Kaip naudoti „Microsoft Defender Application Guard“ žingsnis po žingsnio

Jei dirbate su slapta informacija arba kasdien naršote įtartinose svetainėse, „Microsoft Defender“ programų apsauga (MDAG) Tai viena iš tų „Windows“ funkcijų, kurios gali nulemti skirtumą tarp išgąsčio ir katastrofos. Tai ne tik dar viena antivirusinė programa, bet ir papildomas sluoksnis, kuris izoliuoja grėsmes nuo jūsų sistemos ir duomenų.

Šiose eilutėse aiškiai matysite Kas tiksliai yra „Application Guard“, kaip ji veikia viduje, kuriuose įrenginiuose ją galima naudoti ir kaip ją konfigūruoti? Aptarsime tiek paprastus, tiek įmonių diegimus. Taip pat peržiūrėsime reikalavimus, grupių politikas, dažniausiai pasitaikančias klaidas ir įvairius dažnai užduodamus klausimus, kurie kyla pradedant dirbti su šia technologija.

Kas yra „Microsoft Defender Application Guard“ ir kaip ji veikia?

„Microsoft Defender Application Guard“ yra pažangi saugos funkcija, skirta Izoliuokite nepatikimas svetaines ir dokumentus virtualiame konteineryje Paremta „Hyper-V“. Užuot bandęs blokuoti kiekvieną ataką po vieną, jis sukuria nedidelį „vienkartinį kompiuterį“, kuriame įdeda įtartiną medžiagą.

Tas konteineris veikia a atskirai nuo pagrindinės operacinės sistemossu savo apsaugota „Windows“ instancija ir be tiesioginės prieigos prie failų, kredencialų ar vidinių įmonės išteklių. Net jei kenkėjiška svetainė sugeba išnaudoti naršyklės ar „Office“ pažeidžiamumą, žala lieka toje izoliuotoje aplinkoje.

„Microsoft Edge“ atveju „Application Guard“ užtikrina, kad bet kuris domenas, kuris nėra pažymėtas kaip patikimas Jis automatiškai atidaromas tame konteineryje. „Office“ atveju tas pats daroma su „Word“, „Excel“ ir „PowerPoint“ dokumentais, gautais iš šaltinių, kurių organizacija nelaiko saugiais.

Svarbiausia, kad ši izoliacija yra aparatinės įrangos tipo: „Hyper-V“ sukuria nepriklausomą aplinką iš pagrindinio kompiuterio, o tai smarkiai sumažina tikimybę, kad užpuolikas iš izoliuotos sesijos pereis į tikrąją sistemą, pavogs įmonės duomenis arba pasinaudos saugomais prisijungimo duomenimis.

Be to, konteineris laikomas anonimine aplinka: Jis nepaveldi vartotojo slapukų, slaptažodžių ar sesijų.Tai labai apsunkina užpuolikų, kurie naudojasi klastojimo ar sesijos vagystės metodais, darbą.

Rekomenduojami įrenginių tipai, skirti naudoti su „Application Guard“

Nors techniškai „Application Guard“ gali veikti įvairiais atvejais, ji specialiai sukurta įmonės aplinkos ir valdomi įrenginiai„Microsoft“ išskiria kelis įrangos tipus, kuriuose MDAG yra prasmingiausias.

Visų pirma yra prie domeno prijungtas įmonės darbalaukisPaprastai jie valdomi naudojant „Configuration Manager“ arba „Intune“. Tai tradiciniai biuro kompiuteriai su standartiniais vartotojais, prijungti prie laidinio įmonės tinklo, kuriame rizika kyla daugiausia dėl kasdienio naršymo internete.

Tada mes turime įmonių nešiojamieji kompiuteriaiTai taip pat prie domeno prijungti ir centralizuotai valdomi įrenginiai, tačiau jie jungiasi prie vidinių arba išorinių „Wi-Fi“ tinklų. Čia rizika padidėja, nes įrenginys palieka kontroliuojamą tinklą ir yra veikiamas „Wi-Fi“ viešbučių, oro uostų ar namų tinkluose.

