Come utilizzare Microsoft Defender Application Guard passo dopo passo

Se lavori con informazioni sensibili o navighi quotidianamente su siti web sospetti, Microsoft Defender Application Guard (MDAG) È una di quelle funzionalità di Windows che possono fare la differenza tra un semplice spavento e un disastro. Non si tratta di un semplice programma antivirus, ma di un ulteriore livello di protezione che isola le minacce dal sistema e dai dati.

Nelle righe seguenti vedrai chiaramente Cos'è esattamente Application Guard, come funziona internamente, su quali dispositivi è possibile utilizzarlo e come si configura? Tratteremo sia le implementazioni semplici che quelle aziendali. Esamineremo inoltre i requisiti, i criteri di gruppo, gli errori più comuni e risponderemo alle domande più frequenti che sorgono quando si inizia a lavorare con questa tecnologia.

Che cos'è Microsoft Defender Application Guard e come funziona?

Microsoft Defender Application Guard è una funzionalità di sicurezza avanzata progettata per Isola siti web e documenti non attendibili in un contenitore virtuale. Basato su Hyper-V. Invece di tentare di bloccare ogni attacco singolarmente, crea un piccolo "computer usa e getta" in cui memorizza il materiale sospetto.

Quel contenitore funziona in un separato dal sistema operativo principalecon una propria istanza protetta di Windows e senza accesso diretto a file, credenziali o risorse interne aziendali. Anche se un sito dannoso riuscisse a sfruttare una vulnerabilità del browser o di Office, il danno rimarrebbe confinato all'interno di quell'ambiente isolato.

Nel caso di Microsoft Edge, Application Guard garantisce che qualsiasi dominio non contrassegnato come attendibile Si apre automaticamente all'interno di quel contenitore. Per Office, fa lo stesso con i documenti di Word, Excel e PowerPoint provenienti da fonti che l'organizzazione non considera sicure.

Il punto chiave è che questo isolamento è di tipo hardware: Hyper-V crea un ambiente indipendente dall'host, il che riduce drasticamente la possibilità che un aggressore possa passare dalla sessione isolata al sistema reale, rubare dati aziendali o sfruttare le credenziali memorizzate.

Inoltre, il container viene trattato come un ambiente anonimo: Non eredita i cookie, le password o le sessioni dell'utente.Ciò rende la vita molto più difficile agli aggressori che si affidano a tecniche di spoofing o di furto di sessione.

Tipi di dispositivi consigliati per l'utilizzo di Application Guard

Sebbene Application Guard possa tecnicamente funzionare in vari scenari, è progettato specificamente per ambienti aziendali e dispositivi gestitiMicrosoft distingue diverse tipologie di apparecchiature per le quali MDAG risulta la soluzione più appropriata.

Prima di tutto ci sono i desktop aziendale aggiunto al dominioQuesti computer vengono generalmente gestiti con Configuration Manager o Intune. Si tratta di computer da ufficio tradizionali, con utenti standard e connessi alla rete aziendale cablata, dove il rischio deriva principalmente dalla navigazione internet quotidiana.

Poi abbiamo il computer portatili aziendaliAnche questi dispositivi sono collegati a un dominio e gestiti centralmente, ma si connettono a reti Wi-Fi interne o esterne. In questo caso, il rischio aumenta perché il dispositivo esce dalla rete controllata ed è esposto alle reti Wi-Fi di hotel, aeroporti o reti domestiche.

Un altro gruppo è quello dei laptop BYOD (Bring Your Own Device), attrezzatura personale che non appartiene all'azienda ma è gestita attraverso soluzioni come Intune. Solitamente, questi strumenti sono in mano a utenti con privilegi di amministratore locale, il che aumenta la superficie di attacco e rende più allettante l'utilizzo dell'isolamento per l'accesso alle risorse aziendali.

Infine, ci sono i file dispositivi personali completamente non gestitiSi tratta di siti web che non appartengono ad alcun dominio e sui quali l'utente ha il controllo assoluto. In questi casi, Application Guard può essere utilizzato in modalità standalone (soprattutto per Edge) per fornire un ulteriore livello di protezione durante la visita di siti web potenzialmente pericolosi.

