Cara menggunakan Microsoft Defender Application Guard langkah demi langkah

Jika Anda bekerja dengan informasi sensitif atau mengunjungi situs web mencurigakan setiap hari, Microsoft Defender Application Guard (MDAG) Ini adalah salah satu fitur Windows yang dapat membuat perbedaan antara sekadar rasa takut dan bencana. Ini bukan sekadar program antivirus biasa, tetapi lapisan tambahan yang mengisolasi ancaman dari sistem dan data Anda.

Pada baris-baris berikut Anda akan melihat dengan jelas Apa sebenarnya Application Guard, bagaimana cara kerjanya secara internal, di perangkat mana saja Anda dapat menggunakannya, dan bagaimana cara mengkonfigurasinya? Kami akan membahas implementasi sederhana dan implementasi skala perusahaan. Kami juga akan meninjau persyaratan, kebijakan grup, kesalahan umum, dan berbagai pertanyaan yang sering diajukan yang muncul saat mulai bekerja dengan teknologi ini.

Apa itu Microsoft Defender Application Guard dan bagaimana cara kerjanya?

Microsoft Defender Application Guard adalah fitur keamanan canggih yang dirancang untuk Isolasi situs web dan dokumen yang tidak tepercaya dalam wadah virtual. Berbasis pada Hyper-V. Alih-alih mencoba memblokir setiap serangan satu per satu, ia membuat "komputer sekali pakai" kecil tempat ia menyimpan materi yang mencurigakan.

Kontainer itu berjalan di dalam terpisah dari sistem operasi utamadengan sistem Windows yang terlindungi dan tanpa akses langsung ke file, kredensial, atau sumber daya internal perusahaan. Bahkan jika situs berbahaya berhasil mengeksploitasi kerentanan browser atau Office, kerusakan tetap berada di dalam lingkungan terisolasi tersebut.

Dalam kasus Microsoft Edge, Application Guard memastikan bahwa domain apa pun yang tidak ditandai sebagai tepercaya File tersebut terbuka secara otomatis di dalam kontainer tersebut. Untuk Office, hal yang sama berlaku untuk dokumen Word, Excel, dan PowerPoint yang berasal dari sumber yang tidak dianggap aman oleh organisasi.

Kuncinya adalah isolasi ini bersifat perangkat keras: Hyper-V menciptakan lingkungan yang independen. dari host, yang secara drastis mengurangi kemungkinan penyerang berpindah dari sesi terisolasi ke sistem sebenarnya, mencuri data perusahaan, atau mengeksploitasi kredensial yang tersimpan.

Selain itu, kontainer tersebut diperlakukan sebagai lingkungan anonim: Sistem ini tidak mewarisi cookie, kata sandi, atau sesi pengguna.Hal ini membuat hidup jauh lebih sulit bagi penyerang yang mengandalkan teknik pemalsuan atau pencurian sesi.

Jenis perangkat yang direkomendasikan untuk menggunakan Application Guard

Meskipun Application Guard secara teknis dapat berjalan dalam berbagai skenario, aplikasi ini dirancang khusus untuk... lingkungan perusahaan dan perangkat yang dikelolaMicrosoft membedakan beberapa jenis peralatan di mana MDAG paling tepat digunakan.

Pertama-tama ada desktop perusahaan yang terhubung ke domainKomputer-komputer ini biasanya dikelola dengan Configuration Manager atau Intune. Ini adalah komputer kantor tradisional, dengan pengguna standar dan terhubung ke jaringan kabel perusahaan, di mana risiko utamanya berasal dari penjelajahan internet sehari-hari.

Kemudian kita memiliki laptop perusahaanPerangkat ini juga terhubung ke domain dan dikelola secara terpusat, tetapi terhubung ke jaringan Wi-Fi internal atau eksternal. Di sini, risikonya meningkat karena perangkat tersebut meninggalkan jaringan yang terkontrol dan terpapar Wi-Fi di hotel, bandara, atau jaringan rumah.

Kelompok lainnya adalah laptop BYOD (Bring Your Own Device), peralatan pribadi yang bukan milik perusahaan tetapi dikelola melalui solusi seperti Intune. Biasanya, akses tersebut berada di tangan pengguna dengan hak akses administrator lokal, yang meningkatkan potensi serangan dan membuat penggunaan isolasi untuk akses ke sumber daya perusahaan menjadi lebih menarik.

