כיצד להשתמש ב-Microsoft Defender Application Guard שלב אחר שלב

אם אתם עובדים עם מידע רגיש או גולשים באתרים חשודים מדי יום, מגן היישומים של מיקרוסופט Defender (MDAG) זוהי אחת מאותן תכונות של Windows שיכולות לעשות את ההבדל בין פחד לאסון. זו לא סתם עוד תוכנת אנטי-וירוס, אלא שכבה נוספת שמבודדת איומים מהמערכת והנתונים שלך.

בשורות הבאות תראו בבירור מה בדיוק זה Application Guard, איך זה עובד באופן פנימי, על אילו מכשירים אפשר להשתמש בו, ואיך מגדירים אותו? נסקור פריסות פשוטות וגם פריסות ארגוניות. נסקור גם דרישות, מדיניות קבוצתית, שגיאות נפוצות ושאלות נפוצות שונות שעולות כשמתחילים לעבוד עם טכנולוגיה זו.

מהו Microsoft Defender Application Guard וכיצד הוא פועל?

Microsoft Defender Application Guard היא תכונת אבטחה מתקדמת שנועדה בידוד אתרים ומסמכים לא מהימנים במכולה וירטואלית מבוסס על Hyper-V. במקום לנסות לחסום כל מתקפה בנפרד, הוא יוצר "מחשב חד פעמי" קטן שבו הוא שם את החומר החשוד.

המכולה הזו פועלת ב- נפרד ממערכת ההפעלה הראשיתעם גרסה משלה של Windows וללא גישה ישירה לקבצים, אישורים או משאבים פנימיים של החברה. גם אם אתר זדוני מצליח לנצל פגיעות בדפדפן או באופיס, הנזק נשאר בתוך סביבה מבודדת זו.

במקרה של Microsoft Edge, Application Guard מבטיח ש כל דומיין שאינו מסומן כאמין הוא נפתח אוטומטית בתוך אותו מיכל. עבור Office, הוא עושה את אותו הדבר עם מסמכי Word, Excel ו-PowerPoint שמגיעים ממקורות שהארגון אינו מחשיב כבטוחים.

המפתח הוא שבידוד זה הוא מסוג חומרה: Hyper-V יוצר סביבה עצמאית מהמארח, מה שמפחית באופן דרסטי את האפשרות שתוקף יקפוץ מההפעלה המבודדת למערכת האמיתית, יגנוב נתוני חברה או ינצל אישורים מאוחסנים.

יתר על כן, המכולה מטופלת כסביבה אנונימית: הוא אינו יורש את קובצי ה-cookie, הסיסמאות או הפעילויות המבוססות על השרת של המשתמש.זה מקשה הרבה יותר על החיים עבור תוקפים שמסתמכים על טכניקות של זיוף או גניבת סשנים.

סוגי מכשירים מומלצים לשימוש ב-Application Guard

למרות ש-Application Guard יכול לפעול מבחינה טכנית בתרחישים שונים, הוא תוכנן במיוחד עבור סביבות ארגוניות ומכשירים מנוהליםמיקרוסופט מבחינה במספר סוגים של ציוד שבהם MDAG הגיוני ביותר.

קודם כל יש את שולחן עבודה ארגוני המצורף לדומייןאלה מנוהלים בדרך כלל באמצעות Configuration Manager או Intune. מדובר במחשבי משרד מסורתיים, עם משתמשים סטנדרטיים ומחוברים לרשת הארגונית הקווית, שבה הסיכון נובע בעיקר מגלישה יומיומית באינטרנט.

אז יש לנו את ה מחשבים ניידים ארגונייםגם אלה מכשירים המחוברים לדומיין ומנוהלים באופן מרכזי, אך הם מתחברים לרשתות Wi-Fi פנימיות או חיצוניות. כאן, הסיכון עולה מכיוון שהמכשיר עוזב את הרשת הנשלטת וחשוף ל-Wi-Fi בבתי מלון, שדות תעופה או רשתות ביתיות.

קבוצה נוספת היא מחשבים ניידים של BYOD (הבא את המכשיר שלך), ציוד אישי שאינו שייך לחברה אך מנוהל באמצעות פתרונות כמו Intune. הם בדרך כלל בידי משתמשים עם הרשאות מנהל מקומיות, מה שמגדיל את משטח התקיפה והופך את השימוש בבידוד לגישה למשאבי החברה למושך יותר.