Kita grupė yra BYOD (angl. Bring Your Own Device) nešiojamieji kompiuteriai. asmeninė įranga, kuri nepriklauso įmonei, bet yra valdoma per tokius sprendimus kaip „Intune“. Paprastai juos valdo vartotojai, turintys vietinio administratoriaus teises, todėl padidėja atakų paviršius ir izoliacijos naudojimas prieigai prie įmonės išteklių tampa patrauklesnis.

Galiausiai yra visiškai nevaldomi asmeniniai įrenginiaiTai svetainės, kurios nepriklauso jokiam domenui ir kuriose vartotojas turi absoliučią kontrolę. Tokiais atvejais „Application Guard“ galima naudoti atskirai (ypač „Edge“), kad būtų užtikrintas papildomas apsaugos sluoksnis lankantis potencialiai pavojingose ​​svetainėse.

Reikalingos „Windows“ versijos ir licencijos

Prieš pradedant ką nors konfigūruoti, svarbu tai aiškiai suprasti. Kuriuose „Windows“ leidimuose galima naudoti „Microsoft Defender Application Guard“? ir su kokiomis licencijavimo teisėmis.

Už Atskiras krašto režimas (t. y. naudojant „Application Guard“ tik kaip naršyklės smėlio dėžę be išplėstinio įmonės valdymo), palaikoma „Windows“ sistemoje:

• „Windows Pro“
• "Windows Enterprise"
• „Windows Pro Education“ / SE
• "Windows" švietimas

Šiuo atveju MDAG licencijos teisės suteikiamos, jei turite tokias licencijas kaip „Windows Pro“ / „Pro Education“ / SE, „Windows Enterprise E3“ arba „E5“ ir „Windows Education A3“ arba „A5“Praktiškai daugelyje profesionalių kompiuterių su „Windows Pro“ šią funkciją jau galima aktyvuoti pagrindiniam naudojimui.

Už krašto įmonės režimas ir įmonės administravimas (kai taikomos išplėstinės direktyvos ir sudėtingesni scenarijai), palaikymas sumažinamas:

• "Windows Enterprise" y "Windows" švietimas Šiuo režimu palaikoma „Application Guard“.
• „Windows Pro“ ir „Windows Pro Education/SE“ ne Jie palaiko šį įmonės variantą.

Kalbant apie licencijas, šiam sudėtingesniam įmonės naudojimui reikia „Windows Enterprise E3/E5“ arba „Windows Education A3/A5“Jei jūsų organizacija naudoja tik „Pro“ be „Enterprise“ prenumeratų, galėsite naudotis tik atskiru „Edge“ režimu.

Sistemos reikalavimai ir suderinamumas

Be „Windows“ leidimo, norint, kad „Application Guard“ veiktų stabiliai, turite atitikti techninių reikalavimų serija susiję su versija, aparatine įranga ir virtualizacijos palaikymu.

Kalbant apie operacinę sistemą, privaloma naudoti „Windows 10 1809“ arba naujesnė versija (2018 m. spalio mėn. atnaujinimas) arba lygiavertė „Windows 11“ versija. Ji nėra skirta serverių SKU ar labai sumažintoms versijoms; ji aiškiai orientuota į klientų kompiuterius.

Aparatinės įrangos lygmeniu įranga turi turėti įjungta aparatinės įrangos virtualizacija (pvz., „Intel VT-x“ / „AMD-V“ palaikymas ir antro lygio adresų vertimas, pvz., SLAT), nes „Hyper-V“ yra pagrindinis komponentas kuriant izoliuotą konteinerį. Be šio sluoksnio MDAG negalės sukurti saugios aplinkos.

Taip pat būtina turėti suderinami administravimo mechanizmai Jei ketinate jį naudoti centralizuotai (pvz., „Microsoft Intune“ arba „Configuration Manager“), kaip išsamiai aprašyta įmonės programinės įrangos reikalavimuose. Paprastiems diegimams pakaks pačios „Windows Security“ sąsajos.