Terakhir, ada perangkat pribadi yang sama sekali tidak terkelolaIni adalah situs web yang tidak termasuk dalam domain apa pun dan di mana pengguna memiliki kendali penuh. Dalam kasus ini, Application Guard dapat digunakan dalam mode mandiri (khususnya untuk Edge) untuk memberikan lapisan perlindungan tambahan saat mengunjungi situs web yang berpotensi berbahaya.

Edisi Windows dan Lisensi yang Diperlukan

Sebelum Anda mulai mengkonfigurasi apa pun, penting untuk memahami hal ini terlebih dahulu. Di edisi Windows mana Anda dapat menggunakan Microsoft Defender Application Guard? dan dengan hak lisensi apa.

Untuk Mode mandiri Edge (yaitu, menggunakan Application Guard hanya sebagai sandbox browser tanpa manajemen perusahaan tingkat lanjut), didukung di Windows:

• Windows pro
• Perusahaan Windows
• Windows Pro Education / SE
• Pendidikan Windows

Dalam skenario ini, hak lisensi MDAG diberikan jika Anda memiliki lisensi seperti Windows Pro / Pro Education / SE, Windows Enterprise E3 atau E5 dan Windows Education A3 atau A5Pada praktiknya, di banyak PC profesional dengan Windows Pro, Anda sudah dapat mengaktifkan fitur tersebut untuk penggunaan dasar.

Untuk mode perusahaan edge dan administrasi perusahaan (di mana arahan lanjutan dan skenario yang lebih kompleks mulai berlaku), dukungan dikurangi:

• Perusahaan Windows y Pendidikan Windows Application Guard didukung dalam mode ini.
• Windows Pro dan Windows Pro Education/SE tidak Mereka memiliki dukungan untuk varian perusahaan ini.

Mengenai lisensi, penggunaan korporat yang lebih canggih ini memerlukan Windows Enterprise E3/E5 atau Windows Education A3/A5Jika organisasi Anda hanya menggunakan versi Pro tanpa langganan Enterprise, Anda akan terbatas pada mode Edge mandiri.

Persyaratan dan kompatibilitas sistem

Selain edisi Windows, agar Application Guard dapat berfungsi dengan stabil, Anda perlu memenuhi persyaratan berikut: serangkaian persyaratan teknis berkaitan dengan versi, perangkat keras, dan dukungan virtualisasi.

Mengenai sistem operasi, penggunaan sistem operasi adalah wajib. Windows 10 1809 atau lebih baru (Pembaruan Oktober 2018) atau versi Windows 11 yang setara. Ini tidak ditujukan untuk SKU server atau varian yang sangat disederhanakan; ini jelas ditujukan untuk komputer klien.

Dari segi perangkat keras, peralatan tersebut harus memiliki virtualisasi berbasis perangkat keras diaktifkan (Dukungan Intel VT-x/AMD-V dan penerjemahan alamat tingkat kedua, seperti SLAT), karena Hyper-V adalah komponen kunci untuk menciptakan kontainer terisolasi. Tanpa lapisan ini, MDAG tidak akan dapat menyiapkan lingkungan yang aman.

Penting juga untuk memiliki mekanisme administrasi yang kompatibel Jika Anda akan menggunakannya secara terpusat (misalnya, Microsoft Intune atau Configuration Manager), seperti yang dijelaskan dalam persyaratan perangkat lunak perusahaan. Untuk penerapan sederhana, antarmuka Keamanan Windows itu sendiri sudah cukup.

Terakhir, perhatikan bahwa Application Guard sedang dalam proses penghentian penggunaannya. Untuk Microsoft Edge untuk bisnis, API tertentu yang terkait dengan aplikasi mandiri tidak akan lagi diperbarui. Meskipun demikian, hal ini tetap sangat umum di lingkungan yang membutuhkan penahanan risiko jangka pendek dan menengah.

Studi kasus: keselamatan versus produktivitas

Salah satu masalah klasik dalam keamanan siber adalah menemukan keseimbangan yang tepat antara untuk benar-benar melindungi, bukan untuk memblokir pengguna.Jika Anda hanya mengizinkan sejumlah kecil situs web "terpilih", Anda mengurangi risiko, tetapi Anda membunuh produktivitas. Jika Anda melonggarkan pembatasan, tingkat paparan akan meningkat drastis.

