Kako koristiti Microsoft Defender Application Guard korak po korak

Ako radite s osjetljivim informacijama ili svakodnevno pregledavate sumnjive web stranice, Microsoft Defender Application Guard (MDAG) To je jedna od onih značajki sustava Windows koja može napraviti razliku između straha i katastrofe. To nije samo još jedan antivirusni program, već dodatni sloj koji izolira prijetnje iz vašeg sustava i podataka.

U sljedećim redcima ćete jasno vidjeti Što je točno Application Guard, kako interno funkcionira, na kojim uređajima ga možete koristiti i kako ga konfigurirati? Obradit ćemo i jednostavne i poslovne implementacije. Također ćemo pregledati zahtjeve, grupne politike, uobičajene pogreške i razna često postavljana pitanja koja se javljaju pri početku rada s ovom tehnologijom.

Što je Microsoft Defender Application Guard i kako funkcionira?

Microsoft Defender Application Guard napredna je sigurnosna značajka osmišljena za Izolirajte nepouzdane web stranice i dokumente u virtualnom spremniku Temeljeno na Hyper-V-u. Umjesto da pokušava blokirati svaki napad jedan po jedan, stvara malo "jednokratno računalo" gdje stavlja sumnjivi materijal.

Taj kontejner radi u odvojeno od glavnog operativnog sustavas vlastitom ojačanom instancom sustava Windows i bez izravnog pristupa datotekama, vjerodajnicama ili internim resursima tvrtke. Čak i ako zlonamjerna stranica uspije iskoristiti ranjivost preglednika ili sustava Office, šteta ostaje unutar tog izoliranog okruženja.

U slučaju Microsoft Edgea, Application Guard osigurava da bilo koja domena koja nije označena kao pouzdana Automatski se otvara unutar tog spremnika. Za Office to čini isto s Word, Excel i PowerPoint dokumentima koji dolaze iz izvora koje organizacija ne smatra sigurnima.

Ključno je da je ova izolacija hardverskog tipa: Hyper-V stvara neovisno okruženje od hosta, što drastično smanjuje mogućnost da napadač pređe s izolirane sesije na stvarni sustav, ukrade podatke tvrtke ili iskoristi pohranjene vjerodajnice.

Nadalje, kontejner se tretira kao anonimno okruženje: Ne nasljeđuje kolačiće, lozinke ili sesije korisnika.To znatno otežava život napadačima koji se oslanjaju na tehnike lažiranja ili krađe sesije.

Preporučene vrste uređaja za korištenje Application Guarda

Iako se Application Guard tehnički može pokrenuti u raznim scenarijima, posebno je dizajniran za korporativna okruženja i upravljani uređajiMicrosoft razlikuje nekoliko vrsta opreme gdje MDAG ima najviše smisla.

Prije svega tu su poslovno stolno računalo povezano s domenomObično se njima upravlja pomoću Configuration Managera ili Intunea. To su tradicionalna uredska računala sa standardnim korisnicima i spojena na žičanu korporativnu mrežu, gdje rizik dolazi uglavnom od svakodnevnog pregledavanja interneta.

Onda imamo korporativna prijenosna računalaTo su također uređaji povezani s domenom i centralno upravljani, ali se povezuju s internim ili eksternim Wi-Fi mrežama. Ovdje se rizik povećava jer uređaj napušta kontroliranu mrežu i izložen je Wi-Fi-ju u hotelima, zračnim lukama ili kućnim mrežama.

Druga skupina su BYOD (Donesi svoj vlastiti uređaj) prijenosna računala, osobna oprema koja ne pripada tvrtki, ali se njome upravlja putem rješenja poput Intunea. Obično su u rukama korisnika s lokalnim administratorskim privilegijama, što povećava površinu napada i čini korištenje izolacije za pristup korporativnim resursima privlačnijim.

Napokon, tu su i potpuno neupravljani osobni uređajiTo su web-stranice koje ne pripadaju nijednoj domeni i nad kojima korisnik ima apsolutnu kontrolu. U tim slučajevima, Application Guard može se koristiti u samostalnom načinu rada (posebno za Edge) kako bi pružio dodatni sloj zaštite prilikom posjeta potencijalno opasnim web-stranicama.

Potrebna izdanja i licenciranje sustava Windows

Prije nego što počnete konfigurirati bilo što, važno je da vam ovo bude jasno. U kojim izdanjima sustava Windows možete koristiti Microsoft Defender Application Guard i s kojim licencnim pravima.