Edizioni di Windows e licenze richieste

Prima di iniziare a configurare qualsiasi cosa, è importante chiarire questo punto. In quali edizioni di Windows è possibile utilizzare Microsoft Defender Application Guard? e con quali diritti di licenza.

per Modalità autonoma Edge (ovvero, l'utilizzo di Application Guard solo come sandbox del browser senza gestione aziendale avanzata) è supportato su Windows:

• Windows professionale
• Windows Enterprise
• Windows Pro Education / SE
• Windows Education

In questo scenario, i diritti di licenza MDAG vengono concessi se si possiedono licenze come Windows Pro / Pro Education / SE, Windows Enterprise E3 o E5 e Windows Education A3 o A5In pratica, su molti PC professionali con Windows Pro è già possibile attivare questa funzionalità per l'utilizzo di base.

per Modalità aziendale Edge e amministrazione aziendale (laddove entrano in gioco direttive anticipate e scenari più complessi), il supporto viene ridotto:

• Windows Enterprise y Windows Education Application Guard è supportato in questa modalità.
• Windows Pro e Windows Pro Education/SE no Hanno supporto per questa variante aziendale.

Per quanto riguarda le licenze, questo utilizzo aziendale più avanzato richiede Windows Enterprise E3/E5 o Windows Education A3/A5Se la tua organizzazione utilizza solo la versione Pro senza abbonamenti Enterprise, potrai utilizzare solo la modalità standalone di Edge.

Prerequisiti di sistema e compatibilità

Oltre all'edizione Windows, affinché Application Guard funzioni in modo stabile è necessario soddisfare una serie di requisiti tecnici relativo alla versione, all'hardware e al supporto per la virtualizzazione.

Per quanto riguarda il sistema operativo, è obbligatorio utilizzare Windows 10 1809 o successivo (Aggiornamento di ottobre 2018) o una versione equivalente di Windows 11. Non è destinato a SKU server o varianti fortemente ridimensionate; è chiaramente pensato per computer client.

A livello hardware, l'apparecchiatura deve avere virtualizzazione basata su hardware abilitata (Supporto Intel VT-x/AMD-V e traduzione degli indirizzi di secondo livello, come SLAT), poiché Hyper-V è il componente chiave per la creazione del container isolato. Senza questo livello, MDAG non sarà in grado di configurare il suo ambiente sicuro.

È inoltre essenziale avere meccanismi di amministrazione compatibili Se si intende utilizzarlo centralmente (ad esempio, con Microsoft Intune o Configuration Manager), è necessario seguire le istruzioni specificate nei requisiti del software aziendale. Per implementazioni semplici, l'interfaccia di sicurezza di Windows sarà sufficiente.

Infine, nota che Application Guard è in fase di dismissione. Per quanto riguarda Microsoft Edge per le aziende, alcune API associate ad applicazioni standalone non verranno più aggiornate. Ciononostante, rimane molto diffuso negli ambienti in cui è necessario contenere i rischi a breve e medio termine.

Caso d'uso: sicurezza contro produttività

Uno dei problemi classici nella sicurezza informatica è trovare il giusto equilibrio tra proteggere veramente, non bloccare l'utenteSe si consentono solo pochi siti web "benedetti", si riduce il rischio, ma si compromette la produttività. Se si allentano le restrizioni, il livello di esposizione aumenta vertiginosamente.

Il browser è uno dei principali superfici di attacco Il lavoro è fondamentale perché il suo scopo è aprire contenuti non attendibili provenienti da una vasta gamma di fonti: siti web sconosciuti, download, script di terze parti, pubblicità aggressive, ecc. Non importa quanto si migliori il motore, ci saranno sempre nuove vulnerabilità che qualcuno cercherà di sfruttare.

In questo modello, l'amministratore definisce con precisione quali domini, intervalli IP e risorse cloud considera affidabili. Tutto ciò che non è presente in quell'elenco va automaticamente nel contenitoreLì, l'utente può navigare senza il timore che un malfunzionamento del browser possa compromettere il resto dei sistemi interni.

Il risultato è una navigazione relativamente flessibile per il dipendente, ma con un confine pesantemente sorvegliato tra un mondo esterno inaffidabile e un ambiente aziendale che deve essere protetto a tutti i costi.

