Εάν υπάρχουν περιορισμοί που σχετίζονται με εικονικούς δίσκους ή αποτυχίες απενεργοποίησης τεχνολογιών όπως το hyperthreading που επηρεάζουν έμμεσα το Hyper-V και, κατ' επέκταση, το MDAG.

Ερωτήματα εγείρονται επίσης σχετικά με το πώς να εμπιστεύεστε μόνο συγκεκριμένους υποτομείς, σχετικά με τα όρια μεγέθους λίστας τομέων ή τον τρόπο απενεργοποίησης της συμπεριφοράς με την οποία η καρτέλα κεντρικού υπολογιστή κλείνει αυτόματα κατά την πλοήγηση σε έναν ιστότοπο που ανοίγει στο κοντέινερ.

Application Guard, λειτουργία IE, Chrome και Office

Σε περιβάλλοντα όπου το Λειτουργία IE στο Microsoft EdgeΤο Application Guard υποστηρίζεται, αλλά η Microsoft δεν αναμένει ευρεία χρήση της λειτουργίας σε αυτήν τη λειτουργία. Συνιστάται να δεσμεύσετε τη λειτουργία IE για [συγκεκριμένες εφαρμογές/χρήσεις]. αξιόπιστες εσωτερικές ιστοσελίδες και να χρησιμοποιείτε το MDAG μόνο για ιστότοπους που θεωρούνται εξωτερικοί και μη αξιόπιστοι.

Είναι σημαντικό να βεβαιωθείτε ότι όλες οι τοποθεσίες έχουν ρυθμιστεί σε λειτουργία IEΤο δίκτυο, μαζί με τις συσχετισμένες διευθύνσεις IP, πρέπει επίσης να συμπεριληφθούν στις πολιτικές απομόνωσης δικτύου ως αξιόπιστοι πόροι. Διαφορετικά, ενδέχεται να προκύψει μη αναμενόμενη συμπεριφορά κατά τον συνδυασμό και των δύο λειτουργιών.

Όσον αφορά το Chrome, πολλοί χρήστες ρωτούν αν είναι απαραίτητο εγκαταστήστε μια επέκταση Application GuardΗ απάντηση είναι όχι: η λειτουργικότητα είναι εγγενώς ενσωματωμένη στο Microsoft Edge και η παλιά επέκταση Chrome δεν υποστηρίζεται από τη διαμόρφωση κατά την εργασία με το Edge.

Για έγγραφα Office, το Application Guard επιτρέπει Άνοιγμα αρχείων Word, Excel και PowerPoint σε ένα απομονωμένο κοντέινερ όταν τα αρχεία θεωρούνται μη αξιόπιστα, αποτρέποντας έτσι την πρόσβαση κακόβουλων μακροεντολών ή άλλων φορέων επίθεσης στον κεντρικό υπολογιστή. Αυτή η προστασία μπορεί να συνδυαστεί με άλλες λειτουργίες του Defender και πολιτικές αξιοπιστίας αρχείων.

Υπάρχει ακόμη και μια επιλογή πολιτικής ομάδας που επιτρέπει στους χρήστες να "αξιολογούν" ορισμένα αρχεία που έχουν ανοιχτεί στο Application Guard, ώστε να αντιμετωπίζονται ως ασφαλή και να εξέρχονται από το κοντέινερ. Αυτή η δυνατότητα θα πρέπει να διαχειρίζεται προσεκτικά για να αποφευχθεί η απώλεια του πλεονεκτήματος της απομόνωσης.

Λήψεις, πρόχειρο, αγαπημένα και επεκτάσεις: εμπειρία χρήστη

Από την οπτική γωνία του χρήστη, μερικά από τα πιο πρακτικά ερωτήματα περιστρέφονται γύρω από τι μπορεί και τι δεν μπορεί να γίνει μέσα στο δοχείοειδικά με λήψεις, αντιγραφή/επικόλληση και επεκτάσεις.

Στα Windows 10 Enterprise 1803 και σε νεότερες εκδόσεις (με διαφορές ανάλογα με την έκδοση), είναι δυνατό επιτρέπει τη λήψη εγγράφων από το κοντέινερ στον κεντρικό υπολογιστή Αυτή η επιλογή δεν ήταν διαθέσιμη σε προηγούμενες εκδόσεις ή σε ορισμένες εκδόσεις όπως το Pro, αν και ήταν δυνατή η εκτύπωση σε PDF ή XPS και η αποθήκευση του αποτελέσματος στη συσκευή υποδοχής.

Όσον αφορά το πρόχειρο, η εταιρική πολιτική μπορεί να επιτρέπει ότι Αντιγράφονται εικόνες σε μορφή BMP και κείμενο από και προς το απομονωμένο περιβάλλον. Εάν οι εργαζόμενοι παραπονεθούν ότι δεν μπορούν να αντιγράψουν περιεχόμενο, αυτές οι πολιτικές συνήθως θα πρέπει να επανεξεταστούν.