Browser adalah salah satu permukaan serangan utama Intinya, tugas ini adalah untuk membuka konten yang tidak tepercaya dari berbagai sumber: situs web yang tidak dikenal, unduhan, skrip pihak ketiga, iklan agresif, dan lain sebagainya. Seberapa pun Anda meningkatkan mesinnya, akan selalu ada kerentanan baru yang akan coba dieksploitasi oleh seseorang.

Dalam model ini, administrator secara tepat menentukan domain, rentang IP, dan sumber daya cloud mana yang mereka anggap tepercaya. Apa pun yang tidak ada dalam daftar itu secara otomatis masuk ke dalam kontainer.Di sana, pengguna dapat menjelajah tanpa khawatir bahwa kegagalan peramban akan membahayakan sistem internal lainnya.

Hasilnya adalah navigasi yang relatif fleksibel bagi karyawan, tetapi dengan perbatasan yang dijaga ketat antara dunia eksternal yang tidak dapat diandalkan dan lingkungan perusahaan yang harus dilindungi dengan segala cara.

Fitur dan pembaruan terbaru pada Application Guard di Microsoft Edge

Sepanjang berbagai versi Microsoft Edge yang berbasis Chromium, Microsoft telah menambahkan Peningkatan khusus untuk Application Guard dengan tujuan untuk meningkatkan pengalaman pengguna dan memberikan kontrol lebih kepada administrator.

Salah satu fitur baru yang penting adalah memblokir unggahan file dari kontainerSejak Edge 96, organisasi dapat mencegah pengguna mengunggah dokumen dari perangkat lokal mereka ke formulir atau layanan web dalam sesi terisolasi, menggunakan kebijakan tersebut. ApplicationGuardUploadBlockingEnabledHal ini mengurangi risiko kebocoran informasi.

Peningkatan lain yang sangat bermanfaat adalah mode pasif, tersedia sejak Edge 94. Saat diaktifkan oleh kebijakan ApplicationGuardPassiveModeEnabledApplication Guard menghentikan pemaksaan daftar situs dan memungkinkan pengguna untuk menjelajahi Edge "secara normal," meskipun fitur tersebut tetap terpasang. Ini adalah cara yang nyaman untuk menyiapkan teknologi tanpa mengalihkan lalu lintas terlebih dahulu.

Kemungkinan juga telah ditambahkan Sinkronkan favorit host dengan kontainer.Ini adalah sesuatu yang banyak diminta pelanggan untuk menghindari dua pengalaman penjelajahan yang sepenuhnya terpisah. Sejak Edge 91, kebijakan tersebut ApplicationGuardFavoritesSyncEnabled Hal ini memungkinkan penanda baru untuk muncul secara merata di dalam lingkungan yang terisolasi.

Di bidang jaringan, Edge 91 menyertakan dukungan untuk Beri label pada lalu lintas yang keluar dari kontainer. berkat arahan tersebut ApplicationGuardTrafficIdentificationEnabledHal ini memungkinkan perusahaan untuk mengidentifikasi dan menyaring lalu lintas tersebut melalui proxy, misalnya untuk membatasi akses ke sejumlah kecil situs saat menjelajah dari MDAG.

Proxy ganda, ekstensi, dan skenario canggih lainnya

Beberapa organisasi menggunakan Application Guard dalam penerapan yang lebih kompleks di mana mereka membutuhkan memantau lalu lintas kontainer secara cermat dan kemampuan browser dalam lingkungan terisolasi tersebut.

Untuk kasus-kasus ini, Edge memiliki dukungan untuk proksi ganda Mulai dari versi stabil 84 dan seterusnya, dapat dikonfigurasi melalui arahan tersebut. ApplicationGuardContainerProxyIdenya adalah bahwa lalu lintas yang berasal dari kontainer dialihkan melalui proxy tertentu, berbeda dari yang digunakan oleh host, yang memudahkan penerapan aturan independen dan inspeksi yang lebih ketat.