Za Samostalni način rada na Edgeu (tj. korištenje Application Guarda samo kao sigurnosnog okruženja preglednika bez naprednog upravljanja poduzećem), podržano je u sustavu Windows:

• Windows pro
• Windows Enterprise
• Windows Pro Education / SE
• Obrazovanje sustava Windows

U ovom scenariju, prava na MDAG licencu se dodjeljuju ako imate licence kao što su Windows Pro / Pro Education / SE, Windows Enterprise E3 ili E5 i Windows Education A3 ili A5U praksi, na mnogim profesionalnim računalima s Windows Pro sustavom već možete aktivirati tu značajku za osnovnu upotrebu.

Za način rada na rubu poduzeća i korporativna administracija (gdje dolaze u obzir napredne direktive i složeniji scenariji), podrška je smanjena:

• Windows Enterprise y Obrazovanje sustava Windows U ovom načinu rada podržan je Application Guard.
• Windows Pro i Windows Pro Education/SE Ne Imaju podršku za ovu korporativnu varijantu.

Što se tiče licenci, ova naprednija korporativna upotreba zahtijeva Windows Enterprise E3/E5 ili Windows Education A3/A5Ako vaša organizacija koristi samo Pro pretplate bez Enterprise pretplata, bit ćete ograničeni na samostalni način rada Edgea.

Preduvjeti za sustav i kompatibilnost

Uz Windows izdanje, za stabilan rad Application Guarda potrebno je ispunjavati niz tehničkih zahtjeva vezano uz verziju, hardver i podršku za virtualizaciju.

Što se tiče operativnog sustava, obavezno ga je koristiti Windows 10 1809 ili noviji (ažuriranje iz listopada 2018.) ili ekvivalentna verzija sustava Windows 11. Nije namijenjen za serverske SKU-ove ili znatno smanjene varijante; očito je usmjeren na klijentska računala.

Na razini hardvera, oprema mora imati omogućena hardverska virtualizacija (Podrška za Intel VT-x/AMD-V i prijevod adresa druge razine, kao što je SLAT), budući da je Hyper-V ključna komponenta za stvaranje izoliranog spremnika. Bez ovog sloja, MDAG neće moći postaviti svoje sigurno okruženje.

Također je bitno imati kompatibilni mehanizmi administracije Ako ćete ga koristiti centralno (na primjer, Microsoft Intune ili Configuration Manager), kako je detaljno opisano u zahtjevima poslovnog softvera. Za jednostavne implementacije bit će dovoljno samo sučelje Windows Security.

Na kraju, imajte na umu da Application Guard je u procesu ukidanja. Za Microsoft Edge za tvrtke, te da se određeni API-ji povezani sa samostalnim aplikacijama više neće ažurirati. Unatoč tome, i dalje je vrlo raširen u okruženjima gdje je potrebno kratkoročno i srednjoročno ograničavanje rizika.

Primjer upotrebe: sigurnost naspram produktivnosti

Jedan od klasičnih problema u kibernetičkoj sigurnosti je pronaći pravu ravnotežu između istinski zaštititi, a ne blokirati korisnikaAko dopustite samo nekoliko "blagoslovljenih" web stranica, smanjujete rizik, ali ubijate produktivnost. Ako ublažite ograničenja, razina izloženosti vrtoglavo raste.

Preglednik je jedan od glavne napadne površine posla, jer mu je svrha otvaranje nepouzdanog sadržaja iz širokog spektra izvora: nepoznatih web stranica, preuzimanja, skripti trećih strana, agresivnog oglašavanja itd. Bez obzira koliko poboljšate engine, uvijek će postojati nove ranjivosti koje će netko pokušati iskoristiti.

U ovom modelu administrator precizno definira koje domene, IP raspone i resurse u oblaku smatra pouzdanima. Sve što nije na tom popisu automatski ide u kontejnerTamo korisnik može pregledavati bez straha da će kvar preglednika ugroziti ostatak internih sustava.

Rezultat je relativno fleksibilna navigacija za zaposlenika, ali s strogo čuvana granica između onoga što je nepouzdan vanjski svijet i onoga što je korporativno okruženje koje se mora zaštititi pod svaku cijenu.

