- Microsoft Defender Application Guard eristää epäluotettavat sivustot ja asiakirjat Hyper-V-säilöön järjestelmän ja yrityksen tietojen suojaamiseksi.
- Sen käyttöönotto edellyttää tiettyjä Windows-versioita ja -lisenssejä sekä virtualisointi- ja verkkokokoonpanovaatimusten noudattamista.
- Tietoturvaa ja käyttökokemusta hallitaan ryhmäkäytännöillä, jotka säätelevät leikepöytää, latauksia, tulostusta, laajennuksia ja resurssien käyttöä.
- Diagnostiikka-, auditointi- ja tukityökalut mahdollistavat konfliktien tunnistamisen, suorituskyvyn optimoinnin ja tasapainon ylläpitämisen suojauksen ja tuottavuuden välillä.
Jos työskentelet arkaluonteisten tietojen kanssa tai selaat epäilyttäviä verkkosivustoja päivittäin, Microsoft Defender -sovellussuoja (MDAG) Se on yksi niistä Windowsin ominaisuuksista, jotka voivat tehdä eron pelon ja katastrofin välillä. Se ei ole vain yksi virustorjuntaohjelma lisää, vaan ylimääräinen kerros, joka eristää uhat järjestelmästäsi ja tiedoistasi.
Seuraavilla riveillä näet selvästi Mikä Application Guard tarkalleen ottaen on, miten se toimii sisäisesti, millä laitteilla sitä voi käyttää ja miten se määritetään? Käsittelemme sekä yksinkertaisia että yrityskäyttöönottoja. Käymme läpi myös vaatimukset, ryhmäkäytännöt, yleiset virheet ja erilaiset usein kysytyt kysymykset, joita teknologian parissa työskentelyn aloittaminen herättää.
Mikä on Microsoft Defender Application Guard ja miten se toimii?
Microsoft Defender Application Guard on edistynyt suojausominaisuus, joka on suunniteltu... Eristä epäluotettavat verkkosivustot ja asiakirjat virtuaalikonttiin Hyper-V:hen perustuen. Sen sijaan, että yritettäisiin estää jokainen hyökkäys yksi kerrallaan, se luo pienen "kertakäyttöisen tietokoneen", johon se tallentaa epäilyttävän materiaalin.
Tuo kontti toimii erillään pääkäyttöjärjestelmästäomalla suojatulla Windows-instanssillaan eikä suoraa pääsyä tiedostoihin, tunnistetietoihin tai yrityksen sisäisiin resursseihin. Vaikka haitallinen sivusto onnistuisi hyödyntämään selaimen tai Officen haavoittuvuutta, vahinko pysyy kyseisessä erillisessä ympäristössä.
Microsoft Edgen tapauksessa Application Guard varmistaa, että mikä tahansa verkkotunnus, jota ei ole merkitty luotettavaksi Se avautuu automaattisesti kyseisen säilön sisällä. Officen tapauksessa se tekee saman Word-, Excel- ja PowerPoint-tiedostoille, jotka tulevat lähteistä, joita organisaatio ei pidä turvallisina.
Olennaista on, että tämä eristys on laitteistotyyppiä: Hyper-V luo itsenäisen ympäristön isännältä, mikä vähentää merkittävästi mahdollisuutta, että hyökkääjä hyppää eristetystä istunnosta todelliseen järjestelmään, varastaa yrityksen tietoja tai hyödyntää tallennettuja tunnistetietoja.
Lisäksi säilöä käsitellään anonyyminä ympäristönä: Se ei peri käyttäjän evästeitä, salasanoja tai istuntoja.Tämä tekee elämästä paljon vaikeampaa hyökkääjille, jotka luottavat huijaus- tai istuntovarkaustekniikoihin.
Suositellut laitetyypit Application Guardin käyttöön
Vaikka Application Guard voi teknisesti toimia erilaisissa tilanteissa, se on erityisesti suunniteltu käytettäväksi yritysympäristöt ja hallitut laitteetMicrosoft erottaa useita laitetyyppejä, joissa MDAG on järkevin.
Ensinnäkin siellä ovat verkkotunnukseen liitetty yritystietokoneNäitä hallitaan tyypillisesti Configuration Managerilla tai Intunella. Ne ovat perinteisiä toimistotietokoneita, joissa on vakiokäyttäjät ja jotka on kytketty kiinteään yritysverkkoon, jossa riski syntyy pääasiassa päivittäisestä internetin selaamisesta.