Funzionalità e aggiornamenti recenti di Application Guard in Microsoft Edge

Nel corso delle varie versioni di Microsoft Edge basate su Chromium, Microsoft ha aggiunto Miglioramenti specifici per Application Guard con l'obiettivo di perfezionare l'esperienza utente e dare all'amministratore un maggiore controllo.

Una delle nuove caratteristiche importanti è la blocco del caricamento dei file dal contenitoreA partire da Edge 96, le organizzazioni sono state in grado di impedire agli utenti di caricare documenti dal proprio dispositivo locale a un modulo o a un servizio web all'interno di una sessione isolata, utilizzando la policy ApplicationGuardUploadBlockingEnabledCiò riduce il rischio di fughe di informazioni.

Un altro miglioramento molto utile è il modalità passiva, disponibile da Edge 94. Quando attivato dalla policy ApplicationGuardPassiveModeEnabledApplication Guard impedisce l'inserimento forzato dell'elenco dei siti e consente all'utente di navigare in Edge "normalmente", anche se la funzionalità rimane installata. È un modo pratico per avere la tecnologia pronta senza dover ancora reindirizzare il traffico.

È stata aggiunta anche la possibilità di sincronizzare i preferiti dell'host con il contenitoreQuesta era una cosa che molti clienti avevano richiesto per evitare di avere due esperienze di navigazione completamente scollegate. Da Edge 91, la politica ApplicationGuardFavoritesSyncEnabled Consente la comparsa di nuovi marcatori in modo uniforme all'interno dell'ambiente isolato.

Nell'ambito della rete, Edge 91 ha incorporato il supporto per etichettare il traffico in uscita dal container grazie alla direttiva ApplicationGuardTrafficIdentificationEnabledCiò consente alle aziende di identificare e filtrare il traffico tramite un proxy, ad esempio per limitare l'accesso a un insieme molto ristretto di siti durante la navigazione da MDAG.

Doppio proxy, estensioni e altri scenari avanzati

Alcune organizzazioni utilizzano Application Guard in implementazioni più complesse in cui hanno bisogno monitorare attentamente il traffico dei container e le funzionalità del browser all'interno di tale ambiente isolato.

Per questi casi, Edge ha il supporto per doppio proxy Dalla versione stabile 84 in poi, configurabile tramite la direttiva ApplicationGuardContainerProxyL'idea è che il traffico proveniente dal container venga instradato attraverso un proxy specifico, diverso da quello utilizzato dall'host, il che semplifica l'applicazione di regole indipendenti e un'ispezione più rigorosa.

Un'altra richiesta ricorrente da parte dei clienti era la possibilità di utilizzare le estensioni all'interno del contenitoreDa Edge 81, ciò è possibile, quindi i blocchi degli annunci, le estensioni aziendali interne o altri strumenti possono essere eseguiti purché siano conformi alle politiche definite. È necessario dichiarare il updateURL dell'estensione nelle politiche di isolamento di rete in modo che venga considerata una risorsa neutrale accessibile da Application Guard.

Gli scenari accettati includono il installazione forzata di estensioni sull'host Queste estensioni vengono quindi visualizzate nel contenitore, consentendo la rimozione di estensioni specifiche o il blocco di altre ritenute indesiderabili per motivi di sicurezza. Tuttavia, ciò non si applica alle estensioni che si basano su componenti nativi per la gestione dei messaggi. Non sono compatibili all'interno di MDAG.

Per aiutare a diagnosticare problemi di configurazione o di comportamento, un pagina diagnostica specifica en edge://application-guard-internalsDa lì, è possibile verificare, tra le altre cose, se un determinato URL è considerato affidabile o meno in base alle politiche effettivamente applicate all'utente.

Infine, per quanto riguarda gli aggiornamenti, il nuovo Microsoft Edge sarà Si aggiorna anche all'interno del contenitore.Segue lo stesso canale e la stessa versione del browser host. Non dipende più dal ciclo di aggiornamento del sistema operativo, come accadeva con la versione precedente di Edge, il che semplifica notevolmente la manutenzione.