Permintaan berulang lainnya dari pelanggan adalah kemungkinan untuk gunakan ekstensi di dalam kontainerSejak Edge 81, hal ini dimungkinkan, sehingga pemblokir iklan, ekstensi internal perusahaan, atau alat lain dapat dijalankan selama mematuhi kebijakan yang telah ditentukan. Perlu untuk mendeklarasikan hal tersebut. updateURL dari ekstensi dalam kebijakan isolasi jaringan sehingga dianggap sebagai sumber daya netral yang dapat diakses dari Application Guard.

Skenario yang diterima meliputi: pemasangan ekstensi secara paksa pada host Ekstensi-ekstensi ini kemudian muncul di dalam kontainer, memungkinkan penghapusan ekstensi tertentu atau pemblokiran ekstensi lain yang dianggap tidak diinginkan karena alasan keamanan. Namun, ini tidak berlaku untuk ekstensi yang bergantung pada komponen penanganan pesan bawaan. Mereka tidak kompatibel dalam MDAG.

Untuk membantu mendiagnosis masalah konfigurasi atau perilaku, sebuah halaman diagnostik spesifik en edge://application-guard-internalsDari situ, Anda dapat memeriksa, antara lain, apakah URL tertentu dianggap tepercaya atau tidak sesuai dengan kebijakan yang sebenarnya diterapkan kepada pengguna.

Terakhir, terkait pembaruan, Microsoft Edge yang baru akan Selain itu, ia juga memperbarui dirinya sendiri di dalam kontainer.Ia mengikuti saluran dan versi yang sama dengan browser induk. Ia tidak lagi bergantung pada siklus pembaruan sistem operasi, seperti halnya versi Legacy dari Edge, yang sangat menyederhanakan pemeliharaan.

Cara mengaktifkan Microsoft Defender Application Guard di Windows

Jika Anda ingin menjalankannya di perangkat yang kompatibel, langkah pertama adalah... mengaktifkan fitur Windows sesuai. Prosesnya, pada tingkat dasar, cukup sederhana.

Cara tercepat adalah dengan membuka kotak dialog Run dengan Win + R, untuk menulis appwiz.cpl lalu tekan Enter untuk langsung menuju panel "Program dan Fitur". Dari sana, di sisi kiri, Anda akan menemukan tautan untuk "Mengaktifkan atau menonaktifkan fitur Windows".

Dalam daftar komponen yang tersedia, Anda perlu menemukan entri tersebut. “Microsoft Defender Application Guard” lalu pilih opsi tersebut. Setelah menerima, Windows akan mengunduh atau mengaktifkan file biner yang diperlukan dan meminta Anda untuk memulai ulang komputer Anda untuk menerapkan perubahan.

Setelah melakukan restart, pada perangkat yang kompatibel dengan versi Edge yang benar, Anda seharusnya dapat Buka jendela baru atau tab terpisah melalui opsi peramban atau, di lingkungan terkelola, secara otomatis sesuai dengan konfigurasi daftar situs yang tidak tepercaya.

Jika Anda tidak melihat opsi seperti "Jendela Application Guard baru" atau kontainer tidak terbuka, ada kemungkinan bahwa Instruksi yang Anda ikuti mungkin sudah usang.Hal ini mungkin disebabkan karena edisi Windows Anda tidak didukung, Anda tidak mengaktifkan Hyper-V, atau kebijakan organisasi Anda telah menonaktifkan fitur tersebut.

Mengonfigurasi Application Guard dengan Kebijakan Grup

Dalam lingkungan bisnis, setiap peralatan tidak dikonfigurasi secara manual; melainkan, sistem yang telah ditentukan sebelumnya digunakan. kebijakan grup (GPO) atau profil konfigurasi di Intune untuk menentukan kebijakan secara terpusat. Application Guard bergantung pada dua blok konfigurasi utama: isolasi jaringan dan parameter khusus aplikasi.

Pengaturan isolasi jaringan terletak di Computer Configuration\Administrative Templates\Network\Network IsolationDi sinilah, misalnya, hal-hal berikut didefinisikan: rentang dan domain jaringan internal yang dianggap sebagai domain perusahaanyang akan menandai batas antara apa yang dapat diandalkan dan apa yang harus dibuang.