Sitten meillä on yrityskannettavatNämä ovat myös verkkotunnukseen liitettyjä ja keskitetysti hallittuja laitteita, mutta ne muodostavat yhteyden sisäisiin tai ulkoisiin Wi-Fi-verkkoihin. Tässä riski kasvaa, koska laite poistuu hallitusta verkosta ja altistuu Wi-Fi-verkoille hotelleissa, lentokentillä tai kotiverkoissa.
Toinen ryhmä ovat BYOD (Bring Your Own Device) -kannettavat, henkilökohtaiset varusteet, jotka eivät kuulu yritykselle, mutta joita hallinnoidaan ratkaisujen, kuten Intunen, kautta. Ne ovat yleensä paikallisen järjestelmänvalvojan oikeuksilla varustettujen käyttäjien käsissä, mikä lisää hyökkäyspintaa ja tekee eristämisen käytöstä yrityksen resurssien käyttämiseen houkuttelevampaa.
Lopuksi on olemassa täysin hallitsemattomat henkilökohtaiset laitteetNämä ovat verkkosivustoja, jotka eivät kuulu mihinkään verkkotunnukseen ja joilla käyttäjällä on täydellinen hallinta. Näissä tapauksissa Application Guardia voidaan käyttää itsenäisenä tilassa (erityisesti Edgessä) tarjoamaan lisäsuojauskerroksen mahdollisesti vaarallisilla verkkosivustoilla vierailtaessa.
Vaaditut Windows-versiot ja käyttöoikeudet
Ennen kuin aloitat minkään konfiguroinnin, on tärkeää olla tästä selvillä. Missä Windows-versioissa Microsoft Defender Application Guardia voi käyttää? ja millä lisenssioikeuksilla.
Varten Edge-erillistila (eli Application Guardin käyttäminen vain selainhiekkalaatikkona ilman edistynyttä yritystason hallintaa) on tuettu Windowsissa:
- Windows pro
- Windows Enterprise
- Windows Pro Education / SE
- Windows Koulutus
Tässä tilanteessa MDAG-lisenssioikeudet myönnetään, jos sinulla on lisenssejä, kuten Windows Pro / Pro Education / SE, Windows Enterprise E3 tai E5 ja Windows Education A3 tai A5Käytännössä monissa ammattimaisissa Windows Pro -tietokoneissa voit jo aktivoida ominaisuuden peruskäyttöä varten.
Varten reunayritystila ja yrityshallinto (kun käytössä ovat edistyneet direktiivit ja monimutkaisemmat skenaariot), tukea vähennetään:
- Windows Enterprise y Windows Koulutus Sovellussuojaa tuetaan tässä tilassa.
- Windows Pro ja Windows Pro Education/SE Nro Heillä on tuki tälle yritysversiolle.
Lisenssien osalta tämä edistyneempi yrityskäyttö edellyttää Windows Enterprise E3/E5 tai Windows Education A3/A5Jos organisaatiosi toimii vain Pro-tilauksella ilman Enterprise-tilauksia, käyttöoikeus on rajoitettu Edge-erillistilaan.
Järjestelmän vaatimukset ja yhteensopivuus
Windows-version lisäksi Application Guardin vakaan toiminnan edellyttämät vaatimukset on täytettävä joukko teknisiä vaatimuksia version, laitteiston ja virtualisointituen osalta.
Käyttöjärjestelmän osalta on pakollista käyttää Windows 10 1809 tai uudempi (lokakuun 2018 päivitys) tai vastaava Windows 11 -versio. Sitä ei ole tarkoitettu palvelinversioille tai voimakkaasti skaalatuille versioille; se on selvästi suunnattu asiakastietokoneille.
Laitteistotasolla laitteistolla on oltava laitteistopohjainen virtualisointi käytössä (Intel VT-x/AMD-V -tuki ja toisen tason osoitteenmuunnos, kuten SLAT), koska Hyper-V on avainkomponentti eristetyn säilön luomisessa. Ilman tätä kerrosta MDAG ei pysty perustamaan suojattua ympäristöään.
On myös välttämätöntä, että yhteensopivat hallintamekanismit Jos aiot käyttää sitä keskitetysti (esimerkiksi Microsoft Intunea tai Configuration Manageria) yritysohjelmistovaatimusten mukaisesti, Windows Securityn käyttöliittymä riittää yksinkertaisiin käyttöönottoihin.
Lopuksi huomioi se Application Guard on poistumassa käytöstä. Microsoft Edgen yritysversioita ja tiettyjä itsenäisiin sovelluksiin liittyviä API-rajapintoja ei enää päivitetä. Silti se on edelleen hyvin yleinen ympäristöissä, joissa lyhyen ja keskipitkän aikavälin riskien hallinta on tarpeen.