Galiausiai atkreipkite dėmesį į tai „Application Guard“ šiuo metu nebenaudojama. „Microsoft Edge“ verslui ir tam tikros su atskiromis programomis susijusios API nebebus atnaujinamos. Nepaisant to, ji išlieka labai paplitusi aplinkose, kuriose reikalingas trumpalaikis ir vidutinės trukmės rizikos valdymas.

Naudojimo atvejis: saugumas ir produktyvumas

Viena iš klasikinių kibernetinio saugumo problemų yra tinkamos pusiausvyros radimas tarp kad vartotojas būtų tikrai apsaugotas, o ne blokuojamasJei leidžiate tik saujelę „palaimintų“ svetainių, sumažinate riziką, bet sunaikinate produktyvumą. Jei sušvelninate apribojimus, užsikrėtimo lygis smarkiai išauga.

Naršyklė yra viena iš pagrindiniai puolimo paviršiai darbo, nes jo tikslas – atverti nepatikimą turinį iš įvairių šaltinių: nežinomų svetainių, atsisiuntimų, trečiųjų šalių scenarijų, agresyvios reklamos ir kt. Kad ir kiek patobulintumėte variklį, visada atsiras naujų pažeidžiamumų, kuriais kažkas bandys pasinaudoti.

Šiame modelyje administratorius tiksliai apibrėžia, kuriuos domenus, IP diapazonus ir debesies išteklius jis laiko patikimais. Viskas, kas nėra tame sąraše, automatiškai patenka į konteinerįTen vartotojas gali naršyti nebijodamas, kad naršyklės gedimas pakenks likusioms vidinėms sistemoms.

Rezultatas – gana lanksti darbuotojo navigacija, tačiau su griežtai saugoma siena tarp nepatikimo išorinio pasaulio ir įmonės aplinkos, kurią reikia saugoti bet kokia kaina.

Naujausios „Application Guard“ funkcijos ir atnaujinimai „Microsoft Edge“ naršyklėje

Įvairiose „Microsoft Edge“ versijose, pagrįstose „Chromium“, „Microsoft“ pridėjo Konkretūs programų apsaugos patobulinimai siekiant pagerinti naudotojo patirtį ir suteikti administratoriui daugiau kontrolės.

Viena iš svarbių naujų funkcijų yra ta, blokuoti failų įkėlimą iš konteinerioNuo „Edge 96“ versijos organizacijos, naudodamos politiką, galėjo užkirsti kelią vartotojams įkelti dokumentus iš savo vietinio įrenginio į formą ar žiniatinklio paslaugą izoliuotos sesijos metu. ApplicationGuardUploadBlockingEnabledTai sumažina informacijos nutekėjimo riziką.

Dar vienas labai naudingas patobulinimas yra pasyvus režimas, galima įsigyti nuo „Edge 94“. Kai aktyvuojama pagal politiką ApplicationGuardPassiveModeEnabled„Application Guard“ nustoja priverstinai rodyti svetainių sąrašą ir leidžia vartotojui naršyti „Edge“ „įprastai“, net jei funkcija lieka įdiegta. Tai patogus būdas paruošti technologiją dar neperadresuojant srauto.

Taip pat buvo pridėta galimybė sinchronizuoti pagrindinio kompiuterio mėgstamiausius su konteineriuTo prašė daugelis klientų, norėdami išvengti dviejų visiškai nesusijusių naršymo patirčių. Nuo „Edge 91“ ši politika... ApplicationGuardFavoritesSyncEnabled Tai leidžia naujiems žymekliams vienodai atsirasti izoliuotoje aplinkoje.

Tinklų srityje „Edge 91“ įdiegė palaikymą žymėti konteinerį paliekantį eismą dėka direktyvos. ApplicationGuardTrafficIdentificationEnabledTai leidžia įmonėms identifikuoti ir filtruoti tą srautą per tarpinį serverį, pavyzdžiui, apriboti prieigą prie labai nedidelio svetainių rinkinio naršant iš MDAG.