Salah satu kebijakan utama adalah kebijakan yang “Interval jaringan privat untuk aplikasi”Bagian ini menentukan, dalam daftar yang dipisahkan koma, rentang IP yang termasuk dalam jaringan perusahaan. Endpoint dalam rentang ini akan terbuka di Edge biasa dan tidak akan dapat diakses dari lingkungan Application Guard.

Kebijakan penting lainnya adalah kebijakan yang “Domain sumber daya perusahaan yang dihosting di cloud”yang menggunakan daftar yang dipisahkan oleh karakter | Untuk menunjukkan domain SaaS dan layanan cloud organisasi yang harus diperlakukan sebagai internal. Ini juga akan ditampilkan di Edge di luar kontainer.

Terakhir, arahan dari “Domain yang diklasifikasikan sebagai pribadi dan pekerjaan” Fitur ini memungkinkan Anda untuk mendeklarasikan domain yang dapat digunakan untuk keperluan pribadi maupun bisnis. Situs-situs ini akan dapat diakses dari lingkungan Edge biasa dan Application Guard, sesuai kebutuhan.

Menggunakan karakter pengganti (wildcard) dalam pengaturan isolasi jaringan.

Untuk menghindari keharusan menulis setiap subdomain satu per satu, daftar isolasi jaringan mendukung karakter wildcard dalam nama domainHal ini memungkinkan kontrol yang lebih baik terhadap apa yang dianggap dapat diandalkan.

Jika didefinisikan secara sederhana contoso.comBrowser hanya akan mempercayai nilai spesifik tersebut dan bukan domain lain yang mengandungnya. Dengan kata lain, browser hanya akan memperlakukan nilai literal tersebut sebagai milik suatu bisnis. akar yang tepat dan tidak www.contoso.com juga bukan varian.

Jika ditentukan www.contoso.comjadi hanya host spesifik itu akan dianggap tepercaya. Subdomain lain seperti shop.contoso.com Mereka akan terabaikan dan bisa berakhir di tempat sampah.

Dengan format .contoso.com (titik sebelum) menunjukkan bahwa Domain apa pun yang berakhiran “contoso.com” adalah domain tepercaya.. Ini termasuk dari contoso.com naik www.contoso.com atau bahkan jaringan seperti spearphishingcontoso.comOleh karena itu, harus digunakan dengan hati-hati.

Terakhir, jika digunakan ..contoso.com (titik dua awal), semua tingkatan hierarki yang terletak di sebelah kiri domain dianggap tepercaya, misalnya shop.contoso.com o us.shop.contoso.comtapi Domain “contoso.com” tidak tepercaya. dengan sendirinya. Ini adalah cara yang lebih baik untuk mengendalikan apa yang dianggap sebagai sumber daya perusahaan.

Direktif khusus Application Guard utama

Rangkaian lokasi utama kedua terletak di Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application GuardDari sinilah negara ini diperintah. perilaku kontainer terperinci dan apa yang dapat atau tidak dapat dilakukan pengguna di dalamnya.

Salah satu kebijakan yang paling relevan adalah kebijakan tentang... “Pengaturan papan klip”Ini mengontrol apakah penyalinan dan penempelan teks atau gambar antara host dan Application Guard dimungkinkan. Dalam mode terkelola, Anda dapat mengizinkan penyalinan hanya dari kontainer keluar, hanya dalam arah sebaliknya, atau bahkan menonaktifkan clipboard sepenuhnya.

Demikian pula, arahan dari “Pengaturan cetak” Pengaturan ini menentukan apakah konten dapat dicetak dari kontainer, dan dalam format apa. Anda dapat mengaktifkan pencetakan ke PDF, XPS, printer lokal yang terhubung, atau printer jaringan yang telah ditentukan sebelumnya, atau memblokir semua kemampuan pencetakan di dalam MDAG.

pilihan “Akui ketekunan” Pengaturan ini menentukan apakah data pengguna (file yang diunduh, cookie, favorit, dll.) dipertahankan di antara sesi Application Guard atau dihapus setiap kali lingkungan dimatikan. Mengaktifkan ini dalam mode terkelola memungkinkan kontainer untuk menyimpan informasi ini untuk sesi mendatang; menonaktifkannya menghasilkan lingkungan yang hampir bersih setiap kali dimulai.