Käyttötapaus: turvallisuus vs. tuottavuus
Yksi kyberturvallisuuden klassisista ongelmista on oikean tasapainon löytäminen todella suojellakseen käyttäjää, ei estääkseen sitäJos sallit vain kourallisen "siunattuja" verkkosivustoja, pienennät riskiä, mutta tapat tuottavuuden. Jos löysennät rajoituksia, altistuminen pilviin nousee.
Selain on yksi niistä tärkeimmät hyökkäyspinnat työstä, koska sen tarkoituksena on avata epäluotettavaa sisältöä monista eri lähteistä: tuntemattomilta verkkosivustoilta, latauksista, kolmansien osapuolten skripteistä, aggressiivisesta mainonnasta jne. Huolimatta siitä, kuinka paljon parannat hakukonetta, aina löytyy uusia haavoittuvuuksia, joita joku yrittää hyödyntää.
Tässä mallissa ylläpitäjä määrittelee tarkasti, mitkä verkkotunnukset, IP-alueet ja pilviresurssit he pitävät luotettavina. Kaikki, mitä listalla ei ole, siirtyy automaattisesti säiliöön.Siellä käyttäjä voi selata pelkäämättä, että selainvirhe vaarantaisi muut sisäiset järjestelmät.
Tuloksena on työntekijälle suhteellisen joustava navigointi, mutta vahvasti vartioitu raja epäluotettavan ulkomaailman ja kaikin keinoin suojeltavan yritysympäristön välillä.
Microsoft Edgen sovellussuojan viimeisimmät ominaisuudet ja päivitykset
Microsoft on lisännyt Chromiumiin perustuviin Microsoft Edgen eri versioihin Sovellussuojan erityisiä parannuksia tavoitteena parantaa käyttökokemusta ja antaa järjestelmänvalvojalle enemmän hallintaa.
Yksi tärkeimmistä uusista ominaisuuksista on tiedostojen lataamisen estäminen säilöstäEdge 96:sta lähtien organisaatiot ovat voineet estää käyttäjiä lataamasta asiakirjoja paikalliselta laitteeltaan lomakkeeseen tai verkkopalveluun erillisen istunnon aikana käyttämällä käytäntöä ApplicationGuardUploadBlockingEnabledTämä vähentää tietovuotojen riskiä.
Toinen erittäin hyödyllinen parannus on passiivinen tila, saatavilla Edge 94:stä lähtien. Kun käytäntö aktivoi sen ApplicationGuardPassiveModeEnabledApplication Guard lopettaa sivustoluettelon pakottamisen ja sallii käyttäjän selata Edgeä "normaalisti", vaikka ominaisuus pysyy asennettuna. Se on kätevä tapa saada teknologia käyttövalmiiksi ilman liikenteen uudelleenohjausta.
Myös mahdollisuus on lisätty synkronoi isäntäsuosikit säilön kanssaMonet asiakkaat pyysivät tätä välttääkseen kaksi täysin erillistä selauskokemusta. Edge 91:stä lähtien käytäntöä on sovellettu... ApplicationGuardFavoritesSyncEnabled Se sallii uusien merkkien ilmestymisen tasapuolisesti eristetyssä ympäristössä.
Verkkojen osalta Edge 91 sisälsi tuen seuraaville: merkitse kontista lähtevä liikenne direktiivin ansiosta ApplicationGuardTrafficIdentificationEnabledNäin yritykset voivat tunnistaa ja suodattaa kyseisen liikenteen välityspalvelimen kautta, esimerkiksi rajoittaakseen pääsyä hyvin pienelle joukolle sivustoja MDAG:sta selattaessa.
Kaksoisvälityspalvelin, laajennukset ja muut edistyneet skenaariot
Jotkut organisaatiot käyttävät Application Guardia monimutkaisemmissa käyttöönottoissa, joissa ne tarvitsevat seurata tarkasti konttiliikennettä ja selaimen ominaisuudet kyseisessä eristetyssä ympäristössä.
Näissä tapauksissa Edge tukee seuraavia kaksinkertainen välityspalvelin Vakaasta versiosta 84 eteenpäin, konfiguroitavissa direktiivin kautta ApplicationGuardContainerProxyAjatuksena on, että säilöstä lähtevä liikenne reititetään tietyn välityspalvelimen kautta, joka on eri kuin isännän käyttämä välityspalvelin, mikä helpottaa itsenäisten sääntöjen soveltamista ja tiukempaa tarkastusta.
