A Microsoft Defender Application Guard használata lépésről lépésre

Ha naponta érzékeny információkkal dolgozik, vagy gyanús weboldalakat böngészik, Microsoft Defender alkalmazásvédelem (MDAG) Ez egyike azoknak a Windows-funkcióknak, amelyek döntő fontosságúak lehetnek a rémület és a katasztrófa között. Nem csupán egy újabb víruskereső program, hanem egy extra réteg, amely elkülöníti a fenyegetéseket a rendszertől és az adatoktól.

A következő sorokban tisztán látni fogod Mi is pontosan az Application Guard, hogyan működik belsőleg, mely eszközökön használható, és hogyan kell konfigurálni? Mind az egyszerű, mind a vállalati telepítéseket tárgyaljuk. Áttekintjük a követelményeket, a csoportházirendeket, a gyakori hibákat és a gyakran ismételt kérdéseket is, amelyek felmerülnek a technológia használata során.

Mi a Microsoft Defender Application Guard és hogyan működik?

A Microsoft Defender Application Guard egy fejlett biztonsági funkció, amelyet arra terveztek, hogy Nem megbízható webhelyek és dokumentumok elkülönítése virtuális konténerben Hyper-V-n alapul. Ahelyett, hogy egyesével próbálná blokkolni az egyes támadásokat, létrehoz egy kis „eldobható számítógépet”, ahová a gyanús anyagokat helyezi.

Ez a konténer egy elkülönítve a fő operációs rendszertőlsaját, megerősített Windows-példánnyal rendelkezik, és nincs közvetlen hozzáférése fájlokhoz, hitelesítő adatokhoz vagy belső vállalati erőforrásokhoz. Még ha egy rosszindulatú webhelynek sikerül is kihasználnia egy böngésző vagy Office sebezhetőségét, a kár ebben az elszigetelt környezetben marad.

A Microsoft Edge esetében az Application Guard biztosítja, hogy minden olyan domain, amely nincs megbízhatóként megjelölve Automatikusan megnyílik ebben a tárolóban. Az Office esetében ugyanezt teszi a szervezet által nem biztonságosnak tartott forrásokból származó Word-, Excel- és PowerPoint-dokumentumokkal.

A lényeg az, hogy ez az izoláció hardveres típusú: A Hyper-V független környezetet hoz létre a gazdagépről, ami drasztikusan csökkenti annak az esélyét, hogy egy támadó az elszigetelt munkamenetről a valódi rendszerre ugorjon, ellopja a céges adatokat, vagy kihasználja a tárolt hitelesítő adatokat.

Továbbá a konténert anonim környezetként kezeli a rendszer: Nem örökli a felhasználó sütijeit, jelszavait vagy munkameneteit.Ez sokkal nehezíti a támadók dolgát, akik hamisításra vagy munkamenet-lopásra hagyatkoznak.

Az Application Guard használatához ajánlott eszköztípusok

Bár az Application Guard technikailag különféle forgatókönyvekben futtatható, kifejezetten erre a célra tervezték. vállalati környezetek és felügyelt eszközökA Microsoft számos olyan berendezéstípust különböztet meg, amelyek esetében az MDAG a legértelmesebb.

Először is ott vannak a tartományhoz csatlakoztatott vállalati asztali számítógépEzeket jellemzően a Configuration Manager vagy az Intune segítségével kezelik. Hagyományos irodai számítógépek, standard felhasználókkal, és a vezetékes vállalati hálózathoz csatlakoznak, ahol a kockázat főként a napi internetezésből származik.

Akkor megvan a céges laptopokEzek szintén tartományhoz csatlakoztatott és központilag felügyelt eszközök, de belső vagy külső Wi-Fi hálózatokhoz csatlakoznak. Itt a kockázat megnő, mivel az eszköz elhagyja a felügyelt hálózatot, és Wi-Fi-nek van kitéve szállodákban, repülőtereken vagy otthoni hálózatokban.

Egy másik csoport a BYOD (Hozd a Saját Eszközöd) laptopok, Személyes felszerelés, amely nem a vállalat tulajdonában van, de a vállalat kezelésében van olyan megoldásokon keresztül, mint az Intune. Általában helyi rendszergazdai jogosultságokkal rendelkező felhasználók kezében vannak, ami növeli a támadási felületet, és vonzóbbá teszi a vállalati erőforrásokhoz való hozzáférés elkülönítését.