Dvigubas tarpinis serveris, plėtiniai ir kiti išplėstiniai scenarijai

Kai kurios organizacijos naudoja „Application Guard“ sudėtingesniuose diegimuose, kur joms reikia atidžiai stebėti konteinerių srautą ir naršyklės galimybes toje izoliuotoje aplinkoje.

Tokiais atvejais „Edge“ palaiko dvigubas tarpinis serveris Nuo stabilios 84 versijos, konfigūruojama naudojant direktyvą ApplicationGuardContainerProxyIdėja yra ta, kad iš konteinerio gaunamas srautas yra nukreipiamas per konkretų tarpinį serverį, kuris skiriasi nuo pagrindinio kompiuterio naudojamo, todėl lengviau taikyti nepriklausomas taisykles ir griežtesnę patikrą.

Kitas nuolat pasikartojantis klientų prašymas buvo galimybė naudoti plėtinius konteineryjeNuo „Edge 81“ versijos tai tapo įmanoma, todėl reklamos blokatoriai, vidiniai įmonės plėtiniai ar kiti įrankiai gali būti naudojami tol, kol jie atitinka apibrėžtas politikas. Būtina deklaruoti updateURL plėtinio tinklo izoliacijos strategijose, kad jis būtų laikomas neutraliu ištekliumi, pasiekiamu iš „Application Guard“.

Priimtini scenarijai apima priverstinis plėtinių diegimas pagrindiniame kompiuteryje Šie plėtiniai tada atsiranda konteineryje, todėl galima pašalinti konkrečius plėtinius arba blokuoti kitus, kurie saugumo sumetimais laikomi nepageidaujamais. Tačiau tai netaikoma plėtiniams, kurie remiasi vietiniais pranešimų apdorojimo komponentais. Jie nesuderinami MDAG viduje.

Siekiant padėti diagnozuoti konfigūracijos ar veikimo problemas, konkretus diagnostikos puslapis en edge://application-guard-internalsIš ten, be kita ko, galite patikrinti, ar tam tikras URL adresas laikomas patikimu, ar ne, atsižvelgiant į vartotojui faktiškai taikomas taisykles.

Galiausiai, kalbant apie atnaujinimus, naujasis „Microsoft Edge“ Jis taip pat atnaujina save konteineryjeJis naudoja tą patį kanalą ir versiją kaip ir pagrindinė naršyklė. Jis nebepriklauso nuo operacinės sistemos atnaujinimų ciklo, kaip buvo su „Legacy Edge“ versija, todėl priežiūra yra labai paprasta.

Kaip įjungti „Microsoft Defender Application Guard“ sistemoje „Windows“

Jei norite paleisti suderinamame įrenginyje, pirmas žingsnis yra aktyvuoti „Windows“ funkciją atitinkantis. Procesas iš esmės yra gana paprastas.

Greičiausias būdas yra atidaryti dialogo langą „Vykdyti“ su Win + R, Rašyti appwiz.cpl ir paspauskite „Enter“, kad pereitumėte tiesiai į skydelį „Programos ir funkcijos“. Ten, kairėje pusėje, rasite nuorodą „Įjungti arba išjungti „Windows“ funkcijas“.

Galimų komponentų sąraše turėsite rasti įrašą „Microsoft Defender“ programų apsauga ir pasirinkite jį. Patvirtinus, „Windows“ atsisiųs arba įgalins reikiamus dvejetainius failus ir paragins paleisti kompiuterį iš naujo, kad pakeitimai įsigaliotų.

Paleidus iš naujo, suderinamuose įrenginiuose su tinkamomis „Edge“ versijomis turėtumėte galėti Atidaryti naujus langus arba atskirus skirtukus per naršyklės parinktis arba, valdomose aplinkose, automatiškai pagal nepatikimų svetainių sąrašo konfigūraciją.