Come attivare Microsoft Defender Application Guard in Windows

Se vuoi eseguirlo su un dispositivo compatibile, il primo passo è attivare la funzionalità di Windows corrispondente. Il processo, a livello basilare, è piuttosto semplice.

Il modo più rapido è aprire la finestra di dialogo Esegui con Win + R, scrivere appwiz.cpl e premi Invio per accedere direttamente al pannello "Programmi e funzionalità". Da lì, sul lato sinistro, troverai il collegamento "Attiva o disattiva funzionalità di Windows".

Nell'elenco dei componenti disponibili, dovrai individuare la voce “Microsoft Defender Application Guard” e selezionarlo. Dopo aver accettato, Windows scaricherà o abiliterà i file binari necessari e ti chiederà di riavviare il computer per applicare le modifiche.

Dopo il riavvio, sui dispositivi compatibili con le versioni corrette di Edge, dovresti essere in grado di Apri nuove finestre o schede isolate tramite le opzioni del browser o, negli ambienti gestiti, automaticamente in base alla configurazione dell'elenco dei siti non attendibili.

Se non vedi opzioni come "Nuova finestra Application Guard" o il contenitore non si apre, è possibile che Le istruzioni che stai seguendo potrebbero essere obsolete.Ciò potrebbe dipendere dal fatto che la tua edizione di Windows non è supportata, che Hyper-V non è abilitato o che le policy della tua organizzazione hanno disabilitato questa funzionalità.

Configurazione di Application Guard tramite Criteri di gruppo

Negli ambienti aziendali, ogni apparecchiatura non viene configurata manualmente; al contrario, viene utilizzato un sistema predefinito. criteri di gruppo (GPO) o profili di configurazione in Intune per definire le policy in modo centralizzato. Application Guard si basa su due blocchi di configurazione principali: isolamento di rete e parametri specifici dell'applicazione.

Le impostazioni di isolamento della rete si trovano in Computer Configuration\Administrative Templates\Network\Network IsolationQui, ad esempio, vengono definiti i seguenti elementi: intervalli e domini di rete interni considerati domini aziendaliche segnerà il confine tra ciò che è affidabile e ciò che dovrebbe essere buttato nella spazzatura.

Una delle politiche chiave è quella di “Intervalli di rete privati ​​per le applicazioni”Questa sezione specifica, in un elenco separato da virgole, gli intervalli IP appartenenti alla rete aziendale. Gli endpoint in questi intervalli saranno accessibili tramite Edge standard e non saranno accessibili dall'ambiente Application Guard.

Un'altra politica importante è quella di “Domini di risorse aziendali ospitati nel cloud”che utilizza un elenco separato dal carattere | Per indicare i domini SaaS e i servizi cloud dell'organizzazione che devono essere trattati come interni. Questi verranno visualizzati anche su Edge al di fuori del container.

Infine, la direttiva di “Ambiti classificati come personali e lavorativi” Consente di dichiarare domini utilizzabili sia per scopi personali che aziendali. Questi siti saranno accessibili sia dal normale ambiente Edge che da Application Guard, a seconda dei casi.

Utilizzo dei caratteri jolly nelle impostazioni di isolamento di rete

Per evitare di dover scrivere ogni sottodominio uno per uno, gli elenchi di isolamento di rete supportano caratteri jolly nei nomi di dominioCiò consente un migliore controllo su ciò che viene considerato affidabile.

Se è definito in modo semplice contoso.comIl browser si fiderà solo di quel valore specifico e non di altri domini che lo contengono. In altre parole, tratterà solo quel valore letterale come appartenente a un'azienda. la radice esatta e non www.contoso.com né varianti.

Se specificato www.contoso.compoi solo quell'host specifico saranno considerati affidabili. Altri sottodomini come shop.contoso.com Sarebbero esclusi e potrebbero finire nella spazzatura.

Con il formato .contoso.com (un punto prima) indica che Qualsiasi dominio che termina con “contoso.com” è considerato affidabile.. Ciò include da contoso.com su www.contoso.com o anche catene come spearphishingcontoso.comPertanto, va usato con cautela.