Jika Anda memutuskan untuk berhenti mengizinkan penyimpanan data di kemudian hari, Anda dapat menggunakan alat ini. wdagtool.exe dengan parameter cleanup o cleanup RESET_PERSISTENCE_LAYER untuk mengatur ulang wadah dan membuang informasi yang dihasilkan oleh karyawan.

Kebijakan penting lainnya adalah “Aktifkan Application Guard dalam mode terkelola”Bagian ini menentukan apakah fitur tersebut berlaku untuk Microsoft Edge, Microsoft Office, atau keduanya. Kebijakan ini tidak akan berlaku jika perangkat tidak memenuhi prasyarat atau memiliki isolasi jaringan yang dikonfigurasi (kecuali pada beberapa versi Windows terbaru di mana hal tersebut tidak lagi diperlukan untuk Edge jika pembaruan KB tertentu telah diinstal).

Berbagi file, sertifikat, kamera, dan audit.

Selain kebijakan yang disebutkan di atas, ada arahan lain yang mempengaruhi bagaimana kontainer berhubungan dengan sistem host dan dengan perangkat periferalnya.

Politik “Izinkan pengunduhan file ke sistem operasi host” Fitur ini menentukan apakah pengguna dapat menyimpan file yang diunduh dari lingkungan terisolasi ke host. Saat diaktifkan, fitur ini membuat sumber daya bersama antara kedua lingkungan, yang juga memungkinkan unggahan tertentu dari host ke kontainer—sangat berguna, tetapi perlu dievaluasi dari perspektif keamanan.

Konfigurasi “Aktifkan rendering yang dipercepat perangkat keras” Mengaktifkan penggunaan GPU melalui vGPU untuk meningkatkan performa grafis, terutama saat memutar video dan konten berat. Jika tidak ada perangkat keras yang kompatibel, Application Guard akan beralih ke rendering CPU. Namun, mengaktifkan opsi ini pada perangkat dengan driver yang tidak andal dapat meningkatkan risiko bagi host.

Ada juga arahan untuk Izinkan akses ke kamera dan mikrofon. di dalam kontainer. Mengaktifkannya memungkinkan aplikasi yang berjalan di bawah MDAG untuk menggunakan perangkat ini, memfasilitasi panggilan video atau konferensi dari lingkungan terisolasi, meskipun juga membuka peluang untuk melewati izin standar jika kontainer tersebut disusupi.

Kebijakan lain memungkinkan Application Guard. gunakan otoritas sertifikasi root host tertentuIni mentransfer sertifikat yang sidik jarinya telah ditentukan ke dalam kontainer. Jika ini dinonaktifkan, kontainer tidak akan mewarisi sertifikat tersebut, yang dapat memblokir koneksi ke layanan internal tertentu jika layanan tersebut bergantung pada otoritas privat.

Akhirnya, pilihan “Izinkan peristiwa audit” Hal ini menyebabkan peristiwa sistem yang dihasilkan di dalam kontainer dicatat dan kebijakan audit perangkat diwariskan, sehingga tim keamanan dapat melacak apa yang terjadi di dalam Application Guard dari log host.

Integrasi dengan kerangka kerja dukungan dan kustomisasi

Ketika terjadi kesalahan di Application Guard, pengguna akan melihat pesan berikut: kotak dialog kesalahan Secara default, ini hanya mencakup deskripsi masalah dan tombol untuk melaporkannya ke Microsoft melalui Feedback Hub. Namun, pengalaman ini dapat disesuaikan untuk mempermudah dukungan internal.

Di sepanjang rute Administrative Templates\Windows Components\Windows Security\Enterprise Customization Terdapat kebijakan yang dapat digunakan oleh administrator. Tambahkan informasi kontak layanan dukungan.Tautan internal atau petunjuk singkat. Dengan cara ini, ketika seorang karyawan melihat kesalahan tersebut, mereka akan langsung tahu siapa yang harus dihubungi atau langkah apa yang harus diambil.

Pertanyaan yang sering diajukan dan masalah umum dengan Application Guard

Penggunaan Application Guard menghasilkan sejumlah besar pertanyaan berulang dalam penerapan di dunia nyata, terutama terkait kinerja, kompatibilitas, dan perilaku jaringan.