Jei nematote tokių parinkčių kaip „Naujas programų apsaugos langas“ arba konteineris neatsidaro, gali būti, kad Jūsų vadovaujamos instrukcijos gali būti pasenusios.Taip gali būti todėl, kad jūsų „Windows“ leidimas nepalaikomas, neįgalinta „Hyper-V“ arba jūsų organizacijos politika išjungė šią funkciją.

„Application Guard“ konfigūravimas naudojant grupės politiką

Verslo aplinkoje kiekvienas įrangos vienetas nėra konfigūruojamas rankiniu būdu; vietoj to naudojama iš anksto apibrėžta sistema. grupės politika (GPO) arba konfigūracijos profilius „Intune“, kad būtų galima centralizuotai apibrėžti politiką. „Application Guard“ remiasi dviem pagrindiniais konfigūracijos blokais: tinklo izoliacija ir konkrečioms programoms skirtais parametrais.

Tinklo izoliacijos nustatymai yra Computer Configuration\Administrative Templates\Network\Network IsolationČia, pavyzdžiui, apibrėžiami šie terminai: vidinių tinklų diapazonus ir domenus, laikomus įmonės domenaiskuris žymės ribą tarp to, kas patikima, ir to, kas turėtų būti išmesta į šiukšliadėžę.

Viena iš pagrindinių politikos krypčių yra ta, kad „Privačių tinklų intervalai programoms“Šiame skyriuje kableliais atskirtame sąraše nurodomi IP adresų diapazonai, priklausantys įmonės tinklui. Šiuose diapazonuose esantys galiniai taškai bus atidaryti įprastoje „Edge“ aplinkoje ir nebus pasiekiami iš „Application Guard“ aplinkos.

Kita svarbi politika yra ta, kad „Debesyje talpinamų įmonės išteklių domenai“kuris naudoja sąrašą, atskirtą simboliu | Nurodyti organizacijos SaaS domenus ir debesijos paslaugas, kurios turėtų būti traktuojamos kaip vidinės. Jos taip pat bus teikiamos Edge serveryje už konteinerio ribų.

Galiausiai, direktyva „Domenai, klasifikuojami kaip asmeninės ir darbo sritys“ Tai leidžia deklaruoti domenus, kuriuos galima naudoti tiek asmeniniais, tiek verslo tikslais. Šios svetainės bus pasiekiamos tiek iš įprastos „Edge“ aplinkos, tiek iš „Application Guard“, jei reikia.

Pakaitos simbolių naudojimas tinklo izoliacijos nustatymuose

Kad nereikėtų rašyti kiekvieno subdomeno atskirai, tinklo izoliacijos sąrašai palaiko pakaitos simboliai domenų varduoseTai leidžia geriau kontroliuoti, kas laikoma patikimu.

Jei tai tiesiog apibrėžiama contoso.comNaršyklė pasitikės tik ta konkrečia verte, o ne kitais domenais, kuriuose ji yra. Kitaip tariant, ji laikys tik tą pažodinę reikšmę priklausančia verslui. tiksli šaknis ir ne www.contoso.com nei variantų.

Jei nurodyta www.contoso.com, taigi tik tas konkretus šeimininkas bus laikomi patikimais. Kiti subdomenai, pvz. shop.contoso.com Jie būtų palikti lauke ir galėtų atsidurti šiukšliadėžėje.

Su formatu .contoso.com (taškas prieš) rodo, kad Bet kuris domenas, kuris baigiasi „contoso.com“, yra patikimas. Tai apima nuo contoso.com į viršų www.contoso.com ar net grandines, tokias kaip spearphishingcontoso.comTaigi, jį reikia naudoti atsargiai.

Galiausiai, jei jis naudojamas ..contoso.com (pradinis dvitaškis), patikimi visi hierarchijos lygiai, esantys kairėje nuo domeno, pavyzdžiui shop.contoso.com o us.shop.contoso.com, bet Šakninis „contoso.com“ nėra patikimas savaime. Tai geresnis būdas kontroliuoti tai, kas laikoma įmonės ištekliumi.

