Kuidas samm-sammult Microsoft Defenderi rakenduste valvurit kasutada

Kui töötate tundliku teabega või külastate iga päev kahtlaseid veebisaite, Microsoft Defenderi rakenduste valvur (MDAG) See on üks neist Windowsi funktsioonidest, mis võib teha vahet hirmu ja katastroofi vahel. See pole lihtsalt järjekordne viirusetõrjeprogramm, vaid lisakiht, mis isoleerib ohud teie süsteemist ja andmetest.

Järgmistes ridades näete selgelt Mis täpselt on Application Guard, kuidas see sisemiselt töötab, millistel seadmetel seda kasutada saab ja kuidas seda konfigureerida? Käsitleme nii lihtsaid kui ka ettevõtte juurutusi. Samuti vaatame üle nõuded, grupipoliitikad, levinud vead ja mitmesugused korduma kippuvad küsimused, mis selle tehnoloogiaga töötamise alustamisel tekivad.

Mis on Microsoft Defenderi rakenduste valvur ja kuidas see töötab?

Microsoft Defenderi rakenduste valvur on täiustatud turvafunktsioon, mis on loodud selleks, et Eraldage ebausaldusväärsed veebisaidid ja dokumendid virtuaalsesse konteinerisse Põhineb Hyper-V-l. Selle asemel, et proovida iga rünnakut ükshaaval blokeerida, loob see väikese "ühekordselt kasutatava arvuti", kuhu see kahtlase materjali paigutab.

See konteiner töötab a-s eraldi peamisest operatsioonisüsteemistomaenda tugevdatud Windowsi eksemplariga ja ilma otsese juurdepääsuta failidele, volitustele või ettevõtte sisemistele ressurssidele. Isegi kui pahatahtlikul saidil õnnestub brauseri või Office'i haavatavust ära kasutada, jääb kahju sellesse isoleeritud keskkonda.

Microsoft Edge'i puhul tagab Application Guard, et mis tahes domeen, mis pole usaldusväärseks märgitud See avaneb automaatselt selles konteineris. Office'i puhul teeb see sama Wordi, Exceli ja PowerPointi dokumentidega, mis pärinevad allikatest, mida organisatsioon ei pea turvaliseks.

Peamine on see, et see isolatsioon on riistvaratüüpi: Hyper-V loob sõltumatu keskkonna hostist, mis vähendab drastiliselt ründaja võimalust isoleeritud seansist päris süsteemi hüpata, ettevõtte andmeid varastada või salvestatud volitusi ära kasutada.

Lisaks käsitletakse konteinerit anonüümse keskkonnana: See ei päri kasutaja küpsiseid, paroole ega seansse.See teeb ründajate elu palju raskemaks, kui nad toetuvad võltsimisele või seansivarguse tehnikatele.

Soovitatavad seadmetüübid rakenduste valvuri kasutamiseks

Kuigi Application Guard saab tehniliselt töötada erinevates stsenaariumides, on see spetsiaalselt loodud ettevõtte keskkonnad ja hallatavad seadmedMicrosoft eristab mitut tüüpi seadmeid, mille puhul MDAG on kõige mõttekam.

Esiteks on seal domeeniga ühendatud ettevõtte töölaudNeid hallatakse tavaliselt Configuration Manageri või Intune'i abil. Need on traditsioonilised kontoriarvutid, millel on tavakasutajad ja mis on ühendatud juhtmega ettevõtte võrku, kus risk tuleneb peamiselt igapäevasest interneti sirvimisest.

Siis on meil ettevõtte sülearvutidNeed on samuti domeeniga ühendatud ja tsentraalselt hallatavad seadmed, kuid need ühenduvad sisemiste või väliste WiFi-võrkudega. Siin suureneb risk, kuna seade lahkub kontrollitavast võrgust ja puutub kokku WiFi-ga hotellides, lennujaamades või koduvõrkudes.