לבסוף, יש את מכשירים אישיים שאינם מנוהלים לחלוטיןאלו הם אתרים שאינם שייכים לשום דומיין ושבהם למשתמש יש שליטה מוחלטת. במקרים אלה, ניתן להשתמש ב-Application Guard במצב עצמאי (במיוחד עבור Edge) כדי לספק שכבת הגנה נוספת בעת ביקור באתרים שעלולים להיות מסוכנים.

מהדורות ורישוי נדרשים של Windows

לפני שמתחילים להגדיר משהו, חשוב להבהיר זאת. באילו מהדורות של Windows ניתן להשתמש ב-Microsoft Defender Application Guard ועם אילו זכויות רישוי.

עבור מצב עצמאי בקצה (כלומר, שימוש ב-Application Guard רק כ-sandbox של דפדפן ללא ניהול ארגוני מתקדם), נתמך ב-Windows:

• Windows pro
• Windows Enterprise
• Windows Pro Education / SE
• Windows Education

בתרחיש זה, זכויות רישיון MDAG מוענקות אם יש לך רישיונות כגון Windows Pro / Pro Education / SE, Windows Enterprise E3 או E5 ו-Windows Education A3 או A5בפועל, במחשבים מקצועיים רבים עם Windows Pro כבר ניתן להפעיל את התכונה לשימוש בסיסי.

עבור מצב קצה ארגוני וניהול תאגידי (כאשר הנחיות מתקדמות ותרחישים מורכבים יותר נכנסים לתמונה), התמיכה מצטמצמת:

• Windows Enterprise y Windows Education Application Guard נתמך במצב זה.
• Windows Pro ו-Windows Pro Education/SE לא יש להם תמיכה בגרסה הארגונית הזו.

בנוגע לרישיונות, שימוש תאגידי מתקדם יותר זה דורש Windows Enterprise E3/E5 או Windows Education A3/A5אם הארגון שלך עובד רק עם Pro ללא מנויי Enterprise, תהיה מוגבל למצב עצמאי של Edge.

דרישות מוקדמות למערכת ותאימות

בנוסף למהדורת Windows, כדי ש-Application Guard יעבוד בצורה יציבה עליך לעמוד בדרישות סדרה של דרישות טכניות קשור לגרסה, חומרה ותמיכה בווירטואליזציה.

לגבי מערכת ההפעלה, חובה להשתמש Windows 10 1809 או גרסה מתקדמת יותר (עדכון אוקטובר 2018) או גרסה מקבילה של Windows 11. הוא אינו מיועד ל-SKU של שרתים או לגרסאות מצומצמות במיוחד; הוא מכוון בבירור למחשבי לקוח.

ברמת החומרה, הציוד חייב להיות בעל וירטואליזציה מבוססת חומרה מופעלת (תמיכה ב-Intel VT-x/AMD-V ותרגום כתובות ברמה שנייה, כגון SLAT), מכיוון ש-Hyper-V הוא הרכיב המרכזי ליצירת המכולה המבודדת. ללא שכבה זו, MDAG לא יוכל להקים את הסביבה המאובטחת שלו.

חיוני גם שיהיה מנגנוני ניהול תואמים אם אתם מתכוונים להשתמש בו באופן מרכזי (לדוגמה, Microsoft Intune או Configuration Manager), כפי שמפורט בדרישות התוכנה הארגונית. עבור פריסות פשוטות, ממשק האבטחה של Windows עצמו יספיק.

לבסוף, שים לב לכך Application Guard נמצא בתהליך של הוצאה משימוש. עבור Microsoft Edge לעסקים, וכי ממשקי API מסוימים המשויכים ליישומים עצמאיים לא יעודכנו עוד. למרות זאת, הדבר נותר נפוץ מאוד בסביבות בהן נדרשת בלימת סיכונים לטווח קצר ובינוני.

מקרה שימוש: בטיחות לעומת פרודוקטיביות

אחת הבעיות הקלאסיות באבטחת סייבר היא מציאת האיזון הנכון בין כדי להגן באמת, לא לחסום את המשתמשאם תאפשרו רק קומץ אתרים "מבורכים", תפחיתו את הסיכון, אך תהרגו את הפרודוקטיביות. אם תקלו את ההגבלות, רמת החשיפה תמריא.