Pagrindinės su „Application Guard“ susijusios direktyvos

Antrasis pagrindinis nustatymų rinkinys yra Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application GuardIš čia valdoma šalis išsamus konteinerio elgesys ir ką vartotojas gali arba negali jame daryti.

Viena iš aktualiausių politikos krypčių yra „Mainų srities nustatymai“Tai kontroliuoja, ar galima kopijuoti ir įklijuoti tekstą arba vaizdus tarp pagrindinio kompiuterio ir „Application Guard“. Valdomuoju režimu galite leisti kopijuoti tik iš konteinerio į išorę, tik atvirkštine kryptimi arba net visiškai išjungti iškarpinę.

Panašiai ir direktyva „Spausdinimo nustatymai“ Jis nusprendžia, ar turinį galima spausdinti iš konteinerio ir kokiais formatais. Galite įjungti spausdinimą PDF, XPS formatu, prijungtais vietiniais spausdintuvais arba iš anksto nustatytais tinklo spausdintuvais arba blokuoti visas spausdinimo galimybes MDAG viduje.

Pasirinkimas „Pripažinkite atkaklumą“ Šis nustatymas nustato, ar naudotojo duomenys (atsisiųsti failai, slapukai, parankiniai ir kt.) išsaugomi tarp „Application Guard“ seansų, ar išvalomi kiekvieną kartą, kai aplinka išjungiama. Įjungus šį nustatymą valdomuoju režimu, konteineris gali išsaugoti šią informaciją būsimiems seansams; išjungus jį, kiekvieną kartą paleidžiant aplinka bus praktiškai švari.

Jei vėliau nuspręsite nebeleisti išsaugoti duomenų, galite naudoti įrankį wdagtool.exe su parametrais cleanup o cleanup RESET_PERSISTENCE_LAYER kad iš naujo nustatytumėte konteinerį ir panaikintumėte darbuotojo sugeneruotą informaciją.

Kita svarbi politika yra „Aktyvuoti programų apsaugą valdomu režimu“Šiame skyriuje nurodoma, ar funkcija taikoma „Microsoft Edge“, „Microsoft Office“, ar abiem. Ši politika neįsigalios, jei įrenginys neatitiks būtinųjų reikalavimų arba jame sukonfigūruota tinklo izoliacija (išskyrus tam tikras naujesnes „Windows“ versijas, kuriose jos nebereikia „Edge“, jei įdiegti konkretūs žinių bazės atnaujinimai).

Failų bendrinimas, sertifikatai, kamera ir auditas

Be aukščiau paminėtų politikos krypčių, yra ir kitų direktyvų, kurios turi įtakos kaip konteineris susijęs su pagrindine sistema ir su periferiniais įrenginiais.

Politika „Leisti atsisiųsti failus į pagrindinę operacinę sistemą“ Jis nusprendžia, ar vartotojas gali išsaugoti iš izoliuotos aplinkos atsisiųstus failus pagrindiniame kompiuteryje. Kai šis režimas įjungtas, sukuriamas bendras abiejų aplinkų išteklius, kuris taip pat leidžia tam tikrus įkėlimus iš pagrindinio kompiuterio į konteinerį – labai naudinga, tačiau tai reikėtų įvertinti saugumo požiūriu.

Konfigūracija „Įgalinti aparatinės įrangos spartinamą vaizdavimą“ Įgalina GPU naudojimą per vGPU, siekiant pagerinti grafikos našumą, ypač leidžiant vaizdo įrašus ir didelį turinį. Jei nėra suderinamos aparatinės įrangos, „Application Guard“ grįš prie procesoriaus vaizdavimo. Tačiau įjungus šią parinktį įrenginiuose su nepatikimomis tvarkyklėmis, gali padidėti rizika pagrindiniam kompiuteriui.