Teine rühm on BYOD (Bring Your Own Device ehk kaasavõetav seade) sülearvutid. isiklik varustus, mis ei kuulu ettevõttele, kuid mida hallatakse selliste lahenduste kaudu nagu Intune. Tavaliselt on need kohaliku administraatori õigustega kasutajate käes, mis suurendab rünnakupinda ja muudab ettevõtte ressurssidele juurdepääsu isolatsiooni kasutamise atraktiivsemaks.

Lõpuks on olemas täiesti haldamata isiklikud seadmedNeed on veebisaidid, mis ei kuulu ühelegi domeenile ja mille üle kasutajal on täielik kontroll. Sellistel juhtudel saab Application Guardi kasutada eraldiseisvas režiimis (eriti Edge'i puhul), et pakkuda potentsiaalselt ohtlike veebisaitide külastamisel täiendavat kaitsekihti.

Nõutavad Windowsi versioonid ja litsentsimine

Enne kui midagi seadistama hakkad, on oluline see selgeks teha. Millistes Windowsi väljaannetes saab Microsoft Defender Application Guardi kasutada? ja milliste litsentsiõigustega.

Jaoks Edge'i eraldiseisev režiim (st Application Guardi kasutamine ainult brauseri liivakastina ilma täiustatud ettevõtte halduseta) on Windowsis toetatud:

• Windows pro
• Windows Enterprise
• Windows Pro Education / SE
• Windowsi haridus

Sellisel juhul antakse MDAG litsentsiõigused, kui teil on litsentsid, näiteks Windows Pro / Pro Education / SE, Windows Enterprise E3 või E5 ja Windows Education A3 või A5Praktikas saab paljudes Windows Pro-ga professionaalsetes arvutites selle funktsiooni juba põhikasutuseks aktiveerida.

Jaoks ettevõtte servarežiim ja ettevõtte administreerimine (kui mängu tulevad keerukamad direktiivid ja stsenaariumid) vähendatakse tuge:

• Windows Enterprise y Windowsi haridus Selles režiimis toetatakse rakenduste kaitset.
• Windows Pro ja Windows Pro Education/SE ei Neil on selle ettevõtte variandi jaoks tugi.

Litsentside osas nõuab see keerukam ettevõtte kasutusviis Windows Enterprise E3/E5 või Windows Education A3/A5Kui teie organisatsioon kasutab ainult Pro paketti ilma Enterprise'i tellimusteta, piirdub see Edge'i eraldiseisva režiimiga.

Süsteemi eeltingimused ja ühilduvus

Lisaks Windowsi väljaandele peate Application Guardi stabiilseks tööks vastama järgmistele nõuetele: rida tehnilisi nõudeid seotud versiooni, riistvara ja virtualiseerimistugi.

Operatsioonisüsteemi osas on kohustuslik kasutada Windows 10 1809 või uuem (2018. aasta oktoobri värskendus) või samaväärne Windows 11 versioon. See ei ole mõeldud serveri SKU-dele ega oluliselt vähendatud variantidele; see on selgelt suunatud klientarvutitele.

Riistvara tasandil peab seadmetel olema riistvarapõhine virtualiseerimine lubatud (Intel VT-x/AMD-V tugi ja teise taseme aadresside teisendamine, näiteks SLAT), kuna Hyper-V on isoleeritud konteineri loomise põhikomponent. Ilma selle kihita ei saa MDAG oma turvalist keskkonda luua.

Samuti on oluline omada ühilduvad haldusmehhanismid Kui kavatsete seda kasutada tsentraalselt (näiteks Microsoft Intune'i või Configuration Manageri abil), nagu on täpsustatud ettevõtte tarkvara nõuetes. Lihtsate juurutuste jaoks piisab Windowsi turbeliidesest endast.

Lõpuks pange tähele Rakenduste valvur on aegunud. Microsoft Edge'i äriversiooni puhul ja et teatud eraldiseisvate rakendustega seotud API-sid enam ei värskendata. Sellegipoolest on see endiselt väga levinud keskkondades, kus on vaja lühiajalist ja keskpikas perspektiivis riskide ohjeldamist.