Nedavne značajke i ažuriranja za Application Guard u pregledniku Microsoft Edge

Kroz razne verzije Microsoft Edgea temeljene na Chromiumu, Microsoft je dodavao Specifična poboljšanja za Application Guard s ciljem poboljšanja korisničkog iskustva i davanja administratoru veće kontrole.

Jedna od važnih novih značajki je blokiranje prijenosa datoteka iz spremnikaOd Edgea 96, organizacije su mogle spriječiti korisnike da prenose dokumente sa svog lokalnog uređaja na obrazac ili web uslugu unutar izolirane sesije, koristeći pravilo ApplicationGuardUploadBlockingEnabledTo smanjuje rizik od curenja informacija.

Još jedno vrlo korisno poboljšanje je pasivni način rada, dostupno od Edgea 94. Kada se aktivira pravilnikom ApplicationGuardPassiveModeEnabledApplication Guard prestaje forsirati popis web-mjesta i omogućuje korisniku "normalno" pregledavanje Edgea, iako je značajka i dalje instalirana. To je praktičan način da tehnologija bude spremna bez preusmjeravanja prometa.

Također je dodana mogućnost sinkronizirajte favorite hosta s kontejneromTo je nešto što su mnogi korisnici tražili kako bi izbjegli dva potpuno nepovezana iskustva pregledavanja. Od Edgea 91, politika ApplicationGuardFavoritesSyncEnabled Omogućuje novim markerima da se pojave ravnopravno unutar izoliranog okruženja.

U području umrežavanja, Edge 91 je uključio podršku za označi promet koji napušta kontejner zahvaljujući direktivi ApplicationGuardTrafficIdentificationEnabledTo omogućuje tvrtkama da identificiraju i filtriraju taj promet putem proxyja, na primjer kako bi ograničile pristup vrlo malom skupu web-mjesta prilikom pregledavanja s MDAG-a.

Dvostruki proxy, ekstenzije i drugi napredni scenariji

Neke organizacije koriste Application Guard u složenijim implementacijama gdje im je potreban pomno pratiti promet kontejnera i mogućnosti preglednika unutar tog izoliranog okruženja.

Za ove slučajeve, Edge ima podršku za dvostruki proxy Od stabilne verzije 84 nadalje, konfigurira se putem direktive ApplicationGuardContainerProxyIdeja je da se promet koji potječe iz kontejnera usmjerava kroz određeni proxy, različit od onog koji koristi host, što olakšava primjenu neovisnih pravila i strožu inspekciju.

Još jedan ponavljajući zahtjev kupaca bio je mogućnost koristite proširenja unutar kontejneraOd Edgea 81 to je moguće, tako da se blokatori oglasa, interna korporativna proširenja ili drugi alati mogu pokretati sve dok su u skladu s definiranim pravilima. Potrebno je deklarirati updateURL proširenja u pravilima izolacije mreže tako da se smatra neutralnim resursom dostupnim iz Application Guarda.

Prihvaćeni scenariji uključuju prisilna instalacija ekstenzija na hostu Ta se proširenja zatim pojavljuju u spremniku, omogućujući uklanjanje određenih proširenja ili blokiranje drugih koje se smatraju nepoželjnima iz sigurnosnih razloga. Međutim, to se ne odnosi na proširenja koja se oslanjaju na izvorne komponente za rukovanje porukama. Nisu kompatibilni unutar MDAG-a.

Kako bi se pomoglo u dijagnosticiranju problema s konfiguracijom ili ponašanjem, specifična dijagnostička stranica en edge://application-guard-internalsOdatle možete provjeriti, između ostalog, smatra li se određeni URL pouzdanim ili ne prema pravilima koja se stvarno primjenjuju na korisnika.

Konačno, što se tiče ažuriranja, novi Microsoft Edge će Također se ažurira unutar kontejneraPrati isti kanal i verziju kao i glavni preglednik. Više ne ovisi o ciklusu ažuriranja operativnog sustava, kao što je bio slučaj sa zastarjelom verzijom Edgea, što uvelike pojednostavljuje održavanje.

Kako omogućiti Microsoft Defender Application Guard u sustavu Windows

Ako ga želite pokrenuti na kompatibilnom uređaju, prvi korak je aktivirajte značajku sustava Windows odgovarajuće. Proces je, na osnovnoj razini, prilično jednostavan.