Végül ott vannak a teljesen kezeletlen személyes eszközökEzek olyan webhelyek, amelyek nem tartoznak egyetlen domainhez sem, és ahol a felhasználónak abszolút ellenőrzése van. Ilyen esetekben az Application Guard önálló módban is használható (különösen Edge esetén), hogy további védelmi réteget biztosítson a potenciálisan veszélyes webhelyek látogatásakor.

Szükséges Windows kiadások és licencelés

Mielőtt bármit is beállítani kezdenél, fontos, hogy tisztában legyél ezzel. A Windows mely kiadásaiban használható a Microsoft Defender Application Guard? és milyen licencjogokkal.

For Edge önálló mód (azaz az Application Guard csak böngésző tesztkörnyezetként való használata fejlett vállalati felügyelet nélkül) Windows rendszeren támogatott:

• Windows pro
• Windows Enterprise
• Windows Pro Oktatás / SE
• Windows oktatás

Ebben az esetben az MDAG licencjogokat akkor biztosítják, ha rendelkezik olyan licencekkel, mint például Windows Pro / Pro Education / SE, Windows Enterprise E3 vagy E5 és Windows Education A3 vagy A5A gyakorlatban számos professzionális, Windows Pro rendszerű PC-n már aktiválható a funkció az alapvető használathoz.

For peremhálózati vállalati mód és vállalati adminisztráció (ahol speciális irányelvek és összetettebb forgatókönyvek kerülnek szóba), a támogatás csökken:

• Windows Enterprise y Windows oktatás Az Application Guard ebben a módban támogatott.
• Windows Pro és Windows Pro Education/SE nem Támogatják ezt a vállalati változatot.

A licencek tekintetében ez a fejlettebb vállalati felhasználás megköveteli Windows Enterprise E3/E5 vagy Windows Education A3/A5Ha szervezete csak Pro verzióval működik Enterprise előfizetések nélkül, akkor az Edge önálló módra lesz korlátozva.

Rendszerkövetelmények és kompatibilitás

A Windows kiadáson kívül az Application Guard stabil működéséhez a következőknek is meg kell felelni: egy sor műszaki követelmény a verzióval, a hardverrel és a virtualizációs támogatással kapcsolatos.

Az operációs rendszert illetően kötelező a használata Windows 10 1809-es vagy újabb verzió (2018. októberi frissítés) vagy a Windows 11 egyenértékű verziója. Nem szerver SKU-khoz vagy erősen lekicsinyített változatokhoz készült; egyértelműen kliens számítógépekre irányul.

Hardver szinten a berendezésnek rendelkeznie kell a következőkkel: hardveralapú virtualizáció engedélyezve (Intel VT-x/AMD-V támogatás és másodszintű címfordítás, például SLAT), mivel a Hyper-V a kulcsfontosságú összetevő az izolált konténer létrehozásában. E réteg nélkül az MDAG nem lesz képes biztonságos környezetet létrehozni.

Az is elengedhetetlen, hogy rendelkezzen kompatibilis adminisztrációs mechanizmusok Ha központilag fogja használni (például Microsoft Intune-nal vagy Configuration Managerrel), a vállalati szoftverkövetelményekben részletezettek szerint. Egyszerű telepítésekhez maga a Windows Security felület elegendő.

Végül jegyezze meg Az Application Guard elavulttá válik. A Microsoft Edge üzleti verziójához, valamint ahhoz, hogy az önálló alkalmazásokkal kapcsolatos bizonyos API-k a továbbiakban nem frissülnek, továbbra is nagyon elterjedt azokban a környezetekben, ahol rövid és középtávú kockázatcsökkentésre van szükség.

Használati eset: biztonság kontra termelékenység

A kiberbiztonság egyik klasszikus problémája a megfelelő egyensúly megtalálása a következők között: hogy valóban megvédje, ne pedig blokkolja a felhasználótHa csak néhány „áldott” weboldalt engedélyezel, csökkented a kockázatot, de rontod a termelékenységet. Ha lazítasz a korlátozásokon, a kitettség szintje az egekbe szökik.