Toinen asiakkaiden toistuva pyyntö oli mahdollisuus käytä säilön sisällä olevia laajennuksiaEdge 81:stä lähtien tämä on ollut mahdollista, joten mainosten estäjiä, yrityksen sisäisiä laajennuksia tai muita työkaluja voidaan käyttää, kunhan ne noudattavat määriteltyjä käytäntöjä. On tarpeen julistaa updateURL laajennuksen verkon eristyskäytännöissä siten, että sitä pidetään neutraalina resurssina, johon pääsee Application Guardin kautta.
Hyväksyttyihin skenaarioihin kuuluvat mm. laajennusten pakotettu asennus isäntäkoneeseen Nämä laajennukset näkyvät sitten säilössä, mikä mahdollistaa tiettyjen laajennusten poistamisen tai muiden, turvallisuussyistä ei-toivotuiksi katsottujen laajennusten estämisen. Tämä ei kuitenkaan koske laajennuksia, jotka ovat riippuvaisia natiiveista viestinkäsittelykomponenteista. Ne eivät ole yhteensopivia MDAG:n sisällä.
Kokoonpano- tai toimintaongelmien diagnosoimiseksi a tietty diagnostiikkasivu en edge://application-guard-internalsSieltä voit tarkistaa muun muassa, pidetäänkö tiettyä URL-osoitetta luotettavana käyttäjään tosiasiallisesti sovellettavien käytäntöjen perusteella.
Lopuksi, päivitysten osalta, uusi Microsoft Edge tulee Se päivittää itseään myös säilön sisälläSe noudattaa samaa kanavaa ja versiota kuin isäntäselain. Se ei ole enää riippuvainen käyttöjärjestelmän päivityssyklistä, kuten Edgen vanhan version tapauksessa, mikä yksinkertaistaa ylläpitoa huomattavasti.
Microsoft Defender Application Guardin ottaminen käyttöön Windowsissa
Jos haluat suorittaa sen yhteensopivalla laitteella, ensimmäinen vaihe on aktivoi Windows-ominaisuus vastaava. Prosessi on periaatteessa melko suoraviivainen.
Nopein tapa on avata Suorita-valintaikkuna komennolla Win + R, kirjoittaa appwiz.cpl ja paina Enter-näppäintä siirtyäksesi suoraan "Ohjelmat ja ominaisuudet" -paneeliin. Sieltä vasemmalta puolelta löydät linkin "Ota Windowsin ominaisuudet käyttöön tai poista ne käytöstä".
Käytettävissä olevien komponenttien luettelosta sinun on etsittävä merkintä "Microsoft Defenderin sovellussuoja" ja valitse se. Hyväksymisen jälkeen Windows lataa tai ottaa käyttöön tarvittavat binaarit ja kehottaa sinua käynnistämään tietokoneen uudelleen muutosten käyttöönottamiseksi.
Yhteensopivilla laitteilla, joissa on oikeat Edge-versiot, uudelleenkäynnistyksen jälkeen sinun pitäisi pystyä Avaa uusia ikkunoita tai yksittäisiä välilehtiä selaimen asetusten kautta tai hallituissa ympäristöissä automaattisesti epäluotettavien sivustojen luettelon määritysten mukaisesti.
Jos et näe vaihtoehtoja, kuten "Uusi sovellussuojan ikkuna", tai säilö ei avaudu, on mahdollista, että Noudattamasi ohjeet saattavat olla vanhentuneita.Tämä voi johtua siitä, että Windows-versiotasi ei tueta, Hyper-V ei ole käytössä tai organisaatiosi käytäntö on poistanut ominaisuuden käytöstä.
Sovellussuojan määrittäminen ryhmäkäytännön avulla
Liiketoimintaympäristöissä jokaista laitetta ei konfiguroida manuaalisesti, vaan käytetään ennalta määriteltyä järjestelmää. ryhmäkäytäntö (GPO) tai Intune-määritysprofiileja käytäntöjen keskitetysti määrittämiseksi. Application Guard perustuu kahteen pääkonfiguraatiolohkoon: verkon eristämiseen ja sovelluskohtaisiin parametreihin.
Verkon eristysasetukset sijaitsevat kohdassa Computer Configuration\Administrative Templates\Network\Network IsolationTässä määritellään esimerkiksi seuraavat asiat: sisäiset verkkoalueet ja verkkotunnukset, joita pidetään yrityksen verkkotunnuksinajoka vetää rajan luotettavan ja roskiin heitettävän välillä.