Kasutusjuhtum: ohutus versus tootlikkus

Üks küberturvalisuse klassikalisi probleeme on õige tasakaalu leidmine kasutajat tõeliselt kaitsta, mitte blokeeridaKui lubate vaid käputäie "õnnistatud" veebisaite, vähendate riski, kuid tapate tootlikkuse. Piirangute leevendamisel suureneb kokkupuute tase hüppeliselt.

Brauser on üks neist peamised rünnakupinnad tööst, sest selle eesmärk on avada ebausaldusväärset sisu väga erinevatest allikatest: tundmatud veebisaidid, allalaadimised, kolmandate osapoolte skriptid, agressiivne reklaam jne. Ükskõik kui palju te mootorit täiustate, leidub alati uusi haavatavusi, mida keegi proovib ära kasutada.

Selles mudelis määratleb administraator täpselt, milliseid domeene, IP-vahemikke ja pilveressursse ta usaldusväärseks peab. Kõik, mida selles nimekirjas pole, läheb automaatselt konteinerisseSeal saab kasutaja sirvida kartmata, et brauseri rike ohustab ülejäänud sisemisi süsteeme.

Tulemuseks on töötaja jaoks suhteliselt paindlik navigeerimine, kuid koos tugevalt valvatud piir ebausaldusväärse välismaailma ja iga hinna eest kaitstava ettevõtte keskkonna vahel.

Microsoft Edge'i rakenduste valvuri uusimad funktsioonid ja värskendused

Microsoft on lisanud Chromiumil põhinevate Microsoft Edge'i erinevate versioonide kaudu Rakenduse valvuri spetsiifilised täiustused eesmärgiga täiustada kasutajakogemust ja anda administraatorile rohkem kontrolli.

Üks olulisemaid uusi funktsioone on konteinerist failide üleslaadimise blokeerimineAlates Edge 96-st on organisatsioonid saanud poliitika abil takistada kasutajatel dokumentide üleslaadimist oma kohalikust seadmest vormile või veebiteenusesse isoleeritud seansi jooksul. ApplicationGuardUploadBlockingEnabledSee vähendab infolekke ohtu.

Teine väga kasulik täiustus on passiivne režiim, saadaval alates Edge 94-st. Kui poliitika aktiveerib ApplicationGuardPassiveModeEnabledRakenduse valvur lõpetab saitide loendi sundimise ja lubab kasutajal Edge'i "tavapäraselt" sirvida, isegi kui funktsioon jääb installituks. See on mugav viis tehnoloogia kasutamiseks ilma liiklust veel ümber suunamata.

Samuti on lisatud võimalus sünkrooni hosti lemmikud konteinerigaSee oli paljude klientide soov, et vältida kahte täiesti omavahel mitteseotud sirvimiskogemust. Alates Edge 91-st on poliitika... ApplicationGuardFavoritesSyncEnabled See võimaldab uutel markeritel isoleeritud keskkonnas võrdselt ilmuda.

Võrgustiku valdkonnas lisas Edge 91 tuge järgmistele funktsioonidele: märgista konteinerist lahkuv liiklus tänu direktiivile ApplicationGuardTrafficIdentificationEnabledSee võimaldab ettevõtetel seda liiklust puhverserveri kaudu tuvastada ja filtreerida, näiteks piirata juurdepääsu väga väikesele hulgale saitidele MDAG-ist sirvides.

Kahekordne puhverserver, laiendused ja muud edasijõudnud stsenaariumid

Mõned organisatsioonid kasutavad Application Guardi keerukamates juurutustes, kus nad vajavad konteinerliikluse tähelepanelik jälgimine ja brauseri võimekust selles isoleeritud keskkonnas.

Nendel juhtudel pakub Edge tuge topeltproksi Alates stabiilsest versioonist 84, konfigureeritav direktiivi kaudu ApplicationGuardContainerProxyIdee seisneb selles, et konteinerist pärinev liiklus suunatakse läbi kindla puhverserveri, mis erineb hosti poolt kasutatavast, mis lihtsustab sõltumatute reeglite rakendamist ja rangemat kontrolli.