A böngésző az egyik fő támadási felületek a munka, mivel célja a megbízhatatlan tartalmak megnyitása a legkülönfélébb forrásokból: ismeretlen webhelyek, letöltések, harmadik féltől származó szkriptek, agresszív hirdetések stb. Nem számít, mennyire fejleszted a motort, mindig lesznek új sebezhetőségek, amelyeket valaki megpróbál kihasználni.

Ebben a modellben a rendszergazda pontosan meghatározza, hogy mely domaineket, IP-tartományokat és felhőalapú erőforrásokat tekinti megbízhatónak. Bármi, ami nincs a listán, automatikusan a konténerbe kerül.Ott a felhasználó böngészhet anélkül, hogy attól kellene tartania, hogy egy böngészőhiba veszélyezteti a többi belső rendszer működését.

Az eredmény egy viszonylag rugalmas navigáció az alkalmazott számára, de egy szigorúan őrzött határ a megbízhatatlan külvilág és a mindenáron védeni kellő vállalati környezet között.

Az Application Guard legújabb funkciói és frissítései a Microsoft Edge-ben

A Microsoft Edge különböző, Chromium alapú verzióiban a Microsoft hozzáadta a következőket: Az Application Guard speciális fejlesztései azzal a céllal, hogy finomítsa a felhasználói élményt, és nagyobb kontrollt biztosítson az adminisztrátornak.

Az egyik fontos új funkció a fájlfeltöltések blokkolása a konténerbőlAz Edge 96 óta a szervezetek megakadályozhatják, hogy a felhasználók dokumentumokat töltsenek fel helyi eszközükről egy űrlapra vagy webszolgáltatásba egy elszigetelt munkameneten belül a szabályzat használatával. ApplicationGuardUploadBlockingEnabledEz csökkenti az információszivárgás kockázatát.

Egy másik nagyon hasznos fejlesztés a passzív mód, az Edge 94 óta elérhető. Amikor a szabályzat aktiválja ApplicationGuardPassiveModeEnabledAz Application Guard leállítja a webhelylista kikényszerítését, és lehetővé teszi a felhasználó számára az Edge „normális” böngészését, annak ellenére, hogy a funkció telepítve marad. Ez egy kényelmes módja annak, hogy a technológia készen álljon a forgalom átirányítása nélkül.

Hozzáadták annak lehetőségét is, hogy szinkronizálja a host kedvenceket a konténerrelEz sok ügyfél kérése volt, hogy elkerüljék a két teljesen független böngészési élményt. Az Edge 91 óta ez a szabályzat... ApplicationGuardFavoritesSyncEnabled Lehetővé teszi, hogy az új markerek egyformán jelenjenek meg az izolált környezetben.

A hálózati területen az Edge 91 támogatást nyújtott a következőkhöz: címkézd fel a konténert elhagyó forgalmat az irányelvnek köszönhetően ApplicationGuardTrafficIdentificationEnabledEz lehetővé teszi a vállalatok számára, hogy azonosítsák és szűrjék ezt a forgalmat egy proxyn keresztül, például korlátozzák a hozzáférést egy nagyon kis webhelycsoportra, amikor az MDAG-ból böngésznek.

Kettős proxy, kiterjesztések és egyéb speciális forgatókönyvek

Egyes szervezetek összetettebb telepítésekben használják az Application Guardot, ahol szükség van rájuk szorosan figyelemmel kíséri a konténerforgalmat és a böngésző képességeit ebben az elszigetelt környezetben.

Ezekre az esetekre az Edge támogatja a kettős proxy A stabil 84-es verziótól kezdve, a direktíván keresztül konfigurálható ApplicationGuardContainerProxyAz ötlet az, hogy a konténerből származó forgalmat egy adott proxyn keresztül irányítják át, amely eltér a gazdagép által használttól, ami megkönnyíti a független szabályok alkalmazását és a szigorúbb ellenőrzést.

Egy másik visszatérő kérés az ügyfelektől az volt, hogy lehetőség legyen használjon kiterjesztéseket a konténeren belülAz Edge 81 óta ez lehetséges, így a hirdetésblokkolók, a belső vállalati kiterjesztések vagy más eszközök futtathatók, amennyiben megfelelnek a meghatározott szabályzatoknak. Szükséges deklarálni a updateURL a bővítmény hálózati elkülönítési szabályzataiban, hogy az Application Guardból elérhető semleges erőforrásnak minősüljön.