Yksi keskeisistä toimintaperiaatteista on se, että "Sovellusten yksityisverkkovälit"Tässä osiossa on määritelty pilkuilla erotetussa luettelossa yritysverkkoon kuuluvat IP-alueet. Näiden alueiden päätepisteet avautuvat normaalissa Edgessä, eikä niihin pääse käsiksi Application Guard -ympäristöstä.
Toinen tärkeä politiikka on se, että ”Pilvipohjaiset yritysresurssien verkkotunnukset”joka käyttää merkillä erotettua luetteloa | Osoittaa organisaation SaaS-verkkotunnukset ja pilvipalvelut, joita tulisi käsitellä sisäisinä. Nämä renderöidään myös Edgessä säilön ulkopuolella.
Lopuksi, direktiivi "Henkilökohtaisiksi ja työkäyttöön luokitellut verkkotunnukset" Sen avulla voit määrittää verkkotunnuksia, joita voidaan käyttää sekä henkilökohtaisiin että yritystarkoituksiin. Näihin sivustoihin pääsee sekä normaalista Edge-ympäristöstä että Application Guardista tarpeen mukaan.
Jokerimerkkien käyttäminen verkon eristämisasetuksissa
Jotta vältettäisiin jokaisen aliverkkotunnuksen kirjoittaminen yksi kerrallaan, verkon eristysluettelot tukevat jokerimerkit verkkotunnuksissaTämä mahdollistaa paremman hallinnan siitä, mitä pidetään luotettavana.
Jos se on yksinkertaisesti määritelty contoso.comSelain luottaa vain kyseiseen arvoon eikä muihin sitä sisältäviin verkkotunnuksiin. Toisin sanoen se käsittelee vain kyseistä kirjaimellista arvoa yritykseen kuuluvana. tarkka juuri y ei www.contoso.com eikä variantteja.
Jos määritelty www.contoso.com, niin vain kyseinen isäntä pidetään luotettavana. Muut aliverkkotunnukset, kuten shop.contoso.com Ne jäisivät ulkopuolelle ja voisivat päätyä roskikseen.
Muodolla .contoso.com (piste ennen) osoittaa, että Kaikki verkkotunnukset, jotka päättyvät "contoso.com", ovat luotettuja.. Tämä sisältää alkaen contoso.com ylös www.contoso.com tai jopa ketjuja, kuten spearphishingcontoso.comJoten sitä on käytettävä varoen.
Lopuksi, jos sitä käytetään ..contoso.com (alku kaksoispiste), kaikki verkkotunnuksen vasemmalla puolella sijaitsevat hierarkian tasot ovat luotettuja, esimerkiksi shop.contoso.com o us.shop.contoso.com, mutta Juurikäyttäjään ”contoso.com” ei luoteta sinänsä. Se on hienostuneempi tapa hallita sitä, mitä pidetään yrityksen resurssina.
Tärkeimmät Application Guard -kohtaiset direktiivit
Toinen pääasetusjoukko sijaitsee kohdassa Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application GuardTäältä maata hallitaan yksityiskohtainen säilön toiminta ja mitä käyttäjä voi tai ei voi tehdä sen sisällä.
Yksi tärkeimmistä toimintaperiaatteista on ns. "Leikepöydän asetukset"Tämä määrittää, onko tekstin tai kuvien kopioiminen ja liittäminen isännän ja Application Guardin välillä mahdollista. Hallitussa tilassa voit sallia kopioinnin vain säilöstä ulos, vain vastakkaiseen suuntaan tai jopa poistaa leikepöydän kokonaan käytöstä.
Samoin direktiivi "Tulostusasetukset" Se päättää, voidaanko sisältöä tulostaa säilöstä ja missä muodoissa. Voit ottaa käyttöön tulostuksen PDF- tai XPS-muotoon, yhdistettyihin paikallisiin tulostimiin tai ennalta määritettyihin verkkotulostimiin tai estää kaikki MDAG:n tulostusominaisuudet.
Vaihtoehto "Tunnusta sinnikkyys" Tämä asetus määrittää, säilytetäänkö käyttäjätiedot (ladatut tiedostot, evästeet, suosikit jne.) Application Guard -istuntojen välillä vai tyhjennetäänkö ne aina, kun ympäristö suljetaan. Tämän käyttöönotto hallitussa tilassa sallii säilön säilyttää nämä tiedot tulevia istuntoja varten. Asetuksen poistaminen käytöstä johtaa käytännössä puhtaaseen ympäristöön jokaisen käynnistyksen yhteydessä.
Jos päätät lopettaa pysyvyyden sallimisen myöhemmin, voit käyttää työkalua wdagtool.exe parametrien kanssa cleanup o cleanup RESET_PERSISTENCE_LAYER nollatakseen säilön ja hylätäkseen työntekijän luomat tiedot.