Najbrži način je otvoriti dijaloški okvir Pokreni pomoću Win + R, napisati appwiz.cpl i pritisnite Enter da biste izravno otišli na ploču "Programi i značajke". Tamo ćete s lijeve strane pronaći vezu "Uključivanje ili isključivanje značajki sustava Windows".

Na popisu dostupnih komponenti morat ćete pronaći unos „Zaštita aplikacija Microsoft Defendera“ i odaberite ga. Nakon prihvaćanja, Windows će preuzeti ili omogućiti potrebne binarne datoteke i zatražiti od vas da ponovno pokrenete računalo kako bi se promjene primijenile.

Nakon ponovnog pokretanja, na kompatibilnim uređajima s ispravnim verzijama Edgea, trebali biste moći Otvorite nove prozore ili izolirane kartice putem opcija preglednika ili, u upravljanim okruženjima, automatski prema konfiguraciji popisa nepouzdanih web-mjesta.

Ako ne vidite opcije poput "Novi prozor Application Guarda" ili se spremnik ne otvara, moguće je da Upute koje slijedite mogu biti zastarjele.To bi moglo biti zato što vaše izdanje sustava Windows nije podržano, nemate omogućen Hyper-V ili je politika vaše organizacije onemogućila tu značajku.

Konfiguriranje Application Guarda pomoću grupnih pravila

U poslovnim okruženjima, svaki dio opreme se ne konfigurira ručno; umjesto toga se koristi unaprijed definirani sustav. grupna pravila (GPO) ili konfiguracijske profile u Intuneu za centralno definiranje pravila. Application Guard oslanja se na dva glavna konfiguracijska bloka: izolaciju mreže i parametre specifične za aplikaciju.

Postavke izolacije mreže nalaze se u Computer Configuration\Administrative Templates\Network\Network IsolationOvdje su, na primjer, definirani sljedeći pojmovi: interni mrežni rasponi i domene koje se smatraju domenama tvrtkekoji će označiti granicu između onoga što je pouzdano i onoga što treba baciti u smeće.

Jedna od ključnih politika je ona od "Intervali privatne mreže za aplikacije"Ovaj odjeljak navodi, u popisu odvojenim zarezima, IP raspone koji pripadaju korporativnoj mreži. Krajnje točke u tim rasponima otvorit će se u normalnom Edgeu i neće biti dostupne iz okruženja Application Guarda.

Druga važna politika je ona „Domene poslovnih resursa hostanih u oblaku“koji koristi popis odvojen znakom | Za označavanje SaaS domena i usluga u oblaku organizacije koje treba tretirati kao interne. One će se također prikazivati ​​na Edgeu izvan kontejnera.

Konačno, direktiva od „Domene klasificirane kao osobne i poslovne“ Omogućuje vam deklariranje domena koje se mogu koristiti i za osobne i za poslovne svrhe. Tim će stranicama biti moguće pristupiti i iz uobičajenog Edge okruženja i iz Application Guarda, prema potrebi.

Korištenje zamjenskih znakova u postavkama izolacije mreže

Kako bi se izbjeglo pisanje svake poddomene pojedinačno, podržavaju se popisi izolacije mreže zamjenski znakovi u nazivima domenaTo omogućuje bolju kontrolu nad onim što se smatra pouzdanim.

Ako je jednostavno definirano contoso.comPreglednik će vjerovati samo toj određenoj vrijednosti, a ne drugim domenama koje je sadrže. Drugim riječima, tretirat će samo tu doslovnu vrijednost kao da pripada tvrtki. točan korijen i ne www.contoso.com niti varijante.

Ako je navedeno www.contoso.com, tako samo taj određeni domaćin smatrat će se pouzdanima. Druge poddomene kao što su shop.contoso.com Ostali bi vani i mogli bi završiti u kontejneru za smeće.

S formatom .contoso.com (točka prije) ukazuje na to Svaka domena koja završava na „contoso.com“ je pouzdana. Ovo uključuje od contoso.com gore www.contoso.com ili čak lanci poput spearphishingcontoso.comStoga se mora koristiti s oprezom.

Konačno, ako se koristi ..contoso.com (početna dvotočka), sve razine hijerarhije koje se nalaze lijevo od domene su pouzdane, na primjer shop.contoso.com o us.shop.contoso.com, ali Korijen "contoso.com" nije pouzdan samo po sebi. To je finiji način kontrole onoga što se smatra korporativnim resursom.