Teine klientide korduv soov oli võimalus kasutage konteineri sees laiendusiAlates Edge 81-st on see olnud võimalik, seega saab reklaamiblokeerijaid, ettevõttesiseseid laiendusi või muid tööriistu käitada seni, kuni need vastavad määratletud eeskirjadele. On vaja deklareerida updateURL laienduse võrgu isolatsioonipoliitikates nii, et seda loetakse Application Guardi kaudu ligipääsetavaks neutraalseks ressursiks.

Aktsepteeritud stsenaariumide hulka kuuluvad laienduste sunnitud installimine hostile Seejärel ilmuvad need laiendused konteinerisse, võimaldades teatud laienduste eemaldamist või turvakaalutlustel ebasoovitavaks peetavate laienduste blokeerimist. See ei kehti aga laienduste kohta, mis tuginevad natiivsetele sõnumitöötluskomponentidele. Need ei ühildu MDAGi raames.

Konfiguratsiooni- või käitumisprobleemide diagnoosimiseks on abiks spetsiifiline diagnostikaleht en edge://application-guard-internalsSealt saate muuhulgas kontrollida, kas antud URL-i peetakse usaldusväärseks või mitte vastavalt kasutajale tegelikult kohaldatavatele eeskirjadele.

Lõpuks, värskenduste osas, uus Microsoft Edge... See uuendab ennast ka konteineri seesSee järgib sama kanalit ja versiooni kui hostbrauser. See ei sõltu enam operatsioonisüsteemi värskendustsüklist, nagu see oli Edge'i pärandversiooni puhul, mis lihtsustab hooldust oluliselt.

Kuidas lubada Microsoft Defenderi rakenduste valvur Windowsis

Kui soovite seda ühilduval seadmel käivitada, on esimene samm järgmine: Windowsi funktsioonide aktiveerimine vastav. Protsess on põhitasandil üsna lihtne.

Kiireim viis on avada dialoogiboks Käivita, kasutades Win + R, kirjutama appwiz.cpl ja vajutage sisestusklahvi (Enter), et minna otse paneelile „Programmid ja funktsioonid“. Sealt vasakult küljelt leiate lingi „Windowsi funktsioonide sisse- või väljalülitamine“.

Saadaval olevate komponentide loendist peate leidma kirje „Microsoft Defenderi rakenduste valvur” ja valige see. Nõustumisel laadib Windows alla või lubab vajalikud binaarfailid ja palub teil muudatuste rakendamiseks arvuti taaskäivitada.

Pärast taaskäivitamist peaks teil Edge'i õigete versioonidega ühilduvates seadmetes olema võimalik Ava uusi aknaid või isoleeritud vahelehti brauseri valikute kaudu või hallatud keskkondades automaatselt vastavalt ebausaldusväärsete saitide loendi konfiguratsioonile.

Kui te ei näe valikuid nagu „Uus rakenduste kaitse aken” või konteiner ei avane, on võimalik, et Järgitavad juhised võivad olla aegunud.See võib olla tingitud sellest, et teie Windowsi väljaannet ei toetata, teil pole Hyper-V lubatud või teie organisatsiooni poliitika on selle funktsiooni keelanud.

Rakenduse valvuri seadistamine rühmapoliitika abil

Ärikeskkondades ei konfigureerita iga seadet käsitsi; selle asemel kasutatakse eelnevalt määratletud süsteemi. grupipoliitika (GPO) või Intune'i konfiguratsiooniprofiilid poliitika tsentraalseks määratlemiseks. Application Guard tugineb kahele peamisele konfiguratsiooniplokile: võrgu isolatsioon ja rakendusepõhised parameetrid.

Võrgu isolatsiooni seaded asuvad jaotises Computer Configuration\Administrative Templates\Network\Network IsolationNäiteks siin defineeritakse järgmist: sisemised võrguvahemikud ja domeenid, mida peetakse ettevõtte domeenideksmis tähistab piiri usaldusväärse ja prügikasti visatava vahel.