Toinen keskeinen politiikka on "Aktivoi sovellussuoja hallitussa tilassa"Tässä osiossa määritetään, koskeeko ominaisuus Microsoft Edgeä, Microsoft Officea vai molempia. Tämä käytäntö ei tule voimaan, jos laite ei täytä edellytyksiä tai sille on määritetty verkon eristäminen (paitsi tietyissä Windowsin uudemmissa versioissa, joissa sitä ei enää tarvita Edgessä, jos tietyt tietämyskannan päivitykset on asennettu).
Tiedostojen jakaminen, varmenteet, kamera ja auditointi
Edellä mainittujen käytäntöjen lisäksi on olemassa muita direktiivejä, jotka vaikuttavat miten säilö liittyy isäntäjärjestelmään ja oheislaitteiden kanssa.
Politiikka "Salli tiedostojen lataamisen isäntäkäyttöjärjestelmään" Se päättää, voiko käyttäjä tallentaa eristetystä ympäristöstä ladattuja tiedostoja isäntäkoneeseen. Kun tämä on käytössä, se luo jaetun resurssin molempien ympäristöjen välille, mikä myös sallii tietyt lataukset isännästä säilöön – erittäin hyödyllinen, mutta sitä tulisi arvioida turvallisuuden näkökulmasta.
Määritys "Ota laitteistokiihdytetty renderöinti käyttöön" Mahdollistaa GPU:n käytön vGPU:n kautta grafiikan suorituskyvyn parantamiseksi, erityisesti videoita ja raskasta sisältöä toistettaessa. Jos yhteensopivaa laitteistoa ei ole saatavilla, Application Guard palaa suorittimen renderöintiin. Tämän asetuksen ottaminen käyttöön laitteissa, joissa on epäluotettavat ohjaimet, voi kuitenkin lisätä isännän riskiä.
On myös direktiivi siitä, että salli pääsy kameraan ja mikrofoniin säilön sisällä. Sen käyttöönotto sallii MDAG:n alaisuudessa toimivien sovellusten käyttää näitä laitteita, mikä helpottaa videopuheluita tai neuvotteluja erillisistä ympäristöistä, vaikka se myös avaa oven vakio-oikeuksien ohittamiseen, jos säilö vaarantuu.
Toinen käytäntö sallii sovellussuojan käytä tiettyjä isäntäpäävarmentajien varmentajiaTämä siirtää säilöön varmenteet, joiden sormenjälki on määritetty. Jos tämä on poistettu käytöstä, säilö ei peri näitä varmenteita, mikä voi estää yhteydet tiettyihin sisäisiin palveluihin, jos ne ovat riippuvaisia yksityisistä myöntäjistä.
Lopuksi vaihtoehto "Salli tarkastustapahtumat" Se aiheuttaa säilössä luotujen järjestelmätapahtumien kirjaamisen ja laitteiden tarkastuskäytäntöjen periytymisen, jotta tietoturvatiimi voi seurata Application Guardin tapahtumia isäntälokeista.
Integrointi tuki- ja mukautuskehyksiin
Kun Application Guardissa menee jokin pieleen, käyttäjä näkee virhevalintaikkuna Oletusarvoisesti tämä sisältää vain ongelman kuvauksen ja painikkeen, jolla sen voi ilmoittaa Microsoftille palautekeskuksen kautta. Tätä kokemusta voidaan kuitenkin mukauttaa sisäisen tuen helpottamiseksi.
Reitillä Administrative Templates\Windows Components\Windows Security\Enterprise Customization Järjestelmänvalvoja voi käyttää käytäntöä Lisää tukipalvelun yhteystiedotSisäiset linkit tai lyhyet ohjeet. Tällä tavoin työntekijä tietää virheen nähdessään heti, kehen ottaa yhteyttä tai mitä tehdä.
Usein kysytyt kysymykset ja yleiset ongelmat sovellussuojan kanssa
Application Guardin käyttö tuottaa kourallisen toistuvat kysymykset tosielämän käyttöönotoissa, erityisesti suorituskyvyn, yhteensopivuuden ja verkon toiminnan osalta.
Yksi ensimmäisistä kysymyksistä on, voidaanko se ottaa käyttöön laitteet, joissa on vain 4 Gt RAM-muistiaVaikka on olemassa tilanteita, joissa se saattaa toimia, käytännössä suorituskyky yleensä kärsii huomattavasti, koska säilö on käytännössä toinen rinnakkain toimiva käyttöjärjestelmä.