הדפדפן הוא אחד מהם משטחי התקפה עיקריים של העבודה, כי מטרתה לפתוח תוכן לא אמין ממגוון רחב של מקורות: אתרים לא ידועים, הורדות, סקריפטים של צד שלישי, פרסום אגרסיבי וכו'. לא משנה כמה תשפרו את המנוע, תמיד יהיו פגיעויות חדשות שמישהו ינסה לנצל.

במודל זה, המנהל מגדיר במדויק אילו דומיינים, טווחי IP ומשאבי ענן הוא מחשיב כאמינים. כל דבר שלא נמצא ברשימה הזו יועבר אוטומטית למכולהשם, המשתמש יכול לגלוש ללא חשש שכשל בדפדפן יסכן את שאר המערכות הפנימיות.

התוצאה היא ניווט גמיש יחסית עבור העובד, אך עם גבול שמור היטב בין מה שהוא עולם חיצוני לא אמין לבין מהי סביבה תאגידית שיש להגן עליה בכל מחיר.

תכונות ועדכונים אחרונים של Application Guard ב-Microsoft Edge

לאורך הגרסאות השונות של Microsoft Edge המבוססות על Chromium, מיקרוסופט הוסיפה שיפורים ספציפיים עבור Application Guard במטרה לשפר את חוויית המשתמש ולתת למנהל יותר שליטה.

אחת התכונות החדשות החשובות היא חסימת העלאות קבצים מהקונטיינרמאז Edge 96, ארגונים הצליחו למנוע ממשתמשים להעלות מסמכים מהמכשיר המקומי שלהם לטופס או לשירות אינטרנט בתוך סשן מבודד, באמצעות המדיניות. ApplicationGuardUploadBlockingEnabledזה מפחית את הסיכון לדליפות מידע.

שיפור שימושי נוסף מאוד הוא מצב פסיבי, זמין מאז Edge 94. כאשר מופעל על ידי המדיניות ApplicationGuardPassiveModeEnabledApplication Guard מפסיק לאלץ את רשימת האתרים ומאפשר למשתמש לגלוש ב-Edge "כרגיל", למרות שהתכונה נשארת מותקנת. זוהי דרך נוחה להכין את הטכנולוגיה מבלי להפנות מחדש את התנועה עדיין.

נוספה גם האפשרות של סנכרן את המועדפים של המארח עם המכולהזה היה משהו שרבים מהלקוחות ביקשו כדי להימנע משתי חוויות גלישה נפרדות לחלוטין. מאז Edge 91, המדיניות ApplicationGuardFavoritesSyncEnabled זה מאפשר לסמנים חדשים להופיע באופן שווה בתוך הסביבה המבודדת.

בתחום הרשתות, Edge 91 שילב תמיכה ב- תייגו את התנועה היוצאת מהמכולה בזכות ההנחיה ApplicationGuardTrafficIdentificationEnabledזה מאפשר לחברות לזהות ולסנן את התעבורה הזו באמצעות פרוקסי, למשל כדי להגביל את הגישה לקבוצה קטנה מאוד של אתרים בעת גלישה מ-MDAG.

פרוקסי כפול, הרחבות ותרחישים מתקדמים אחרים

ארגונים מסוימים משתמשים ב-Application Guard בפריסות מורכבות יותר שבהן הם זקוקים לעקוב מקרוב אחר תנועת המכולות ויכולות הדפדפן בתוך סביבה מבודדת זו.

עבור מקרים אלה, ל-Edge יש תמיכה ב- פרוקסי כפול מגרסה יציבה 84 ואילך, ניתן להגדרה באמצעות ההנחיה ApplicationGuardContainerProxyהרעיון הוא שתעבורה שמקורה במכולה מנותבת דרך פרוקסי ספציפי, שונה מזה בו משתמש המארח, מה שמקל על יישום כללים עצמאיים ובדיקה מחמירה יותר.

בקשה חוזרת נוספת מצד לקוחות הייתה האפשרות של השתמש בהרחבות בתוך המכולהמאז Edge 81, זה אפשרי, כך שניתן להפעיל חוסמי פרסומות, הרחבות פנימיות של החברה או כלים אחרים כל עוד הם עומדים במדיניות המוגדרת. יש צורך להצהיר על... updateURL של ההרחבה במדיניות בידוד הרשת כך שהיא תיחשב למשאב ניטרלי הנגיש מ-Application Guard.