Infine, se viene utilizzato ..contoso.com (due punti iniziali), tutti i livelli della gerarchia situati a sinistra del dominio sono considerati affidabili, ad esempio shop.contoso.com o us.shop.contoso.com, Ma Il dominio principale “contoso.com” non è considerato attendibile. di per sé. È un modo più preciso per controllare ciò che viene considerato una risorsa aziendale.

Direttive specifiche per la Guardia dell'Applicazione Principale

Il secondo insieme principale di impostazioni si trova in Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application GuardDa qui il paese è governato comportamento dettagliato del contenitore e cosa l'utente può o non può fare al suo interno.

Una delle politiche più rilevanti è quella di “Impostazioni degli appunti”Questa impostazione controlla se è possibile copiare e incollare testo o immagini tra l'host e Application Guard. In modalità gestita, è possibile consentire la copia solo dal contenitore verso l'esterno, solo nella direzione inversa o persino disabilitare completamente gli appunti.

Allo stesso modo, la direttiva di “Impostazioni di stampa” Decide se il contenuto può essere stampato dal contenitore e in quali formati. È possibile abilitare la stampa in PDF, XPS, su stampanti locali connesse o su stampanti di rete predefinite, oppure bloccare tutte le funzionalità di stampa all'interno di MDAG.

l'opzione “Riconoscere la perseveranza” Questa impostazione determina se i dati utente (file scaricati, cookie, preferiti, ecc.) vengono conservati tra le sessioni di Application Guard o eliminati ogni volta che l'ambiente viene arrestato. Abilitando questa opzione in modalità gestita, il container conserva queste informazioni per le sessioni future; disabilitandola, si ottiene un ambiente praticamente pulito ad ogni avvio.

Se in seguito decidi di interrompere la persistenza, puoi utilizzare lo strumento wdagtool.exe con i parametri cleanup o cleanup RESET_PERSISTENCE_LAYER per reimpostare il contenitore ed eliminare le informazioni generate dal dipendente.

Un'altra politica chiave è "Attivare Application Guard in modalità gestita"Questa sezione specifica se la funzionalità si applica a Microsoft Edge, a Microsoft Office o a entrambi. Questa policy non avrà effetto se il dispositivo non soddisfa i prerequisiti o se è configurato l'isolamento di rete (tranne in alcune versioni recenti di Windows in cui non è più richiesto per Edge se sono stati installati specifici aggiornamenti KB).

Condivisione di file, certificati, fotocamera e audit

Oltre alle politiche menzionate sopra, ci sono altre direttive che incidono come il container si relaziona al sistema host e con le periferiche.

politica "Consenti il ​​download dei file nel sistema operativo host" Decide se l'utente può salvare i file scaricati dall'ambiente isolato sull'host. Quando è abilitato, crea una risorsa condivisa tra i due ambienti, che consente anche determinati caricamenti dall'host al container: una funzionalità molto utile, ma che dovrebbe essere valutata da una prospettiva di sicurezza.

La configurazione di "Abilita il rendering accelerato dall'hardware" Consente l'utilizzo della GPU tramite vGPU per migliorare le prestazioni grafiche, soprattutto durante la riproduzione di video e contenuti complessi. Se non è disponibile hardware compatibile, Application Guard passerà al rendering tramite CPU. L'attivazione di questa opzione su dispositivi con driver inaffidabili potrebbe tuttavia aumentare il rischio per il sistema host.

Esiste anche una direttiva per consentire l'accesso a fotocamera e microfono all'interno del container. L'abilitazione di questa opzione consente alle applicazioni in esecuzione sotto MDAG di utilizzare questi dispositivi, facilitando videochiamate o conferenze da ambienti isolati, sebbene apra anche la porta alla possibilità di aggirare le autorizzazioni standard qualora il container venga compromesso.

Un'altra politica consente Application Guard utilizzare autorità di certificazione radice host specificheQuesto processo trasferisce al container i certificati la cui impronta digitale è stata specificata. Se questa opzione è disabilitata, il container non erediterà tali certificati, il che potrebbe bloccare le connessioni ad alcuni servizi interni che si basano su autorità private.

Infine, la possibilità di "Consenti eventi di audit" Ciò consente di registrare gli eventi di sistema generati nel container e di ereditare le policy di controllo del dispositivo, in modo che il team di sicurezza possa monitorare ciò che accade all'interno di Application Guard a partire dai log dell'host.