Toinen herkkä kohta on integrointi verkkovälityspalvelimia ja PAC-skriptejäViestit, kuten ”Ulkoisia URL-osoitteita ei voida ratkaista MDAG-selaimesta: ERR_CONNECTION_REFUSED” tai ”ERR_NAME_NOT_RESOLVED”, kun PAC-tiedoston käyttö epäonnistuu, viittaavat yleensä määritysongelmiin säilön, välityspalvelimen ja eristyssääntöjen välillä.
On myös ongelmia, jotka liittyvät IME-syöttötapojen editorit eivät ole tuettuja Tietyissä Windows-versioissa ristiriidat levysalausohjainten tai laitehallintaratkaisujen kanssa estävät säilön latautumisen loppuun.
Jotkut ylläpitäjät kohtaavat virheitä, kuten ”VIRHE_VIRTUAALINEN_LEVYN_RAJOITUS” Jos virtuaalilevyihin liittyy rajoituksia tai tekniikoiden, kuten hyperthreadingin, poistamisessa käytöstä on epäonnistumisia, jotka vaikuttavat epäsuorasti Hyper-V:hen ja sitä kautta MDAG:hen.
Kysymyksiä herää myös siitä, miten luota vain tiettyihin aliverkkotunnuksiin, koskien verkkotunnusluettelon kokorajoituksia tai sitä, miten voit poistaa käytöstä toiminnan, jossa isäntävälilehti sulkeutuu automaattisesti siirryttäessä säilössä avautuvalle sivustolle.
Sovellussuoja, IE-tila, Chrome ja Office
Ympäristöissä, joissa IE-tila Microsoft EdgessäApplication Guardia tuetaan, mutta Microsoft ei odota ominaisuuden laajaa käyttöä tässä tilassa. On suositeltavaa varata IE-tila [tiettyihin sovelluksiin/käyttötarkoituksiin]. luotetut sisäiset sivustot ja käytä MDAG:tä vain verkkosivustoille, joita pidetään ulkoisina ja epäluotettavina.
On tärkeää varmistaa se kaikki sivustot määritetty IE-tilassaVerkko ja siihen liittyvät IP-osoitteet on myös sisällytettävä verkon eristämiskäytäntöihin luotettavina resursseina. Muuten toimintojen yhdistäminen voi aiheuttaa odottamatonta toimintaa.
Monet käyttäjät kysyvät Chromen tarpeellisuudesta. asenna Application Guard -laajennusVastaus on ei: toiminnallisuus on natiivisti integroitu Microsoft Edgeen, eikä vanhaa Chrome-laajennusta tueta Edgen kanssa työskenneltäessä.
Office-tiedostojen osalta sovellussuoja sallii Avaa Word-, Excel- ja PowerPoint-tiedostoja erillisessä säilössä kun tiedostoja pidetään epäluotettavina, estäen siten haitallisten makroiden tai muiden hyökkäysvektoreiden pääsyn isäntään. Tätä suojausta voidaan yhdistää muihin Defenderin ominaisuuksiin ja tiedostojen luotettavuuskäytäntöihin.
Käytettävissä on jopa ryhmäkäytäntöasetus, jonka avulla käyttäjät voivat "luotaa" tiettyihin Application Guardissa avattuihin tiedostoihin, jotta niitä käsitellään turvallisina ja ne poistuvat säilöstä. Tätä ominaisuutta tulisi hallita huolellisesti, jotta eristämisen etu ei menetetään.
Lataukset, leikepöytä, suosikit ja laajennukset: käyttökokemus
Käyttäjän näkökulmasta jotkut käytännöllisimmistä kysymyksistä liittyvät mitä säiliön sisällä saa ja ei saa tehdäetenkin latausten, kopioinnin/liittämisen ja laajennusten kanssa.
Windows 10 Enterprise 1803:ssa ja uudemmissa versioissa (versiokohtaisin vivahtein) on mahdollista salli asiakirjojen lataaminen säilöstä isäntään Tämä vaihtoehto ei ollut käytettävissä aiemmissa versioissa tai tietyissä versioissa, kuten Prossa, vaikka PDF- tai XPS-muotoon voitiin tulostaa ja tulos tallennetaan isäntälaitteeseen.
Leikepöydän osalta yrityksen käytäntö saattaa sallia sen BMP-muodossa olevat kuvat ja teksti kopioidaan eristetyn ympäristön ja sieltä pois. Jos työntekijät valittavat, etteivät he voi kopioida sisältöä, näitä käytäntöjä on yleensä tarkistettava.