התרחישים המקובלים כוללים את התקנה כפויה של הרחבות על גבי המארח הרחבות אלו מופיעות לאחר מכן בתוך המכולה, מה שמאפשר הסרה של הרחבות ספציפיות או חסימה של אחרות הנחשבות לא רצויות מסיבות אבטחה. עם זאת, הדבר אינו חל על הרחבות המסתמכות על רכיבי טיפול בהודעות מקוריים. הם אינם תואמים בתוך MDAG.

כדי לסייע באבחון בעיות תצורה או התנהגות, א דף אבחון ספציפי en edge://application-guard-internalsמשם, ניתן לבדוק, בין היתר, האם כתובת URL נתונה נחשבת אמינה או לא, בהתאם למדיניות המוחלת בפועל על המשתמש.

לבסוף, בנוגע לעדכונים, ה-Microsoft Edge החדש יהיה זה גם מעדכן את עצמו בתוך המכולההוא עוקב אחר אותו ערוץ וגרסה כמו הדפדפן המארח. הוא כבר לא תלוי במחזור העדכון של מערכת ההפעלה, כפי שהיה במקרה של גרסת Legacy של Edge, מה שמפשט מאוד את התחזוקה.

כיצד להפעיל את Microsoft Defender Application Guard ב-Windows

אם ברצונך להפעיל אותו על מכשיר תואם, הצעד הראשון הוא הפעל את תכונת Windows התהליך, ברמה הבסיסית, הוא די פשוט.

הדרך המהירה ביותר היא לפתוח את תיבת הדו-שיח הפעלה באמצעות Win + R, לכתוב appwiz.cpl ולחץ על Enter כדי לעבור ישירות לחלונית "תוכניות ותכונות". משם, בצד שמאל, תמצא את הקישור אל "הפעלה או כיבוי של תכונות Windows".

ברשימת הרכיבים הזמינים, תצטרכו לאתר את הערך "מגן היישומים של מיקרוסופט דיפנדר" ובחר אותו. לאחר אישורו, Windows יוריד או יפעיל את הקבצים הבינאריים הדרושים ויבקש ממך להפעיל מחדש את המחשב כדי להחיל את השינויים.

לאחר הפעלה מחדש, במכשירים תואמים עם הגרסאות הנכונות של Edge, אתה אמור להיות מסוגל פתיחת חלונות חדשים או כרטיסיות מבודדות דרך אפשרויות דפדפן או, בסביבות מנוהלות, באופן אוטומטי בהתאם לתצורת רשימת האתרים הלא מהימנים.

אם אינך רואה אפשרויות כמו "חלון חדש של Application Guard" או שהקונטיינר לא נפתח, ייתכן ש... ייתכן שההוראות שאתה פועל לפיהן מיושנות.ייתכן שהסיבה לכך היא שגרסת Windows שלך אינה נתמכת, ש-Hyper-V לא מופעל אצלך, או שמדיניות הארגון שלך השביתה את התכונה.

הגדרת Application Guard באמצעות מדיניות קבוצתית

בסביבות עסקיות, כל פריט ציוד אינו מוגדר באופן ידני; במקום זאת, נעשה שימוש במערכת מוגדרת מראש. מדיניות קבוצתית (GPO) או פרופילי תצורה ב-Intune כדי להגדיר מדיניות באופן מרכזי. Application Guard מסתמך על שני בלוקי תצורה עיקריים: בידוד רשת ופרמטרים ספציפיים ליישום.

הגדרות בידוד הרשת נמצאות ב Computer Configuration\Administrative Templates\Network\Network Isolationכאן, למשל, מוגדרים הדברים הבאים: טווחי רשת פנימיים ודומיינים הנחשבים לדומיינים של החברהאשר יסמן את הגבול בין מה שאמין לבין מה שצריך לזרוק לפח.

אחת המדיניות המרכזיות היא זו של "מרווחי רשת פרטית עבור יישומים"סעיף זה מציין, ברשימה מופרדת בפסיקים, את טווחי כתובות ה-IP השייכים לרשת הארגונית. נקודות קצה בטווחים אלה ייפתחו ב-Edge הרגיל ולא יהיו נגישות מסביבת Application Guard.