Üks peamisi poliitikaid on see, et „Rakenduste privaatvõrgu intervallid”Selles jaotises on komadega eraldatud loendis määratud ettevõtte võrgu IP-vahemikud. Nendes vahemikes olevad lõpp-punktid avatakse tavalises Edge'is ja neile ei pääse juurde Application Guardi keskkonnast.

Teine oluline poliitika on see, et „Pilves majutatud ettevõtte ressursside domeenid”mis kasutab tähemärgiga eraldatud loendit | Organisatsiooni SaaS-domeenide ja pilveteenuste tähistamiseks, mida tuleks käsitleda sisemistena. Need kuvatakse Edge'is ka väljaspool konteinerit.

Lõpuks, direktiiv „Isiklikuks ja tööalaseks liigitatud domeenid” See võimaldab teil deklareerida domeene, mida saab kasutada nii isiklikel kui ka ärilistel eesmärkidel. Nendele saitidele pääseb ligi nii tavalisest Edge'i keskkonnast kui ka Application Guardist, vastavalt vajadusele.

Metamärkide kasutamine võrgu isolatsiooni sätetes

Iga alamdomeeni eraldi kirjutamise vältimiseks toetavad võrgu isolatsiooni loendid domeeninimedes olevad metamärgidSee võimaldab paremini kontrollida, mida peetakse usaldusväärseks.

Kui see on lihtsalt defineeritud contoso.comBrauser usaldab ainult seda konkreetset väärtust ja mitte teisi seda sisaldavaid domeene. Teisisõnu, see käsitleb ainult seda sõnasõnalist väärtust ettevõttele kuuluvana. täpne juur ja mitte www.contoso.com ega variante.

Kui on täpsustatud www.contoso.com, nii ainult see konkreetne host loetakse usaldusväärseks. Teised alamdomeenid, näiteks shop.contoso.com Need jääksid välja ja võiksid prügikasti sattuda.

Formaadiga .contoso.com (punkt enne) näitab, et Kõik domeenid, mis lõppevad "contoso.com"-iga, on usaldusväärsed.. See hõlmab alates contoso.com üles www.contoso.com või isegi ketid nagu spearphishingcontoso.comSeega tuleb seda ettevaatlikult kasutada.

Lõpuks, kui seda kasutatakse ..contoso.com (esimene koolon), usaldusväärsed on kõik domeenist vasakul asuvad hierarhia tasemed, näiteks shop.contoso.com o us.shop.contoso.comKuid Juurkataloogi „contoso.com” ei usaldata iseenesest. See on peenem viis kontrollida seda, mida peetakse ettevõtte ressursiks.

Peamised Application Guardi spetsiifilised direktiivid

Teine suurem seadete komplekt asub Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application GuardSiit juhitakse riiki konteineri üksikasjalik käitumine ja mida kasutaja selle sees teha saab või ei saa.

Üks olulisemaid poliitikaid on see, „Lõikelaua seaded”See kontrollib, kas teksti või piltide kopeerimine ja kleepimine hosti ja Application Guardi vahel on võimalik. Hallatud režiimis saate lubada kopeerimist ainult konteinerist välja, ainult vastupidises suunas või isegi lõikelaua täielikult keelata.

Samamoodi on direktiiv „Printimise seaded” See otsustab, kas ja millistes vormingutes saab konteinerist sisu printida. Saate lubada printimise PDF-i, XPS-i, ühendatud kohalikesse printeritesse või eelnevalt määratletud võrguprinteritesse või blokeerida kõik MDAG-i printimisvõimalused.

Valik "Tunnista püsivust" See säte määrab, kas kasutajaandmeid (allalaaditud failid, küpsised, lemmikud jne) säilitatakse rakenduste valvuri seansside vahel või kustutatakse iga kord, kui keskkond suletakse. Selle lubamine hallatud režiimis võimaldab konteineril seda teavet tulevaste seansside jaoks säilitada; selle keelamine tagab iga käivitamise korral praktiliselt puhta keskkonna.