Salah satu pertanyaan pertama adalah apakah hal itu dapat diaktifkan di perangkat dengan RAM hanya 4 GBMeskipun ada skenario di mana hal itu mungkin berhasil, dalam praktiknya kinerja biasanya sangat menurun, karena kontainer pada dasarnya adalah sistem operasi lain yang berjalan secara paralel.

Poin sensitif lainnya adalah integrasi dengan Proxy jaringan dan skrip PACPesan seperti “Tidak dapat menyelesaikan URL eksternal dari MDAG Browser: ERR_CONNECTION_REFUSED” atau “ERR_NAME_NOT_RESOLVED” ketika akses ke file PAC gagal biasanya menunjukkan masalah konfigurasi antara kontainer, proxy, dan aturan isolasi.

Ada juga masalah yang terkait dengan IME (input method editor) tidak didukung. Pada versi Windows tertentu, konflik dengan driver enkripsi disk atau solusi kontrol perangkat mencegah kontainer menyelesaikan pemuatan.

Beberapa administrator mengalami kesalahan seperti “KEKURANGAN_DISK_VIRTUAL_ERROR” Jika terdapat keterbatasan terkait disk virtual, atau kegagalan untuk menonaktifkan teknologi seperti hyperthreading yang secara tidak langsung memengaruhi Hyper-V dan, akibatnya, MDAG.

Pertanyaan juga muncul tentang bagaimana Hanya percayai subdomain tertentu, terkait batasan ukuran daftar domain atau cara menonaktifkan perilaku di mana tab host otomatis tertutup saat menavigasi ke situs yang terbuka di dalam kontainer.

Application Guard, mode IE, Chrome, dan Office

Di lingkungan tempat Mode IE di Microsoft EdgeApplication Guard didukung, tetapi Microsoft tidak mengharapkan penggunaan fitur ini secara luas dalam mode ini. Disarankan untuk menggunakan mode IE hanya untuk [aplikasi/penggunaan tertentu]. situs internal tepercaya dan gunakan MDAG hanya untuk situs web yang dianggap eksternal dan tidak tepercaya.

Penting untuk memastikan itu semua situs dikonfigurasi dalam mode IEJaringan, beserta alamat IP terkaitnya, juga harus disertakan dalam kebijakan isolasi jaringan sebagai sumber daya tepercaya. Jika tidak, perilaku yang tidak terduga dapat terjadi ketika menggabungkan kedua fungsi tersebut.

Mengenai Chrome, banyak pengguna bertanya apakah itu perlu. instal ekstensi Application GuardJawabannya adalah tidak: fungsi tersebut terintegrasi secara bawaan ke dalam Microsoft Edge, dan ekstensi Chrome lama bukanlah konfigurasi yang didukung saat bekerja dengan Edge.

Untuk dokumen Office, Application Guard memungkinkan Buka file Word, Excel, dan PowerPoint dalam kontainer terisolasi. Ketika file dianggap tidak tepercaya, sehingga mencegah makro berbahaya atau vektor serangan lainnya mencapai host. Perlindungan ini dapat dikombinasikan dengan fitur Defender lainnya dan kebijakan kepercayaan file.

Bahkan ada opsi kebijakan grup yang memungkinkan pengguna untuk "mempercayai" file-file tertentu yang dibuka di Application Guard, sehingga file tersebut dianggap aman dan keluar dari kontainer. Kemampuan ini harus dikelola dengan hati-hati untuk menghindari hilangnya manfaat isolasi.

Unduhan, papan klip, favorit, dan ekstensi: pengalaman pengguna

Dari sudut pandang pengguna, beberapa pertanyaan paling praktis berkisar pada hal-hal berikut: apa yang bisa dan tidak bisa dilakukan di dalam kontainerkhususnya terkait unduhan, salin/tempel, dan ekstensi.

Di Windows 10 Enterprise 1803 dan versi yang lebih baru (dengan nuansa yang berbeda tergantung pada edisinya), hal ini dimungkinkan. Izinkan pengunduhan dokumen dari kontainer ke host. Opsi ini tidak tersedia di versi sebelumnya atau di beberapa versi edisi tertentu seperti Pro, meskipun dimungkinkan untuk mencetak ke PDF atau XPS dan menyimpan hasilnya ke perangkat host.