מדיניות חשובה נוספת היא זו של "דומייני משאבים ארגוניים המתארחים בענן"אשר משתמש ברשימה המופרדת על ידי התו | כדי לציין דומיינים של SaaS ושירותי ענן של הארגון שיש להתייחס אליהם כפנימיים. אלה יוצגו גם ב-Edge מחוץ למכולה.

לבסוף, ההנחיה של "דומיינים המסווגים כפרטיים ועבודה" זה מאפשר לך להצהיר על דומיינים שניתן להשתמש בהם למטרות אישיות ועסקיות כאחד. אתרים אלה יהיו נגישים הן מסביבת Edge הרגילה והן מ-Application Guard, בהתאם לצורך.

שימוש בתווים כלליים בהגדרות בידוד רשת

כדי להימנע מהצורך לכתוב כל תת-דומיין בנפרד, רשימות בידוד רשת תומכות תווים כלליים בשמות דומייןזה מאפשר שליטה טובה יותר על מה שנחשב אמין.

אם זה מוגדר בפשטות contoso.comהדפדפן יבטח רק בערך הספציפי הזה ולא בדומיינים אחרים המכילים אותו. במילים אחרות, הוא יתייחס רק לערך המילולי הזה כשייך לעסק. השורש המדויק ולא www.contoso.com וגם לא וריאציות.

אם צוין www.contoso.comכך רק את המארח הספציפי הזה ייחשבו מהימנים. תת-דומיינים אחרים כגון shop.contoso.com הם יישארו בחוץ ויכולים להגיע לפח האשפה.

עם הפורמט .contoso.com (נקודה לפני) מצביעה על כך כל דומיין שמסתיים ב-"contoso.com" נחשב אמין. זה כולל מ contoso.com למעלה www.contoso.com או אפילו רשתות כמו spearphishingcontoso.comלכן יש להשתמש בו בזהירות.

לבסוף, אם משתמשים בו ..contoso.com (נקודתיים ראשוניים), כל רמות ההיררכיה הממוקמות משמאל לדומיין הן מהימנות, לדוגמה shop.contoso.com o us.shop.contoso.com, אבל הבסיס "contoso.com" אינו מהימן כשלעצמו. זוהי דרך עדינה יותר לשלוט במה שנחשב למשאב תאגידי.

הנחיות ספציפיות ל-Main Application Guard

קבוצת ההגדרות העיקרית השנייה ממוקמת ב Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application Guardמכאן המדינה נשלטת התנהגות מפורטת של המכולה ומה המשתמש יכול או לא יכול לעשות בתוכו.

אחת המדיניות הרלוונטית ביותר היא זו של "הגדרות לוח גזירים"זה קובע האם ניתן להעתיק ולהדביק טקסט או תמונות בין המארח ל-Application Guard. במצב מנוהל, ניתן לאפשר העתקה רק מהקונטיינר החוצה, רק בכיוון ההפוך, או אפילו להשבית את הלוח לחלוטין.

באופן דומה, ההנחיה של "הגדרות הדפסה" הוא מחליט האם ניתן להדפיס תוכן מהמיכל, ובאילו פורמטים. ניתן לאפשר הדפסה ל-PDF, XPS, מדפסות מקומיות מחוברות או מדפסות רשת מוגדרות מראש, או לחסום את כל יכולות ההדפסה בתוך MDAG.

אפשרות "הכירו בהתמדה" הגדרה זו קובעת האם נתוני משתמש (קבצים שהורדו, קובצי Cookie, מועדפים וכו') נשמרים בין הפעלות של Application Guard או נמחקים בכל פעם שהסביבה נסגרת. הפעלה במצב מנוהל מאפשרת למכולה לשמור מידע זה עבור הפעלות עתידיות; השבתתה מביאה לסביבה נקייה כמעט לחלוטין בכל הפעלה.

אם תחליט להפסיק לאפשר התמדה מאוחר יותר, תוכל להשתמש בכלי wdagtool.exe עם הפרמטרים cleanup o cleanup RESET_PERSISTENCE_LAYER לאפס את המכולה ולמחוק את המידע שנוצר על ידי העובד.