Az elfogadott forgatókönyvek közé tartozik a kiterjesztések kényszerített telepítése a gazdagépre Ezek a kiterjesztések ezután megjelennek a konténerben, lehetővé téve bizonyos kiterjesztések eltávolítását vagy a biztonsági okokból nemkívánatosnak ítélt kiterjesztések blokkolását. Ez azonban nem vonatkozik azokra a kiterjesztésekre, amelyek natív üzenetkezelő komponensekre támaszkodnak. Nem kompatibilisek az MDAG-en belül.

A konfigurációs vagy viselkedési problémák diagnosztizálásához egy specifikus diagnosztikai oldal en edge://application-guard-internalsInnen többek között ellenőrizheti, hogy egy adott URL megbízhatónak tekinthető-e a felhasználóra ténylegesen alkalmazott szabályzatok szerint.

Végül, a frissítéseket illetően, az új Microsoft Edge... A konténeren belül is frissül.Ugyanazt a csatornát és verziót követi, mint a gazdagép böngészője. Már nem függ az operációs rendszer frissítési ciklusától, mint az Edge Legacy verziója esetében, ami jelentősen leegyszerűsíti a karbantartást.

A Microsoft Defender Application Guard engedélyezése Windows rendszerben

Ha kompatibilis eszközön szeretné futtatni, az első lépés a következő: Windows funkció aktiválása megfelelő. A folyamat alapvető szinten meglehetősen egyszerű.

A leggyorsabb módja a Futtatás párbeszédpanel megnyitása a Win + R, írni appwiz.cpl és nyomja meg az Enter billentyűt a „Programok és szolgáltatások” panelre való közvetlen ugráshoz. Innen a bal oldalon megtalálja a „Windows-szolgáltatások be- és kikapcsolása” hivatkozást.

Az elérhető összetevők listájában meg kell találnia a bejegyzést „Microsoft Defender alkalmazásvédelem” és jelölje ki. Az elfogadást követően a Windows letölti vagy engedélyezi a szükséges bináris fájlokat, és kéri, hogy indítsa újra a számítógépet a módosítások alkalmazásához.

Az újraindítás után a kompatibilis eszközökön, amelyeken az Edge megfelelő verziói futnak, a következőknek kell lenniük: Új ablakok vagy elkülönített lapok megnyitása böngésző beállításain keresztül, vagy felügyelt környezetekben automatikusan a nem megbízható webhelyek listájának konfigurációja szerint.

Ha nem lát olyan opciókat, mint az „Új alkalmazásvédelmi ablak”, vagy a tároló nem nyílik meg, lehetséges, hogy Az Ön által követett utasítások elavultak lehetnek.Ennek oka lehet, hogy a Windows kiadása nem támogatott, nincs engedélyezve a Hyper-V, vagy a szervezete szabályzata letiltotta a funkciót.

Az Alkalmazásőr konfigurálása csoportházirenddel

Üzleti környezetben az egyes berendezéseket nem manuálisan konfigurálják, ehelyett egy előre meghatározott rendszert használnak. csoportházirend (GPO) vagy konfigurációs profilokat az Intune-ban a szabályzat központi meghatározásához. Az Application Guard két fő konfigurációs blokkra támaszkodik: a hálózat elkülönítésére és az alkalmazásspecifikus paraméterekre.

A hálózati izolációs beállítások itt találhatók: Computer Configuration\Administrative Templates\Network\Network IsolationItt definiálhatók például a következők: belső hálózati tartományok és domainek, amelyeket vállalati domaineknek tekintenekami kijelöli a határt a megbízható és a kukába dobandó dolgok között.

Az egyik legfontosabb irányelv az, hogy „Privát hálózati intervallumok alkalmazásokhoz”Ez a szakasz vesszővel elválasztott listában adja meg a vállalati hálózathoz tartozó IP-tartományokat. Az ezekben a tartományokban lévő végpontok a normál Edge-ben nyílnak meg, és az Application Guard környezetből nem lesznek elérhetők.