Πολλοί χρήστες ρωτούν επίσης γιατί Δεν βλέπουν τα αγαπημένα τους ή τις επεκτάσεις τους στην περίοδο λειτουργίας Edge στην περιοχή Application Guard. Αυτό συνήθως οφείλεται στην απενεργοποίηση του συγχρονισμού σελιδοδεικτών ή στην μη ενεργοποίηση της πολιτικής επεκτάσεων στο MDAG. Μόλις ρυθμιστούν αυτές οι επιλογές, το πρόγραμμα περιήγησης στο κοντέινερ μπορεί να κληρονομήσει σελιδοδείκτες και ορισμένες επεκτάσεις, πάντα με τους περιορισμούς που αναφέρθηκαν προηγουμένως.

Υπάρχουν μάλιστα και περιπτώσεις όπου εμφανίζεται μια επέκταση αλλά "δεν λειτουργεί". Εάν βασίζεται σε εγγενή στοιχεία χειρισμού μηνυμάτων, αυτή η λειτουργικότητα δεν θα είναι διαθέσιμη εντός του κοντέινερ και η επέκταση θα παρουσιάζει περιορισμένη ή εντελώς μη λειτουργική συμπεριφορά.

Απόδοση γραφικών, HDR και επιτάχυνση υλικού

Ένα άλλο θέμα που ανακύπτει συχνά είναι αυτό του αναπαραγωγή βίντεο και προηγμένες λειτουργίες όπως HDR μέσα στο Application Guard. Όταν εκτελείται σε Hyper-V, το κοντέινερ δεν έχει πάντα άμεση πρόσβαση στις δυνατότητες της GPU.

Για να λειτουργεί σωστά η αναπαραγωγή HDR σε απομονωμένο περιβάλλον, είναι απαραίτητο το Η επιτάχυνση υλικού vGPU είναι ενεργοποιημένη μέσω της πολιτικής επιταχυνόμενης απόδοσης. Διαφορετικά, το σύστημα θα βασίζεται στην CPU και ορισμένες επιλογές όπως το HDR δεν θα εμφανίζονται στις ρυθμίσεις του προγράμματος αναπαραγωγής ή του ιστότοπου.

Ακόμα και με ενεργοποιημένη την επιτάχυνση, εάν το υλικό γραφικών δεν θεωρείται επαρκώς ασφαλές ή συμβατό, το Application Guard ενδέχεται να αυτόματη επιστροφή στην απόδοση λογισμικούη οποία επηρεάζει τη ρευστότητα και την κατανάλωση μπαταρίας σε φορητούς υπολογιστές.

Ορισμένες αναπτύξεις έχουν παρουσιάσει προβλήματα με τον κατακερματισμό του TCP και διενέξεις με VPN που δεν φαίνεται να λειτουργούν ποτέ όταν η κυκλοφορία διέρχεται από το κοντέινερ. Σε αυτές τις περιπτώσεις, είναι συνήθως απαραίτητο να ελέγξετε τις πολιτικές δικτύου, το MTU, τη ρύθμιση παραμέτρων του διακομιστή μεσολάβησης και μερικές φορές να προσαρμόσετε τον τρόπο με τον οποίο το MDAG ενσωματώνεται με άλλα ήδη εγκατεστημένα στοιχεία ασφαλείας.

Υποστήριξη, διάγνωση και αναφορά περιστατικών

Όταν, παρά τα πάντα, προκύπτουν προβλήματα που δεν μπορούν να επιλυθούν εσωτερικά, η Microsoft συνιστά ανοίξτε ένα συγκεκριμένο αίτημα υποστήριξης για το Microsoft Defender Application Guard. Είναι σημαντικό να συλλέξετε πληροφορίες εκ των προτέρων από τη σελίδα διαγνωστικών, τα σχετικά αρχεία καταγραφής συμβάντων και τις λεπτομέρειες της διαμόρφωσης που εφαρμόζεται στη συσκευή.

Η χρήση της σελίδας edge://application-guard-internals, σε συνδυασμό με το ενεργοποιημένα συμβάντα ελέγχου και η κυκλοφορία εργαλείων όπως wdagtool.exeΣυνήθως παρέχει στην ομάδα υποστήριξης αρκετά δεδομένα για να εντοπίσει την πηγή του προβλήματος, είτε πρόκειται για μια ασαφή πολιτική, μια σύγκρουση με άλλο προϊόν ασφαλείας ή έναν περιορισμό υλικού.

Εκτός από όλα αυτά, οι χρήστες μπορούν να προσαρμόσουν τα μηνύματα σφάλματος και τα στοιχεία επικοινωνίας στο παράθυρο διαλόγου τεχνικής υποστήριξης της Ασφάλειας των Windows, διευκολύνοντάς τους να βρουν τη σωστή λύση. Μην κολλάς χωρίς να ξέρεις σε ποιον να απευθυνθείς όταν το κοντέινερ δεν ξεκινά ή δεν ανοίγει όπως αναμένεται.

Συνολικά, το Microsoft Defender Application Guard προσφέρει έναν ισχυρό συνδυασμό απομόνωσης υλικού, λεπτομερούς ελέγχου πολιτικών και διαγνωστικών εργαλείων που, όταν χρησιμοποιούνται σωστά, μπορούν να μειώσουν σημαντικά τον κίνδυνο που σχετίζεται με την περιήγηση σε μη αξιόπιστες τοποθεσίες ή το άνοιγμα εγγράφων από αμφίβολες πηγές, χωρίς να διακυβεύεται η καθημερινή παραγωγικότητα.