מדיניות מרכזית נוספת היא "הפעל את Application Guard במצב מנוהל"סעיף זה מציין האם התכונה חלה על Microsoft Edge, Microsoft Office או שניהם. מדיניות זו לא תיכנס לתוקף אם המכשיר אינו עומד בדרישות המוקדמות או שהוגדרה בו בידוד רשת (למעט בגירסאות עדכניות מסוימות של Windows שבהן היא אינה נדרשת עוד עבור Edge אם הותקנו עדכוני KB ספציפיים).

שיתוף קבצים, אישורים, מצלמה וביקורת

בנוסף למדיניות שהוזכרו לעיל, ישנן הנחיות נוספות המשפיעות על כיצד המכולה קשורה למערכת המארחת ועם הציוד ההיקפי.

פּוֹלִיטִיקָה "אפשר הורדת קבצים למערכת ההפעלה המארחת" היא מחליטה האם המשתמש יכול לשמור קבצים שהורדו מהסביבה המבודדת למארח. כאשר היא מופעלת, היא יוצרת משאב משותף בין שתי הסביבות, מה שמאפשר גם העלאות מסוימות מהמארח למכולה - שימושי מאוד, אך כזה שיש להעריך מנקודת מבט של אבטחה.

התצורה של "אפשר רינדור מואץ על ידי חומרה" מאפשר שימוש ב-GPU דרך vGPU כדי לשפר את ביצועי הגרפיקה, במיוחד בעת הפעלת וידאו ותוכן כבד. אם אין חומרה תואמת זמינה, Application Guard יחזור לרינדור CPU. עם זאת, הפעלת אפשרות זו במכשירים עם מנהלי התקנים לא אמינים עלולה להגביר את הסיכון למארח.

ישנה גם הנחיה עבור לאפשר גישה למצלמה ולמיקרופון בתוך המכולה. הפעלתה מאפשרת ליישומים הפועלים תחת MDAG להשתמש במכשירים אלה, מה שמאפשר שיחות וידאו או ועידות מסביבות מבודדות, אם כי היא גם פותחת את הדלת לעקיפת הרשאות סטנדרטיות אם המכולה נפגעת.

מדיניות נוספת מאפשרת Application Guard השתמש ברשויות אישור בסיס ספציפיות של המארחפעולה זו מעבירה למכולה את האישורים שצוינה טביעת האצבע שלהם. אם אפשרות זו מושבתת, המכולה לא תירש את האישורים הללו, מה שעשוי לחסום חיבורים לשירותים פנימיים מסוימים אם הם מסתמכים על הרשאות פרטיות.

לבסוף, האפשרות של "אפשר אירועי ביקורת" זה גורם לרישום אירועי מערכת שנוצרים במכולה ולירושה של מדיניות ביקורת מכשירים, כך שצוות האבטחה יוכל לעקוב אחר מה שקורה בתוך Application Guard מיומני המארח.

אינטגרציה עם מסגרות תמיכה והתאמה אישית

כאשר משהו משתבש ב-Application Guard, המשתמש רואה תיבת דו-שיח שגיאה כברירת מחדל, זה כולל רק תיאור של הבעיה וכפתור לדיווח עליה למיקרוסופט דרך מרכז המשוב. עם זאת, ניתן להתאים אישית חוויה זו כדי להקל על תמיכה פנימית.

על המסלול Administrative Templates\Windows Components\Windows Security\Enterprise Customization ישנה מדיניות שהמנהל יכול להשתמש בה הוסף פרטי קשר לשירות התמיכהקישורים פנימיים או הוראות קצרות. בדרך זו, כאשר עובד רואה את השגיאה, הוא ידע מיד למי לפנות או אילו צעדים לנקוט.

שאלות נפוצות ובעיות נפוצות עם Application Guard

השימוש ב-Application Guard מייצר קומץ לא מבוטל של שאלות חוזרות ונשנות בפריסות בעולם האמיתי, במיוחד בכל הנוגע לביצועים, תאימות והתנהגות רשת.

אחת השאלות הראשונות היא האם ניתן להפעיל זאת ב מכשירים עם זיכרון RAM של 4 ג'יגה-בייט בלבדלמרות שישנם תרחישים שבהם זה עשוי לעבוד, בפועל הביצועים בדרך כלל סובלים במידה ניכרת, מכיוון שהקונטיינר הוא למעשה מערכת הפעלה נוספת הפועלת במקביל.