Kui otsustate püsivuse lubamise hiljem peatada, saate tööriista kasutada wdagtool.exe parameetritega cleanup o cleanup RESET_PERSISTENCE_LAYER konteineri lähtestamiseks ja töötaja loodud teabe hävitamiseks.

Teine oluline poliitika on „Aktiveeri rakenduste valvur hallatud režiimis”Selles jaotises määratakse, kas funktsioon kehtib Microsoft Edge'i, Microsoft Office'i või mõlema kohta. See poliitika ei jõustu, kui seade ei vasta eeltingimustele või kui võrguisolatsioon on konfigureeritud (välja arvatud teatud Windowsi uuemates versioonides, kus see pole Edge'i jaoks enam vajalik, kui on installitud teatud teabebaasi värskendused).

Failide jagamine, sertifikaadid, kaamera ja auditeerimine

Lisaks eespool nimetatud poliitikatele on ka teisi direktiive, mis mõjutavad kuidas konteiner on seotud hostsüsteemiga ja koos välisseadmetega.

Poliitika „Luba failide allalaadimine hostoperatsioonisüsteemi” See otsustab, kas kasutaja saab isoleeritud keskkonnast alla laaditud faile hostile salvestada. Kui see on lubatud, loob see mõlema keskkonna vahel jagatud ressursi, mis lubab ka teatud üleslaadimisi hostist konteinerisse – väga kasulik, kuid seda tuleks turvalisuse seisukohast hinnata.

Konfiguratsioon „Luba riistvarakiirendusega renderdamine” Lubab GPU kasutamise vGPU kaudu graafika jõudluse parandamiseks, eriti video ja suure mahuga sisu esitamisel. Kui ühilduvat riistvara pole saadaval, naaseb rakenduste valvur protsessori renderdamisele. Selle valiku lubamine ebausaldusväärsete draiveritega seadmetes võib aga suurendada hostarvuti ohtu.

Samuti on olemas direktiiv luba juurdepääs kaamerale ja mikrofonile konteineri sees. Selle lubamine võimaldab MDAG-i all töötavatel rakendustel neid seadmeid kasutada, hõlbustades videokõnesid või konverentse isoleeritud keskkondadest, kuigi see avab ka ukse standardsete õiguste möödahiilimiseks, kui konteiner on ohustatud.

Teine poliitika lubab rakenduste kaitset kasutage konkreetseid hosti juursertifitseerimisasutusiSee kannab konteinerisse üle sertifikaadid, mille sõrmejälg on määratud. Kui see on keelatud, siis konteiner neid sertifikaate ei päri, mis võib blokeerida ühendusi teatud sisemiste teenustega, kui need tuginevad privaatsetele autoriteetidele.

Lõpuks võimalus „Luba auditeerimissündmused” See põhjustab konteineris genereeritud süsteemisündmuste logimise ja seadme auditeerimispoliitikate pärimise, et turvameeskond saaks hosti logide põhjal jälgida, mis Application Guardis toimub.

Integratsioon tugi- ja kohandamisraamistikega

Kui Application Guardis midagi valesti läheb, näeb kasutaja veadialoogiboks Vaikimisi sisaldab see ainult probleemi kirjeldust ja nuppu, mille abil saab Microsoftile tagasisidekeskuse kaudu sellest teatada. Seda kogemust saab aga kohandada, et hõlbustada sisemist tuge.

Marsruudil Administrative Templates\Windows Components\Windows Security\Enterprise Customization Administraatoril on poliitika, mida ta saab kasutada Lisa tugiteenuse kontaktandmedSisemised lingid või lühikesed juhised. Nii teab töötaja vea nähes kohe, kellega ühendust võtta või milliseid samme astuda.

Rakenduste valvuri korduma kippuvad küsimused ja levinud probleemid

Rakenduste valvuri kasutamine tekitab hulga korduvad küsimused reaalsetes juurutustes, eriti jõudluse, ühilduvuse ja võrgukäitumise osas.