Egy másik fontos irányelv az, hogy „Felhőben üzemeltetett vállalati erőforrás-tartományok”amely egy karakterrel elválasztott listát használ | A szervezet SaaS-tartományainak és felhőszolgáltatásainak jelzésére, amelyeket belsőként kell kezelni. Ezek a konténeren kívül, az Edge-en is megjelennek.

Végül az irányelv „Személyes és munkahelyi kategóriába sorolt ​​domainek” Lehetővé teszi olyan domainek deklarálását, amelyek személyes és üzleti célokra is használhatók. Ezek a webhelyek mind a normál Edge környezetből, mind az Application Guardból elérhetők lesznek, adott esetben.

Helyettesítő karakterek használata a hálózati izolációs beállításokban

Annak elkerülése érdekében, hogy minden egyes altartományt egyenként kelljen írni, a hálózati izolációs listák támogatják a következőket: helyettesítő karakterek a domainnevekbenEz lehetővé teszi a megbízhatónak tekinthető dolgok jobb ellenőrzését.

Ha egyszerűen definiáljuk contoso.comA böngésző csak ezt a konkrét értéket fogja megbízni, és nem fogja a többi, azt tartalmazó domaint. Más szóval, csak ezt a literálértéket fogja egy vállalkozáshoz tartozónak tekinteni. a pontos gyökér és nem www.contoso.com sem variánsok.

Ha meg van adva www.contoso.com, így csak az a konkrét gazdagép megbízhatónak fog tekinteni. Más aldomének, mint például shop.contoso.com Kint maradnának, és a kukában végezhetnék.

A formátummal .contoso.com (egy pont előtte) azt jelzi, hogy Minden „contoso.com” végződésű domain megbízhatónak minősül.. Ez magában foglalja a contoso.com fel www.contoso.com vagy akár láncok, mint például spearphishingcontoso.comTehát óvatosan kell használni.

Végül, ha használják ..contoso.com (kezdő kettőspont), a tartománytól balra elhelyezkedő hierarchia összes szintje megbízható, például shop.contoso.com o us.shop.contoso.com, de A „contoso.com” gyökér nem megbízható önmagában. Ez egy kifinomultabb módja annak, hogy ellenőrizzük azt, amit vállalati erőforrásnak tekintünk.

Fő Application Guard-specifikus utasítások

A második fő beállításkészlet a következő helyen található: Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application GuardInnen irányítják az országot részletes konténer viselkedés és hogy mit tehet vagy mit nem tehet a felhasználó benne.

Az egyik legrelevánsabb irányelv az, hogy „Vágólap beállításai”Ez szabályozza, hogy lehetséges-e szöveg vagy képek másolása és beillesztése a gazdagép és az Application Guard között. Felügyelt módban engedélyezheti a másolást csak a konténerből kifelé, csak az ellenkező irányba, vagy akár teljesen letilthatja a vágólapot.

Hasonlóképpen, az irányelv „Nyomtatási beállítások” Ez dönti el, hogy a tartalom kinyomtatható-e a konténerből, és ha igen, milyen formátumban. Engedélyezheti a nyomtatást PDF, XPS, csatlakoztatott helyi nyomtatókra vagy előre definiált hálózati nyomtatókra, vagy blokkolhatja az MDAG összes nyomtatási képességét.

A választás „Ismerd meg a kitartást” Ez a beállítás határozza meg, hogy a felhasználói adatok (letöltött fájlok, sütik, kedvencek stb.) megmaradjanak-e az Application Guard munkamenetek között, vagy minden alkalommal törlődjenek, amikor a környezet leáll. Ha felügyelt módban engedélyezi ezt, a konténer megőrizheti ezeket az információkat a jövőbeli munkamenetek számára; a letiltása minden indításkor gyakorlatilag tiszta környezetet eredményez.

Ha később úgy dönt, hogy leállítja az adatmegőrzés engedélyezését, használhatja az eszközt. wdagtool.exe a paraméterekkel cleanup o cleanup RESET_PERSISTENCE_LAYER a tároló alaphelyzetbe állításához és az alkalmazott által generált információk elvetéséhez.

Egy másik kulcsfontosságú irányelv az „Az Alkalmazásvédelem aktiválása felügyelt módban”Ez a szakasz határozza meg, hogy a funkció a Microsoft Edge-re, a Microsoft Office-ra vagy mindkettőre vonatkozik-e. Ez a szabályzat nem lép hatályba, ha az eszköz nem felel meg az előfeltételeknek, vagy ha a hálózati izoláció konfigurálva van (kivéve a Windows bizonyos újabb verzióit, ahol az Edge-hez már nincs szükség rá, ha bizonyos tudásbázis-frissítések telepítve vannak).