נקודה רגישה נוספת היא אינטגרציה עם פרוקסי רשת וסקריפטים של PACהודעות כגון "לא ניתן לפענח כתובות URL חיצוניות מדפדפן MDAG: ERR_CONNECTION_REFUSED" או "ERR_NAME_NOT_RESOLVED" בעת גישה לקובץ PAC שנכשלת בדרך כלל מצביעות על בעיות תצורה בין המכולה, ה-proxy וכללי הבידוד.

ישנן גם סוגיות הקשורות ל עורכי שיטות קלט (IME) אינם נתמכים בגרסאות מסוימות של Windows, התנגשויות עם מנהלי התקנים של הצפנת דיסק או פתרונות בקרת התקנים מונעות מהגורם המכיל לסיים את טעינתו.

חלק מהמנהלים נתקלים בשגיאות כגון "שגיאה_במגבלת_דיסק_וירטואלי" אם ישנן מגבלות הקשורות לדיסקים וירטואליים, או כשלים בהשבתת טכנולוגיות כגון היפר-הליכים שמשפיעות בעקיפין על Hyper-V, ובהרחבה, על MDAG.

עולות גם שאלות לגבי האופן שבו לתת אמון רק בתת-דומיינים מסוימים, בנוגע למגבלות גודל רשימת דומיינים או כיצד להשבית את ההתנהגות לפיה לשונית המארח נסגרת אוטומטית בעת ניווט לאתר שנפתח בתוך המכולה.

Application Guard, מצב IE, Chrome ו-Office

בסביבות שבהן ה- מצב IE ב-Microsoft EdgeApplication Guard נתמך, אך מיקרוסופט אינה צופה שימוש נרחב בתכונה במצב זה. מומלץ לשמור את מצב IE עבור [יישומים/שימושים ספציפיים]. אתרים פנימיים מהימנים ולהשתמש ב-MDAG רק עבור אתרים הנחשבים חיצוניים ולא מהימנים.

חשוב לוודא זאת כל האתרים שתצורתם נקבעה במצב IEהרשת, יחד עם כתובות ה-IP המשויכות אליה, חייבת להיכלל גם במדיניות בידוד הרשת כמשאבים מהימנים. אחרת, התנהגות בלתי צפויה עלולה להתרחש בעת שילוב שתי הפונקציות.

בנוגע לכרום, משתמשים רבים שואלים האם זה הכרחי התקנת הרחבת Application Guardהתשובה היא לא: הפונקציונליות משולבת באופן טבעי ב-Microsoft Edge, ותוסף Chrome הישן אינו נתמך בעת עבודה עם Edge.

עבור מסמכי Office, Application Guard מאפשר פתיחת קבצי Word, Excel ו-PowerPoint במכל מבודד כאשר קבצים נחשבים כלא מהימנים, ובכך מונעים ממאקרו זדוני או וקטורי תקיפה אחרים להגיע למארח. ניתן לשלב הגנה זו עם תכונות אחרות של Defender ומדיניות אמון קבצים.

יש אפילו אפשרות מדיניות קבוצתית המאפשרת למשתמשים "לסמוך" על קבצים מסוימים שנפתחו ב-Application Guard, כך שהם יטופלו כבטוחים ויוצאים מהקונטיינר. יש לנהל יכולת זו בזהירות כדי למנוע אובדן היתרון של הבידוד.

הורדות, לוח כתיבה, מועדפים ותוספים: חוויית משתמש

מנקודת מבטו של המשתמש, חלק מהשאלות המעשיות ביותר סובבות סביב מה מותר ומה אסור לעשות בתוך המיכלבמיוחד עם הורדות, העתקה/הדבקה ותוספים.

ב-Windows 10 Enterprise 1803 וגירסאות מאוחרות יותר (עם ניואנסים בהתאם למהדורה), זה אפשרי לאפשר הורדת מסמכים מהמכולה למארח אפשרות זו לא הייתה זמינה בגרסאות קודמות או בגרסאות מסוימות של מהדורות כמו Pro, למרות שניתן היה להדפיס ל-PDF או XPS ולשמור את התוצאה במכשיר המארח.