Üks esimesi küsimusi on see, kas seda saab sisse lülitada seadmed, millel on ainult 4 GB muutmäluKuigi on stsenaariume, kus see võib toimida, kannatab praktikas jõudlus tavaliselt märkimisväärselt, kuna konteiner on praktiliselt teine ​​paralleelselt töötav operatsioonisüsteem.

Teine tundlik punkt on integratsioon võrguproksid ja PAC-skriptidPAC-failile juurdepääsu nurjumisel kuvatavad teated nagu „Ei saa MDAG-brauserist väliseid URL-e lahendada: ERR_CONNECTION_REFUSED” või „ERR_NAME_NOT_RESOLVED” viitavad tavaliselt konfiguratsiooniprobleemidele konteineri, puhverserveri ja isolatsioonireeglite vahel.

Samuti on probleeme, mis on seotud IME-sid (sisestusmeetodi redaktoreid) ei toetata Teatud Windowsi versioonides takistavad konfliktid ketta krüpteerimisdraiverite või seadme juhtimislahendustega konteineri laadimise lõpetamist.

Mõned administraatorid kogevad vigu, näiteks „ERROR_VIRTUAL_DISK_PIIRANG” Kui virtuaalsete ketastega on seotud piiranguid või ebaõnnestub selliste tehnoloogiate nagu hüperlõimede keelamine, mis mõjutavad kaudselt Hyper-V-d ja laiemalt ka MDAG-i.

Samuti kerkib küsimusi selle kohta, kuidas usalda ainult teatud alamdomeene, domeeniloendi suuruse piirangute või konteineris avatud saidile navigeerimisel hosti vahekaardi automaatse sulgemise keelamise kohta.

Rakenduste kaitse, IE režiim, Chrome ja Office

Keskkondades, kus IE režiim Microsoft Edge'isRakenduste kaitset toetatakse, kuid Microsoft ei eelda selle funktsiooni laialdast kasutamist selles režiimis. Soovitatav on IE-režiim reserveerida [teatud rakenduste/kasutusalade] jaoks. usaldusväärsed sisemised saidid ja kasutage MDAG-i ainult veebisaitide puhul, mida peetakse välisteks ja ebausaldusväärseteks.

Oluline on selles veenduda kõik saidid on konfigureeritud IE režiimisVõrk koos sellega seotud IP-aadressidega peab samuti olema võrgu isolatsioonipoliitikasse usaldusväärsete ressurssidena lisatud. Vastasel juhul võib mõlema funktsiooni kombineerimisel tekkida ootamatu käitumine.

Chrome'i osas küsivad paljud kasutajad, kas see on vajalik installige Application Guardi laiendusVastus on eitav: funktsionaalsus on Microsoft Edge'i sisseehitatud ja vana Chrome'i laiendust ei toetata Edge'iga töötamisel.

Office'i dokumentide puhul lubab rakenduste valvur Avage Wordi, Exceli ja PowerPointi failid isoleeritud konteineris kui faile peetakse ebausaldusväärseteks, takistades seeläbi pahatahtlike makrode või muude rünnakute jõudmist hostile. Seda kaitset saab kombineerida teiste Defenderi funktsioonide ja failide usalduspoliitikatega.

Saadaval on isegi rühmapoliitika valik, mis võimaldab kasutajatel teatud Application Guardis avatud faile "usaldada", nii et neid käsitletakse turvalistena ja need väljuvad konteinerist. Seda funktsiooni tuleks hoolikalt hallata, et vältida isolatsiooni eelise kaotamist.

Allalaadimised, lõikelaud, lemmikud ja laiendused: kasutajakogemus

Kasutaja seisukohast keerlevad mõned kõige praktilisemad küsimused ümber Mida saab ja mida ei saa konteineri sees tehaeriti allalaadimiste, kopeerimise/kleepimise ja laienduste puhul.

Windows 10 Enterprise 1803 ja uuemates versioonides (väljaandest olenevalt on nüansse) on see võimalik lubada dokumentide allalaadimine konteinerist hostile See valik polnud eelmistes versioonides ega teatud väljaannete (nt Pro) järkudes saadaval, kuigi PDF- või XPS-vormingus sai printida ja tulemuse hostseadmesse salvestada.