Monet käyttäjät kysyvät myös, miksi He eivät näe suosikkejaan tai laajennuksiaan Edge-istunnossa Application Guardin alla. Tämä johtuu yleensä siitä, että kirjanmerkkien synkronointi on poistettu käytöstä tai MDAG:n laajennuskäytäntö ei ole käytössä. Kun näitä asetuksia on muutettu, säilön selain voi periä kirjanmerkkejä ja tiettyjä laajennuksia, aina aiemmin mainituin rajoituksin.
On jopa tapauksia, joissa laajennus näkyy, mutta "ei toimi". Jos se on riippuvainen natiiveista viestienkäsittelykomponenteista, kyseinen toiminnallisuus ei ole käytettävissä säilössä, ja laajennuksen toiminta on rajoitettua tai täysin toimimatonta.
Grafiikkasuorituskyky, HDR ja laitteistokiihdytys
Toinen usein esiin nouseva aihe on se, että videoiden toisto ja edistyneet ominaisuudet, kuten HDR Application Guardin sisällä. Hyper-V:ssä kontilla ei aina ole suoraa pääsyä GPU-ominaisuuksiin.
Jotta HDR-toisto toimisi oikein eristetyssä ympäristössä, on välttämätöntä, että vGPU-laitteistokiihdytys on käytössä nopeutetun renderöinnin käytännön kautta. Muuten järjestelmä on riippuvainen suorittimesta, ja tietyt asetukset, kuten HDR, eivät näy soittimen tai verkkosivuston asetuksissa.
Vaikka kiihdytys olisi käytössä, sovellussuoja saattaa toimia, jos grafiikkalaitteistoa ei pidetä riittävän turvallisena tai yhteensopivana. palaa automaattisesti ohjelmistorenderöintiinmikä vaikuttaa kannettavien tietokoneiden sujuvuuteen ja akun kulutukseen.
Joissakin käyttöönotoissa on havaittu ongelmia TCP:n fragmentoitumisen ja ristiriitojen kanssa VPN-verkot, jotka eivät koskaan tunnu saavan toimintaansa kun liikenne kulkee säilön läpi. Näissä tapauksissa on yleensä tarpeen tarkistaa verkkokäytännöt, MTU, välityspalvelimen kokoonpano ja joskus säätää MDAG:n integroitumista muiden jo asennettujen tietoturvakomponenttien kanssa.
Tuki, diagnosointi ja tapahtumaraportointi
Kun kaikesta huolimatta ilmenee ongelmia, joita ei voida ratkaista sisäisesti, Microsoft suosittelee avaa tietty tukipyyntö Microsoft Defender Application Guardille. On tärkeää kerätä tietoja etukäteen diagnostiikkasivulta, asiaankuuluvista tapahtumalokeista ja laitteeseen käytetyn kokoonpanon tiedoista.
Sivun käyttö edge://application-guard-internalsyhdistettynä käytössä olevat tarkastustapahtumat ja työkalujen julkaisu, kuten wdagtool.exeSe yleensä antaa tukitiimille riittävästi tietoa ongelman lähteen paikantamiseksi, olipa kyseessä sitten huonosti määritelty käytäntö, ristiriita toisen tietoturvatuotteen kanssa tai laitteistorajoitus.
Kaiken tämän lisäksi käyttäjät voivat mukauttaa virheilmoituksia ja yhteystietoja Windows Securityn teknisen tuen valintaikkunassa, mikä helpottaa oikean ratkaisun löytämistä. Älä jää pulaan tietämättä kenen puoleen kääntyä kun säiliö ei käynnisty tai ei avaudu odotetulla tavalla.
Kaiken kaikkiaan Microsoft Defender Application Guard tarjoaa tehokkaan yhdistelmän laitteiston eristämistä, yksityiskohtaista käytäntöjen hallintaa ja diagnostiikkatyökaluja, jotka oikein käytettynä voivat merkittävästi vähentää epäluotettavien sivustojen selaamiseen tai epäilyttävistä lähteistä peräisin olevien asiakirjojen avaamiseen liittyvää riskiä vaarantamatta päivittäistä tuottavuutta.
Intohimoinen kirjoittaja tavujen maailmasta ja tekniikasta yleensä. Rakastan jakaa tietämykseni kirjoittamalla, ja sen aion tehdä tässä blogissa, näyttää sinulle kaikki mielenkiintoisimmat asiat vempaimista, ohjelmistoista, laitteistoista, teknologisista trendeistä ja muusta. Tavoitteeni on auttaa sinua navigoimaan digitaalisessa maailmassa yksinkertaisella ja viihdyttävällä tavalla.