Glavne direktive specifične za Application Guard

Drugi glavni skup postavki nalazi se u Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application GuardOdavde se upravlja državom detaljno ponašanje spremnika i što korisnik može ili ne može učiniti unutar njega.

Jedna od najrelevantnijih politika je ona o "Postavke međuspremnika"Ovo kontrolira je li moguće kopiranje i lijepljenje teksta ili slika između hosta i Application Guarda. U upravljanom načinu rada možete dopustiti kopiranje samo iz spremnika prema van, samo u obrnutom smjeru ili čak potpuno onemogućiti međuspremnik.

Slično tome, direktiva od "Postavke ispisa" Odlučuje može li se sadržaj ispisati iz spremnika i u kojim formatima. Možete omogućiti ispis u PDF, XPS, povezane lokalne pisače ili unaprijed definirane mrežne pisače ili blokirati sve mogućnosti ispisa unutar MDAG-a.

Izbor "Priznajte upornost" Ova postavka određuje hoće li se korisnički podaci (preuzete datoteke, kolačići, favoriti itd.) zadržavati između sesija Application Guarda ili se brišu svaki put kada se okruženje isključi. Omogućavanje ove postavke u upravljanom načinu rada omogućuje spremniku da zadrži ove podatke za buduće sesije; onemogućavanje ove postavke rezultira praktički čistim okruženjem pri svakom pokretanju.

Ako kasnije odlučite zaustaviti dopuštanje perzistentnosti, možete koristiti alat wdagtool.exe s parametrima cleanup o cleanup RESET_PERSISTENCE_LAYER resetirati spremnik i odbaciti informacije koje je generirao zaposlenik.

Druga ključna politika je "Aktiviraj Application Guard u upravljanom načinu rada"Ovaj odjeljak određuje odnosi li se značajka na Microsoft Edge, Microsoft Office ili oboje. Ovo pravilo neće stupiti na snagu ako uređaj ne ispunjava preduvjete ili ima konfiguriranu mrežnu izolaciju (osim u određenim novijim verzijama sustava Windows gdje više nije potrebno za Edge ako su instalirana određena ažuriranja baze znanja).

Dijeljenje datoteka, certifikati, kamera i revizija

Uz gore navedene politike, postoje i druge direktive koje utječu kako se kontejner odnosi na host sustav i s perifernim uređajima.

Politika "Dopusti preuzimanje datoteka na glavni operativni sustav" Odlučuje može li korisnik spremati datoteke preuzete iz izoliranog okruženja na host. Kada je omogućen, stvara zajednički resurs između oba okruženja, što također omogućuje određene prijenose s hosta u kontejner - vrlo korisno, ali to treba procijeniti sa sigurnosne perspektive.

Konfiguracija "Omogući hardverski ubrzano renderiranje" Omogućuje korištenje GPU-a putem vGPU-a za poboljšanje grafičkih performansi, posebno pri reprodukciji videa i teškog sadržaja. Ako nije dostupan kompatibilan hardver, Application Guard će se vratiti na renderiranje putem CPU-a. Međutim, omogućavanje ove opcije na uređajima s nepouzdanim upravljačkim programima može povećati rizik za hosta.

Također postoji direktiva za dopusti pristup kameri i mikrofonu unutar kontejnera. Omogućavanjem se omogućuje aplikacijama koje se izvode pod MDAG-om korištenje ovih uređaja, olakšavajući videopozive ili konferencije iz izoliranih okruženja, iako se također otvaraju vrata zaobilaženju standardnih dozvola ako je kontejner kompromitiran.

Druga politika dopušta zaštitu aplikacija koristiti određene autoritete za certifikaciju korijena hostaOvo prenosi u spremnik certifikate čiji je otisak prsta određen. Ako je ovo onemogućeno, spremnik neće nasljeđivati ​​te certifikate, što može blokirati veze s određenim internim uslugama ako se one oslanjaju na privatne autorizacije.

Konačno, opcija za "Dopusti događaje revizije" To uzrokuje zapisivanje sistemskih događaja generiranih u spremniku i nasljeđivanje pravila revizije uređaja, tako da sigurnosni tim može pratiti što se događa unutar Application Guarda iz zapisnika hosta.