Integrazione con framework di supporto e personalizzazione

Quando qualcosa va storto in Application Guard, l'utente vede un finestra di dialogo di errore Di default, questa schermata include solo una descrizione del problema e un pulsante per segnalarlo a Microsoft tramite l'Hub di Feedback. Tuttavia, questa esperienza può essere personalizzata per facilitare l'assistenza interna.

Sulla rotta Administrative Templates\Windows Components\Windows Security\Enterprise Customization Esiste una politica che l'amministratore può utilizzare Aggiungi le informazioni di contatto del servizio di assistenza.Collegamenti interni o brevi istruzioni. In questo modo, quando un dipendente riscontra l'errore, saprà immediatamente chi contattare o quali passi intraprendere.

Domande frequenti e problemi comuni con Application Guard

L'utilizzo di Application Guard genera una buona manciata di domande ricorrenti nelle implementazioni reali, soprattutto per quanto riguarda prestazioni, compatibilità e comportamento di rete.

Una delle prime domande è se può essere abilitato in dispositivi con soli 4 GB di RAMSebbene esistano scenari in cui potrebbe funzionare, in pratica le prestazioni ne risentono notevolmente, poiché il container è di fatto un altro sistema operativo in esecuzione in parallelo.

Un altro punto delicato è l'integrazione con proxy di rete e script PACMessaggi come "Impossibile risolvere gli URL esterni da MDAG Browser: ERR_CONNECTION_REFUSED" o "ERR_NAME_NOT_RESOLVED" quando l'accesso al file PAC non riesce di solito indicano problemi di configurazione tra il container, il proxy e le regole di isolamento.

Ci sono anche questioni relative a IME (editor di metodi di input) non supportati In alcune versioni di Windows, i conflitti con i driver di crittografia del disco o con le soluzioni di controllo dei dispositivi impediscono il completamento del caricamento del contenitore.

Alcuni amministratori riscontrano errori come "ERRORE_DISCO_VIRTUALE_LIMITAZIONE" Se sussistono limitazioni relative ai dischi virtuali o se non è possibile disabilitare tecnologie come l'hyperthreading che influiscono indirettamente su Hyper-V e, di conseguenza, su MDAG.

Vengono inoltre sollevate domande su come fidati solo di determinati sottodominiriguardo ai limiti di dimensione dell'elenco dei domini o a come disabilitare il comportamento per cui la scheda host si chiude automaticamente quando si naviga verso un sito che si apre nel contenitore.

Application Guard, modalità IE, Chrome e Office

In ambienti in cui il Modalità IE in Microsoft EdgeApplication Guard è supportato, ma Microsoft non prevede un utilizzo diffuso di questa funzionalità in questa modalità. Si consiglia di riservare la modalità IE per [applicazioni/usi specifici]. siti interni affidabili e utilizzare MDAG solo per i siti web considerati esterni e non affidabili.

È importante assicurarsi che tutti i siti configurati in modalità IELa rete, insieme ai relativi indirizzi IP, deve essere inclusa nelle policy di isolamento di rete come risorsa attendibile. In caso contrario, potrebbero verificarsi comportamenti imprevisti quando si combinano le due funzioni.

Per quanto riguarda Chrome, molti utenti chiedono se è necessario installare un'estensione Application GuardLa risposta è no: la funzionalità è integrata nativamente in Microsoft Edge e la vecchia estensione di Chrome non è una configurazione supportata quando si lavora con Edge.

Per i documenti di Office, Application Guard consente Apri file Word, Excel e PowerPoint in un contenitore isolato quando i file vengono considerati non attendibili, impedendo così a macro dannose o altri vettori di attacco di raggiungere l'host. Questa protezione può essere combinata con altre funzionalità di Defender e con le policy di attendibilità dei file.

Esiste persino un'opzione di Criteri di gruppo che consente agli utenti di "considerare attendibili" determinati file aperti in Application Guard, in modo che vengano trattati come sicuri ed escano dal contenitore. Questa funzionalità deve essere gestita con attenzione per evitare di perdere i vantaggi dell'isolamento.