Mengenai papan klip, kebijakan perusahaan mungkin mengizinkan hal tersebut. Gambar dalam format BMP dan teks disalin ke dan dari lingkungan terisolasi. Jika karyawan mengeluh bahwa mereka tidak dapat menyalin konten, kebijakan ini biasanya perlu ditinjau ulang.

Banyak pengguna juga bertanya mengapa Mereka tidak melihat favorit mereka atau ekstensi mereka. dalam sesi Edge di bawah Application Guard. Hal ini biasanya disebabkan oleh sinkronisasi bookmark yang dinonaktifkan atau kebijakan ekstensi di MDAG yang tidak diaktifkan. Setelah opsi-opsi ini disesuaikan, browser di dalam container dapat mewarisi bookmark dan ekstensi tertentu, selalu dengan batasan yang disebutkan sebelumnya.

Bahkan ada kasus di mana sebuah ekstensi muncul tetapi "tidak berfungsi." Jika ekstensi tersebut bergantung pada komponen penanganan pesan bawaan, fungsionalitas tersebut tidak akan tersedia di dalam kontainer, dan ekstensi akan menunjukkan perilaku yang terbatas atau sama sekali tidak berfungsi.

Performa grafis, HDR, dan akselerasi perangkat keras

Topik lain yang sering muncul adalah tentang pemutaran video dan fitur canggih seperti HDR di dalam Application Guard. Saat berjalan di Hyper-V, kontainer tidak selalu memiliki akses langsung ke kemampuan GPU.

Agar pemutaran HDR berfungsi dengan benar di lingkungan terisolasi, maka diperlukan hal-hal berikut: Akselerasi perangkat keras vGPU diaktifkan melalui kebijakan rendering yang dipercepat. Jika tidak, sistem akan mengandalkan CPU, dan opsi tertentu seperti HDR tidak akan muncul di pengaturan pemutar atau situs web.

Meskipun akselerasi diaktifkan, jika perangkat keras grafis tidak dianggap cukup aman atau kompatibel, Application Guard mungkin kembali secara otomatis ke rendering perangkat lunakyang memengaruhi kelancaran dan konsumsi baterai pada laptop.

Beberapa implementasi menunjukkan masalah dengan fragmentasi TCP dan konflik dengan VPN yang sepertinya tidak pernah bisa berfungsi dengan baik. ketika lalu lintas melewati kontainer. Dalam kasus tersebut, biasanya perlu untuk meninjau kebijakan jaringan, MTU, konfigurasi proxy, dan terkadang menyesuaikan bagaimana MDAG terintegrasi dengan komponen keamanan lain yang sudah terpasang.

Dukungan, diagnosis, dan pelaporan insiden.

Ketika, terlepas dari segalanya, muncul masalah yang tidak dapat diselesaikan secara internal, Microsoft merekomendasikan buka tiket dukungan khusus untuk Microsoft Defender Application Guard. Penting untuk mengumpulkan informasi terlebih dahulu dari halaman diagnostik, log peristiwa terkait, dan detail konfigurasi yang diterapkan pada perangkat.

Penggunaan halaman ini edge://application-guard-internals, dikombinasikan dengan peristiwa audit diaktifkan dan peluncuran alat-alat seperti wdagtool.exeHal ini biasanya memberikan tim dukungan data yang cukup untuk menemukan sumber masalah, baik itu kebijakan yang kurang jelas, konflik dengan produk keamanan lain, atau keterbatasan perangkat keras.

Selain itu, pengguna dapat menyesuaikan pesan kesalahan dan informasi kontak di kotak dialog dukungan teknis Keamanan Windows, sehingga memudahkan mereka untuk menemukan solusi yang tepat. Jangan sampai Anda bingung harus meminta bantuan kepada siapa. ketika kontainer gagal memulai atau tidak terbuka seperti yang diharapkan.

Secara keseluruhan, Microsoft Defender Application Guard menawarkan kombinasi yang ampuh antara isolasi perangkat keras, kontrol kebijakan yang terperinci, dan alat diagnostik yang, jika digunakan dengan benar, dapat secara signifikan mengurangi risiko yang terkait dengan penjelajahan situs yang tidak tepercaya atau membuka dokumen dari sumber yang mencurigakan tanpa mengganggu produktivitas sehari-hari.