Integracija s okvirima za podršku i prilagodbu

Kada nešto krene po zlu u Application Guardu, korisnik vidi dijaloški okvir za pogrešku Prema zadanim postavkama, ovo uključuje samo opis problema i gumb za prijavu Microsoftu putem Centra za povratne informacije. Međutim, ovo iskustvo može se prilagoditi radi olakšavanja interne podrške.

Na ruti Administrative Templates\Windows Components\Windows Security\Enterprise Customization Postoji pravilo koje administrator može koristiti Dodajte kontaktne podatke za podrškuInterne poveznice ili kratke upute. Na taj način, kada zaposlenik uoči grešku, odmah će znati koga kontaktirati ili koje korake poduzeti.

Često postavljana pitanja i uobičajeni problemi s Application Guardom

Korištenje Application Guarda generira dobar dio ponavljajuća pitanja u stvarnim primjenama, posebno u pogledu performansi, kompatibilnosti i ponašanja mreže.

Jedno od prvih pitanja je može li se to omogućiti u uređaji sa samo 4 GB RAM-aIako postoje scenariji u kojima bi to moglo funkcionirati, u praksi performanse obično znatno pate, budući da je kontejner praktički još jedan operativni sustav koji radi paralelno.

Još jedna osjetljiva točka je integracija s mrežni proxyji i PAC skriptePoruke poput „Nije moguće razriješiti vanjske URL-ove iz MDAG preglednika: ERR_CONNECTION_REFUSED“ ili „ERR_NAME_NOT_RESOLVED“ prilikom neuspjelog pristupa PAC datoteci obično ukazuju na probleme s konfiguracijom između spremnika, proxyja i pravila izolacije.

Također postoje problemi vezani uz IME-ovi (uređivači načina unosa) nisu podržani U određenim verzijama sustava Windows, sukobi s upravljačkim programima za šifriranje diska ili rješenjima za kontrolu uređaja sprječavaju dovršetak učitavanja spremnika.

Neki administratori nailaze na greške kao što su "POGREŠKA_OGRANIČENJE_VIRTUALNOG_DISKA" Ako postoje ograničenja vezana uz virtualne diskove ili neuspjesi u onemogućavanju tehnologija poput hipernitnosti koje neizravno utječu na Hyper-V i, posljedično, na MDAG.

Također se postavljaju pitanja o tome kako vjeruj samo određenim poddomenama, u vezi s ograničenjima veličine popisa domena ili kako onemogućiti ponašanje pri kojem se kartica hosta automatski zatvara prilikom navigacije do web-mjesta koje se otvara u spremniku.

Application Guard, IE način rada, Chrome i Office

U okruženjima gdje se IE način rada u Microsoft EdgeuApplication Guard je podržan, ali Microsoft ne očekuje široku upotrebu te značajke u ovom načinu rada. Preporučuje se rezervirati IE način rada za [određene aplikacije/upotrebe]. pouzdane interne stranice i koristite MDAG samo za web-stranice koje se smatraju vanjskim i nepouzdanim.

Važno je osigurati da sve web-lokacije konfigurirane u IE načinu radaMreža, zajedno s pripadajućim IP adresama, također mora biti uključena u pravila izolacije mreže kao pouzdani resursi. U suprotnom, pri kombiniranju obje funkcije može doći do neočekivanog ponašanja.

Što se tiče Chromea, mnogi korisnici pitaju je li potreban instalirajte proširenje Application GuardOdgovor je ne: funkcionalnost je izvorno integrirana u Microsoft Edge, a staro Chromeovo proširenje nije podržana konfiguracija pri radu s Edgeom.

Za Office dokumente, Application Guard omogućuje Otvaranje Word, Excel i PowerPoint datoteka u izoliranom spremniku kada se datoteke smatraju nepouzdanima, čime se sprječava da zlonamjerni makroi ili drugi vektori napada dođu do hosta. Ova zaštita može se kombinirati s drugim značajkama Defendera i pravilima o povjerenju datoteka.

Postoji čak i opcija grupnih pravila koja korisnicima omogućuje da "vjeruju" određenim datotekama otvorenim u Application Guardu, tako da se tretiraju kao sigurne i izlaze iz spremnika. Ovu mogućnost treba pažljivo upravljati kako bi se izbjegao gubitak prednosti izolacije.

Preuzimanja, međuspremnik, favoriti i proširenja: korisničko iskustvo

S korisničke točke gledišta, neka od najpraktičnijih pitanja vrte se oko što se smije, a što ne smije raditi unutar kontejneraposebno s preuzimanjima, kopiranjem/lijepljenjem i ekstenzijama.