Fájlmegosztás, tanúsítványok, kamera és naplózás

A fent említett irányelveken kívül vannak más irányelvek is, amelyek hatással vannak hogyan kapcsolódik a konténer a gazdarendszerhez és a perifériákkal.

Politika „Engedélyezze a fájlok letöltését a gazda operációs rendszerre” Ez dönti el, hogy a felhasználó mentheti-e az izolált környezetből letöltött fájlokat a gazdagépre. Engedélyezés esetén megosztott erőforrást hoz létre a két környezet között, amely lehetővé teszi bizonyos feltöltések végrehajtását a gazdagépről a konténerbe – ez nagyon hasznos, de biztonsági szempontból érdemes megfontolni.

A konfiguráció „Hardveres gyorsítású renderelés engedélyezése” Engedélyezi a GPU használatát vGPU-n keresztül a grafikus teljesítmény javítása érdekében, különösen videók és nagy mennyiségű tartalom lejátszásakor. Ha nincs elérhető kompatibilis hardver, az Application Guard visszatér a CPU-alapú renderelésre. Ennek a beállításnak az engedélyezése megbízhatatlan illesztőprogramokkal rendelkező eszközökön azonban növelheti a gazdagép kockázatát.

Van egy irányelv is arra vonatkozóan, hogy engedélyezze a kamerához és a mikrofonhoz való hozzáférést a konténeren belül. Engedélyezése lehetővé teszi az MDAG alatt futó alkalmazások számára, hogy ezeket az eszközöket használják, lehetővé téve a videohívásokat vagy konferenciákat elszigetelt környezetekből, bár egyúttal lehetőséget ad a szabványos engedélyek megkerülésére is, ha a konténer veszélybe kerül.

Egy másik szabályzat engedélyezi az Alkalmazásvédelem használatát használjon meghatározott gazdagép-gyökér hitelesítésszolgáltatókatEz átviszi a konténerbe azokat a tanúsítványokat, amelyeknek meg van adva az ujjlenyomata. Ha ez le van tiltva, a konténer nem örökli ezeket a tanúsítványokat, ami blokkolhatja a kapcsolatokat bizonyos belső szolgáltatásokhoz, ha azok magánszolgáltatókra támaszkodnak.

Végül a lehetőség „Auditálási események engedélyezése” Ezáltal a konténerben generált rendszeresemények naplózódnak, az eszköznaplózási szabályzatok pedig öröklődnek, így a biztonsági csapat a gazdagép naplóiból nyomon követheti, hogy mi történik az Application Guardon belül.

Integráció támogatási és testreszabási keretrendszerekkel

Amikor valami hiba történik az Application Guardban, a felhasználó egy hiba párbeszédpanel Alapértelmezés szerint ez csak a probléma leírását és egy gombot tartalmaz, amellyel a Visszajelzési központon keresztül jelenthető a Microsoftnak. Ez a felület azonban testreszabható a belső támogatás megkönnyítése érdekében.

Az útvonalon Administrative Templates\Windows Components\Windows Security\Enterprise Customization Van egy szabályzat, amelyet a rendszergazda használhat Adja hozzá az ügyfélszolgálat elérhetőségi adataitBelső linkek vagy rövid utasítások. Így amikor egy alkalmazott látja a hibát, azonnal tudni fogja, kivel kell kapcsolatba lépnie, vagy milyen lépéseket kell tennie.

Gyakran ismételt kérdések és gyakori problémák az Application Guarddal kapcsolatban

Az Application Guard használata jó néhány problémát generál visszatérő kérdések valós telepítésekben, különösen a teljesítmény, a kompatibilitás és a hálózati viselkedés tekintetében.

Az egyik első kérdés az, hogy engedélyezhető-e csak 4 GB RAM-mal rendelkező eszközökBár vannak olyan forgatókönyvek, amikor működhet, a gyakorlatban a teljesítmény általában jelentősen romlik, mivel a konténer gyakorlatilag egy másik, párhuzamosan futó operációs rendszer.