בנוגע ללוח הגזירים, מדיניות החברה עשויה לאפשר זאת תמונות בפורמט BMP וטקסט מועתקים אל הסביבה המבודדת וממנה. אם עובדים מתלוננים שאינם יכולים להעתיק תוכן, בדרך כלל יהיה צורך לבחון מחדש את המדיניות הזו.

משתמשים רבים שואלים גם מדוע הם לא רואים את המועדפים שלהם או את התוספים שלהם בסשן Edge תחת Application Guard. זה בדרך כלל נובע מכך שסנכרון סימניות מושבת או שמדיניות ההרחבות ב-MDAG אינה מופעלת. לאחר התאמה של אפשרויות אלו, הדפדפן במכולה יכול לרשת סימניות ותוספים מסוימים, תמיד עם המגבלות שהוזכרו קודם לכן.

ישנם אפילו מקרים בהם הרחבה מופיעה אך "לא עובדת". אם היא מסתמכת על רכיבים מקוריים לטיפול בהודעות, פונקציונליות זו לא תהיה זמינה בתוך המכולה, וההרחבה תציג התנהגות מוגבלת או לא פעילה לחלוטין.

ביצועי גרפיקה, HDR ותאוצת חומרה

נושא נוסף שעולה לעתים קרובות הוא של הפעלת וידאו ותכונות מתקדמות כגון HDR בתוך Application Guard. כאשר פועל על Hyper-V, למכולה אין תמיד גישה ישירה ליכולות GPU.

כדי שהפעלה של HDR תפעל כהלכה בסביבה מבודדת, יש צורך ש- האצת חומרה של vGPU מופעלת באמצעות מדיניות הרינדור המואץ. אחרת, המערכת תסתמך על המעבד, ואפשרויות מסוימות כמו HDR לא יופיעו בהגדרות הנגן או באתר.

אפילו כאשר האצה מופעלת, אם חומרת הגרפיקה אינה נחשבת מאובטחת או תואמת מספיק, Application Guard עשוי חזרה אוטומטית לעיבוד תוכנהמה שמשפיע על הנזילות וצריכת הסוללה במחשבים ניידים.

פריסות מסוימות הראו בעיות עם פיצול TCP ותנגשויות עם שירותי VPN שלעולם לא נראה שהם קמים לפעולה כאשר תעבורה עוברת דרך המכולה. במקרים אלה, בדרך כלל יש צורך לבדוק את מדיניות הרשת, את ה-MTU, את תצורת ה-proxy, ולפעמים להתאים את האופן שבו MDAG משתלב עם רכיבי אבטחה אחרים שכבר מותקנים.

תמיכה, אבחון ודיווח על אירועים

כאשר, למרות הכל, מתעוררות בעיות שלא ניתן לפתור באופן פנימי, מיקרוסופט ממליצה פתיחת פנייה ספציפית לתמיכה עבור Microsoft Defender Application Guard. חשוב לאסוף מידע מראש מדף האבחון, מיומני אירועים קשורים ופרטי התצורה שהוחלו על המכשיר.

השימוש בדף edge://application-guard-internals, בשילוב עם ה- אירועי ביקורת מופעלים והפצת כלים כגון wdagtool.exeבדרך כלל זה מספק לצוות התמיכה מספיק נתונים כדי לאתר את מקור הבעיה, בין אם מדובר במדיניות מוגדרת בצורה גרועה, התנגשות עם מוצר אבטחה אחר או מגבלת חומרה.

בנוסף לכל זה, משתמשים יכולים להתאים אישית הודעות שגיאה ופרטי קשר בתיבת הדו-שיח של התמיכה הטכנית של אבטחת Windows, מה שמקל עליהם למצוא את הפתרון הנכון. אל תתקעו בלי לדעת למי לפנות כאשר המיכל לא מצליח להתחיל לפעול או לא נפתח כצפוי.

בסך הכל, Microsoft Defender Application Guard מציע שילוב רב עוצמה של בידוד חומרה, בקרת מדיניות מפורטת וכלי אבחון אשר, כאשר משתמשים בהם כראוי, יכולים להפחית משמעותית את הסיכון הכרוך בגלישה באתרים לא מהימנים או פתיחת מסמכים ממקורות מפוקפקים מבלי לפגוע בפרודוקטיביות היומיומית.