U sustavu Windows 10 Enterprise 1803 i novijim verzijama (s nijansama ovisno o izdanju), moguće je dopustiti preuzimanje dokumenata iz spremnika na host Ova opcija nije bila dostupna u prethodnim verzijama ili u određenim verzijama poput Pro, iako je bilo moguće ispisati u PDF ili XPS i spremiti rezultat na glavni uređaj.

Što se tiče međuspremnika, korporativna politika može to dopustiti Slike u BMP formatu i tekst se kopiraju do i iz izoliranog okruženja. Ako se zaposlenici žale da ne mogu kopirati sadržaj, te će se politike obično morati pregledati.

Mnogi korisnici se također pitaju zašto Ne vide svoje favorite ili svoja proširenja u Edge sesiji pod Application Guardom. To je obično zbog onemogućene sinkronizacije oznaka ili neomogućene politike proširenja u MDAG-u. Nakon što se te opcije prilagode, preglednik u spremniku može nasljeđivati ​​oznake i određena proširenja, uvijek uz ranije spomenuta ograničenja.

Postoje čak i slučajevi kada se proširenje pojavi, ali "ne radi". Ako se oslanja na izvorne komponente za rukovanje porukama, ta funkcionalnost neće biti dostupna unutar kontejnera, a proširenje će pokazivati ​​ograničeno ili potpuno neoperativno ponašanje.

Grafičke performanse, HDR i hardversko ubrzanje

Još jedna tema koja se često pojavljuje je ona o reprodukcija videa i napredne značajke poput HDR-a unutar Application Guarda. Prilikom izvođenja na Hyper-V-u, kontejner nema uvijek izravan pristup mogućnostima GPU-a.

Da bi HDR reprodukcija ispravno funkcionirala u izoliranom okruženju, potrebno je da vGPU hardversko ubrzanje je omogućeno putem pravila ubrzanog renderiranja. U suprotnom, sustav će se oslanjati na CPU, a određene opcije poput HDR-a neće se pojaviti u postavkama playera ili web-mjesta.

Čak i s omogućenim ubrzanjem, ako se grafički hardver ne smatra dovoljno sigurnim ili kompatibilnim, Application Guard može automatski povratak na softversko renderiranješto utječe na fluidnost i potrošnju baterije u prijenosnim računalima.

Neke implementacije su pokazale probleme s fragmentacijom TCP-a i sukobima s VPN-ovi koji se nikad ne pokreću i ne rade kada promet prolazi kroz spremnik. U tim slučajevima obično je potrebno pregledati mrežne politike, MTU, konfiguraciju proxyja, a ponekad i prilagoditi način na koji se MDAG integrira s drugim već instaliranim sigurnosnim komponentama.

Podrška, dijagnoza i prijavljivanje incidenata

Kada se, unatoč svemu, pojave problemi koji se ne mogu riješiti interno, Microsoft preporučuje otvorite određeni tiket za podršku za Microsoft Defender Application Guard. Važno je unaprijed prikupiti informacije s dijagnostičke stranice, povezanih zapisnika događaja i detalja o konfiguraciji primijenjenoj na uređaj.

Korištenje stranice edge://application-guard-internals, u kombinaciji s omogućeni događaji revizije i izdavanje alata kao što su wdagtool.exeObično pruža timu za podršku dovoljno podataka za lociranje izvora problema, bilo da se radi o loše definiranoj politici, sukobu s drugim sigurnosnim proizvodom ili hardverskom ograničenju.

Uz sve to, korisnici mogu prilagoditi poruke o pogreškama i kontaktne podatke u dijaloškom okviru tehničke podrške za sigurnost sustava Windows, što im olakšava pronalaženje pravog rješenja. Nemojte se zaglaviti ne znajući kome se obratiti kada se spremnik ne pokrene ili se ne otvori kako se očekuje.

Sveukupno, Microsoft Defender Application Guard nudi snažnu kombinaciju izolacije hardvera, detaljne kontrole pravila i dijagnostičkih alata koji, uz pravilnu upotrebu, mogu značajno smanjiti rizik povezan s pregledavanjem nepouzdanih web-mjesta ili otvaranjem dokumenata iz sumnjivih izvora bez ugrožavanja svakodnevne produktivnosti.