Egy másik érzékeny pont az integráció a hálózati proxyk és PAC szkriptekAz olyan üzenetek, mint a „Nem lehet külső URL-címeket feloldani az MDAG böngészőből: ERR_CONNECTION_REFUSED” vagy az „ERR_NAME_NOT_RESOLVED”, amikor a PAC fájl elérése sikertelen, általában a konténer, a proxy és az elkülönítési szabályok közötti konfigurációs problémákra utalnak.

Vannak olyan problémák is, amelyek a következőkkel kapcsolatosak: Az IME-k (beviteli módszer szerkesztők) nem támogatottak A Windows bizonyos verzióiban a lemeztitkosítási illesztőprogramokkal vagy az eszközvezérlési megoldásokkal való ütközések megakadályozzák a konténer betöltésének befejezését.

Néhány rendszergazda hibákba ütközik, például „ERROR_VIRTUAL_DISK_LIMITATION” Ha vannak a virtuális lemezekkel kapcsolatos korlátozások, vagy nem sikerül letiltani olyan technológiákat, mint például a hyper-threading, amelyek közvetve befolyásolják a Hyper-V-t és tágabb értelemben az MDAG-t.

Kérdések merülnek fel azzal kapcsolatban is, hogy hogyan csak bizonyos aldomainekre bízz, a domainlista méretkorlátaival, illetve a tárolóban megnyíló webhelyre navigáláskor automatikusan bezáródó host fül letiltásával kapcsolatban.

Alkalmazásvédelem, IE mód, Chrome és Office

Olyan környezetekben, ahol a IE mód a Microsoft Edge-benAz Application Guard támogatott, de a Microsoft nem számít a funkció széles körű használatára ebben a módban. Javasoljuk, hogy az IE módot [adott alkalmazások/felhasználási módok] számára tartsák fenn. megbízható belső webhelyek és csak olyan webhelyek esetében használja az MDAG-t, amelyeket külsőnek és nem megbízhatónak tekintenek.

Fontos megbizonyosodni arról minden webhely IE módban konfigurálvaA hálózatot, a hozzá tartozó IP-címekkel együtt, megbízható erőforrásként kell tartalmaznia a hálózati elkülönítési szabályzatoknak. Ellenkező esetben a két funkció kombinálásakor váratlan viselkedés léphet fel.

A Chrome-mal kapcsolatban sok felhasználó kérdezi, hogy szükséges-e Telepítsen egy Application Guard bővítménytA válasz nem: a funkció natívan integrálva van a Microsoft Edge-be, és a régi Chrome-bővítmény nem támogatott konfiguráció az Edge használatakor.

Office-dokumentumok esetén az Alkalmazásvédelem lehetővé teszi Word-, Excel- és PowerPoint-fájlok megnyitása elkülönített tárolóban amikor a fájlokat nem megbízhatónak minősítik, így megakadályozza, hogy a rosszindulatú makrók vagy más támadási vektorok elérjék a gazdagépet. Ez a védelem kombinálható más Defender funkciókkal és fájlmegbízhatósági szabályzatokkal.

Létezik egy csoportházirend-beállítás is, amely lehetővé teszi a felhasználók számára, hogy „megbízzanak” bizonyos, az Application Guardban megnyitott fájlokban, így azokat biztonságosként kezeli a rendszer, és kilépnek a konténerből. Ezt a funkciót körültekintően kell kezelni, hogy elkerüljük az elkülönítés előnyeinek elvesztését.

Letöltések, vágólap, kedvencek és bővítmények: felhasználói élmény

A felhasználó szempontjából a legpraktikusabb kérdések némelyike ​​a következőre vonatkozik: mit lehet és mit nem lehet tenni a tartályon belülkülönösen a letöltések, másolások/beillesztések és bővítmények esetében.

A Windows 10 Enterprise 1803-as és újabb verzióiban (a kiadástól függően árnyalatokkal) lehetséges engedélyezze a dokumentumok letöltését a konténerből a gazdagépre Ez a lehetőség nem volt elérhető a korábbi verziókban vagy bizonyos kiadásokban, például a Pro verzióban, bár lehetőség volt PDF vagy XPS formátumban nyomtatni, és az eredményt a gazdagépre menteni.