Lõikelaua osas võib ettevõtte poliitika seda lubada. BMP-vormingus pildid ja tekst kopeeritakse isoleeritud keskkonda ja sealt tagasi. Kui töötajad kurdavad, et nad ei saa sisu kopeerida, tuleb neid reegleid tavaliselt üle vaadata.

Paljud kasutajad küsivad ka, miks Nad ei näe oma lemmikuid ega laiendusi Edge'i seansis rakenduste kaitse all. Tavaliselt on selle põhjuseks järjehoidjate sünkroonimise keelamine või MDAG-i laienduspoliitika lubamatus. Kui need valikud on kohandatud, saab konteineris olev brauser pärida järjehoidjaid ja teatud laiendusi, alati eelnevalt mainitud piirangutega.

On isegi juhtumeid, kus laiendus kuvatakse, aga "ei tööta". Kui see tugineb natiivsetele sõnumitöötluskomponentidele, pole see funktsioon konteineris saadaval ja laienduse käitumine on piiratud või täiesti mittetoimiv.

Graafika jõudlus, HDR ja riistvaraline kiirendus

Teine teema, mis sageli üles kerkib, on see, et video taasesitus ja täiustatud funktsioonid, näiteks HDR Application Guardi sees. Hyper-V-l töötades pole konteineril alati otsest juurdepääsu GPU võimalustele.

HDR-taasesituse korrektseks toimimiseks isoleeritud keskkonnas on vajalik, et vGPU riistvaraline kiirendus on lubatud kiirendatud renderdamise poliitika kaudu. Vastasel juhul tugineb süsteem protsessorile ja teatud valikud, näiteks HDR, ei ilmu pleieri ega veebisaidi seadetes.

Isegi kui kiirendus on lubatud, võib Application Guard graafikariistvara ebapiisava turvalisuse või ühilduvuse korral... naaseb automaatselt tarkvaralise renderdamise juurdemis mõjutab sülearvutite sujuvust ja aku tarbimist.

Mõned juurutused on näidanud probleeme TCP fragmenteerimise ja konfliktidega VPN-id, mis ei paista kunagi tööle hakkavat kui liiklus läbib konteinerit. Sellistel juhtudel on tavaliselt vaja üle vaadata võrgupoliitikad, MTU, puhverserveri konfiguratsioon ja mõnikord kohandada MDAG-i integreerumist teiste juba installitud turvakomponentidega.

Tugi, diagnoosimine ja intsidentide aruandlus

Kui kõigest hoolimata tekivad probleemid, mida ei saa sisemiselt lahendada, soovitab Microsoft avage konkreetne tugipäring Microsoft Defender Application Guardi jaoks. Oluline on eelnevalt koguda teavet diagnostikalehelt, seotud sündmuste logidest ja seadmele rakendatud konfiguratsiooni üksikasjadest.

Lehe kasutamine edge://application-guard-internalskoos lubatud auditeerimissündmused ja selliste tööriistade väljaandmine nagu wdagtool.exeTavaliselt annab see tugimeeskonnale piisavalt andmeid probleemi allika leidmiseks, olgu selleks siis halvasti määratletud poliitika, konflikt teise turvatootega või riistvarapiirang.

Lisaks kõigele sellele saavad kasutajad Windowsi turbe tehnilise toe dialoogiboksis veateateid ja kontaktandmeid kohandada, mis lihtsustab neil õige lahenduse leidmist. Ära jää hätta teadmatuses, kelle poole pöörduda kui konteiner ei käivitu või ei avane ootuspäraselt.

Üldiselt pakub Microsoft Defender Application Guard võimsat kombinatsiooni riistvara isoleerimisest, detailsest poliitikakontrollist ja diagnostikatööriistadest, mis õigesti kasutades vähendavad oluliselt ebausaldusväärsete saitide sirvimise või kahtlastest allikatest pärit dokumentide avamisega seotud riski, ilma et see kahjustaks igapäevast tootlikkust.