Download, appunti, preferiti ed estensioni: esperienza utente

Dal punto di vista dell'utente, alcune delle domande più pratiche riguardano cosa si può e cosa non si può fare all'interno del containersoprattutto con i download, il copia/incolla e le estensioni.

In Windows 10 Enterprise 1803 e versioni successive (con sfumature a seconda dell'edizione), è possibile consentire il download dei documenti dal container all'host Questa opzione non era disponibile nelle versioni precedenti o in alcune build di edizioni come Pro, sebbene fosse possibile stampare in PDF o XPS e salvare il risultato sul dispositivo host.

Per quanto riguarda gli appunti, la politica aziendale può consentire che Le immagini sono in formato BMP e il testo viene copiato da e verso l'ambiente isolato. Se i dipendenti si lamentano di non poter copiare contenuti, queste politiche dovranno in genere essere riviste.

Molti utenti chiedono anche perché Non vedono i loro preferiti o le loro estensioni nella sessione Edge sotto Application Guard. Ciò è solitamente dovuto alla disabilitazione della sincronizzazione dei segnalibri o alla mancata attivazione dei criteri per le estensioni in MDAG. Una volta modificate queste opzioni, il browser nel container può ereditare i segnalibri e alcune estensioni, sempre con le limitazioni menzionate in precedenza.

Esistono persino casi in cui un'estensione appare ma "non funziona". Se si basa su componenti nativi per la gestione dei messaggi, tale funzionalità non sarà disponibile all'interno del contenitore e l'estensione mostrerà un comportamento limitato o completamente inoperativo.

Prestazioni grafiche, HDR e accelerazione hardware

Un altro argomento che emerge frequentemente è quello di riproduzione video e funzionalità avanzate come HDR all'interno di Application Guard. Quando viene eseguito su Hyper-V, il container non ha sempre accesso diretto alle funzionalità della GPU.

Affinché la riproduzione HDR funzioni correttamente in un ambiente isolato, è necessario che L'accelerazione hardware vGPU è abilitata tramite la politica di rendering accelerato. In caso contrario, il sistema si affiderà alla CPU e alcune opzioni, come l'HDR, non saranno disponibili nelle impostazioni del lettore o del sito web.

Anche con l'accelerazione abilitata, se l'hardware grafico non è considerato sufficientemente sicuro o compatibile, Application Guard potrebbe ritorno automatico al rendering softwareche influisce sulla fluidità e sul consumo della batteria nei computer portatili.

Alcune implementazioni hanno mostrato problemi con la frammentazione TCP e conflitti con VPN che sembrano non avviarsi mai quando il traffico passa attraverso il container. In questi casi, di solito è necessario rivedere le policy di rete, l'MTU, la configurazione del proxy e talvolta regolare il modo in cui MDAG si integra con altri componenti di sicurezza già installati.

Supporto, diagnosi e segnalazione degli incidenti

Quando, nonostante tutto, si presentano problemi che non possono essere risolti internamente, Microsoft raccomanda aprire un ticket di supporto specifico per Microsoft Defender Application Guard. È importante raccogliere in anticipo informazioni dalla pagina di diagnostica, dai registri eventi correlati e dai dettagli della configurazione applicata al dispositivo.

L'uso della pagina edge://application-guard-internals, combinato con il eventi di audit abilitati e il rilascio di strumenti quali wdagtool.exeIn genere, fornisce al team di supporto dati sufficienti per individuare la fonte del problema, che si tratti di una policy definita in modo inadeguato, di un conflitto con un altro prodotto di sicurezza o di una limitazione hardware.

Oltre a tutto ciò, gli utenti possono personalizzare i messaggi di errore e le informazioni di contatto nella finestra di dialogo del supporto tecnico di Windows Security, facilitando così la ricerca della soluzione più adatta. Non farti trovare impreparato e senza sapere a chi rivolgerti. quando il container non si avvia o non si apre come previsto.

Nel complesso, Microsoft Defender Application Guard offre una potente combinazione di isolamento hardware, controllo granulare delle policy e strumenti di diagnostica che, se utilizzati correttamente, possono ridurre significativamente il rischio associato alla navigazione su siti non attendibili o all'apertura di documenti provenienti da fonti dubbie, senza compromettere la produttività quotidiana.