A vágólapra vonatkozóan a vállalati szabályzat megengedheti, hogy A BMP formátumú képek és a szöveg másolása megtörténik. elszigetelt környezetbe és onnan vissza. Ha az alkalmazottak panaszkodnak, hogy nem másolhatnak tartalmat, ezeket a szabályzatokat általában felül kell vizsgálni.

Sok felhasználó azt is kérdezi, hogy miért Nem látják a kedvenceiket vagy a bővítményeiket az Edge-munkamenetben az Application Guard alatt. Ez általában azért van, mert a könyvjelző-szinkronizálás le van tiltva, vagy az MDAG bővítményszabályzata nincs engedélyezve. Miután ezeket a beállításokat módosították, a konténerben lévő böngésző örökölheti a könyvjelzőket és bizonyos bővítményeket, mindig a korábban említett korlátozásokkal.

Vannak olyan esetek is, amikor egy bővítmény megjelenik, de „nem működik”. Ha natív üzenetkezelő komponensekre támaszkodik, akkor ez a funkció nem lesz elérhető a konténeren belül, és a bővítmény korlátozott vagy teljesen működésképtelen viselkedést mutat.

Grafikus teljesítmény, HDR és hardveres gyorsítás

Egy másik gyakran felmerülő téma az, hogy videolejátszás és olyan fejlett funkciók, mint a HDR az Application Guardon belül. Hyper-V rendszeren futtatva a konténer nem mindig fér hozzá közvetlenül a GPU-képességekhez.

Ahhoz, hogy a HDR-lejátszás megfelelően működjön egy elszigetelt környezetben, szükséges, hogy a vGPU hardveres gyorsítás engedélyezve van a gyorsított renderelési szabályzaton keresztül. Ellenkező esetben a rendszer a CPU-ra fog támaszkodni, és bizonyos beállítások, például a HDR, nem jelennek meg a lejátszó vagy a weboldal beállításaiban.

Még ha a gyorsítás engedélyezve is van, ha a grafikus hardver nem minősül kellően biztonságosnak vagy kompatibilisnek, az Alkalmazásvédelem... automatikusan visszatér a szoftveres renderelési módhozami befolyásolja a laptopok folyékonyságát és akkumulátor-fogyasztását.

Néhány telepítés problémákat mutatott a TCP fragmentációjával és ütközésekkel VPN-ek, amelyek soha nem indulnak el amikor a forgalom áthalad a konténeren. Ilyen esetekben általában felül kell vizsgálni a hálózati házirendeket, az MTU-t, a proxy konfigurációját, és néha módosítani kell az MDAG integrációját a már telepített biztonsági összetevőkkel.

Támogatás, diagnózis és incidensjelentés

Amikor mindennek ellenére olyan problémák merülnek fel, amelyeket nem lehet belsőleg megoldani, a Microsoft azt javasolja, hogy nyit egy adott támogatási jegyet a Microsoft Defender Application Guardhoz. Fontos előzetesen információkat gyűjteni a diagnosztikai oldalról, a kapcsolódó eseménynaplókból és az eszközre alkalmazott konfiguráció részleteiről.

Az oldal használata edge://application-guard-internals, kombinálva a engedélyezett audit események és olyan eszközök megjelenése, mint például wdagtool.exeÁltalában elegendő adatot biztosít a támogató csapatnak a probléma forrásának megtalálásához, legyen az egy rosszul definiált szabályzat, ütközés egy másik biztonsági termékkel vagy hardverkorlátozás.

Mindezek mellett a felhasználók testreszabhatják a hibaüzeneteket és az elérhetőségeket a Windows Security technikai támogatási párbeszédpanelén, így könnyebben megtalálhatják a megfelelő megoldást. Ne akadj el, mert nem tudod, kihez fordulj amikor a tartály nem indul el, vagy nem a várt módon nyílik ki.

Összességében a Microsoft Defender Application Guard a hardveres izoláció, a részletes szabályzatvezérlés és a diagnosztikai eszközök hatékony kombinációját kínálja, amelyek megfelelő használat esetén jelentősen csökkenthetik a megbízhatatlan webhelyek böngészésével vagy a kétes forrásokból származó dokumentumok megnyitásával járó kockázatot a napi termelékenység veszélyeztetése nélkül.