Taip pat yra direktyva, skirta leisti prieigą prie kameros ir mikrofono konteinerio viduje. Įjungus jį, MDAG veikiančios programos gali naudoti šiuos įrenginius, taip palengvindamos vaizdo skambučius ar konferencijas iš izoliuotų aplinkų, tačiau tai taip pat atveria galimybes apeiti standartinius leidimus, jei konteineris yra pažeistas.

Kita politika leidžia „Application Guard“ naudoti konkrečias pagrindinio kompiuterio šakninio sertifikavimo institucijasTai perkelia į konteinerį sertifikatus, kurių piršto atspaudas buvo nurodytas. Jei ši funkcija išjungta, konteineris šių sertifikatų nepaveldės, o tai gali blokuoti ryšius su tam tikromis vidinėmis paslaugomis, jei jos priklauso nuo privačių institucijų.

Galiausiai, galimybė „Leisti audito įvykius“ Dėl to konteineryje sugeneruoti sistemos įvykiai yra registruojami, o įrenginių audito strategijos yra paveldimos, kad saugumo komanda galėtų sekti, kas vyksta „Application Guard“ viduje, remdamasi pagrindinių kompiuterių žurnalais.

Integracija su palaikymo ir pritaikymo sistemomis

Kai „Application Guard“ sistemoje kas nors nepavyksta, vartotojas mato klaidos dialogo langas Pagal numatytuosius nustatymus pateikiamas tik problemos aprašymas ir mygtukas, skirtas pranešti apie ją „Microsoft“ per atsiliepimų centrą. Tačiau šią patirtį galima pritaikyti, kad būtų lengviau gauti vidinę pagalbą.

Maršrute Administrative Templates\Windows Components\Windows Security\Enterprise Customization Yra politika, kurią administratorius gali naudoti Pridėti palaikymo tarnybos kontaktinę informacijąVidinės nuorodos arba trumpos instrukcijos. Tokiu būdu, pamatęs klaidą, darbuotojas iš karto žinos, su kuo susisiekti arba kokių veiksmų imtis.

Dažnai užduodami klausimai ir dažniausios problemos, susijusios su programų apsauga

„Application Guard“ naudojimas sukuria nemažai pasikartojantys klausimai realiuose diegimuose, ypač atsižvelgiant į našumą, suderinamumą ir tinklo veikimą.

Vienas pirmųjų klausimų yra tai, ar tai galima įjungti įrenginiai, kuriuose yra tik 4 GB RAMNors yra scenarijų, kai tai gali veikti, praktiškai našumas paprastai labai nukenčia, nes konteineris praktiškai yra kita lygiagrečiai veikianti operacinė sistema.

Kitas jautrus klausimas yra integracija su tinklo tarpiniai serveriai ir PAC scenarijaiTokie pranešimai kaip „Nepavyksta išspręsti išorinių URL adresų iš MDAG naršyklės: ERR_CONNECTION_REFUSED“ arba „ERR_NAME_NOT_RESOLVED“, kai nepavyksta pasiekti PAC failo, paprastai rodo konfigūracijos problemas tarp konteinerio, tarpinio serverio ir izoliacijos taisyklių.

Taip pat yra problemų, susijusių su IME (įvesties metodų redaktoriai) nepalaikomi Kai kuriose „Windows“ versijose konfliktai su disko šifravimo tvarkyklėmis arba įrenginių valdymo sprendimais neleidžia baigti įkelti konteinerio.

Kai kurie administratoriai susiduria su klaidomis, pvz. „ERROR_VIRTUAL_DISK_RIBOJIMAS“ Jei yra su virtualiais diskais susijusių apribojimų arba nepavyksta išjungti tokių technologijų kaip hipersriegimas, kurios netiesiogiai veikia „Hyper-V“ ir, atitinkamai, MDAG.

Taip pat kyla klausimų, kaip pasitikėti tik tam tikrais subdomenais, dėl domenų sąrašo dydžio apribojimų arba kaip išjungti veikimą, kai pagrindinio kompiuterio skirtukas automatiškai užsidaro naršant svetainėje, kuri atidaroma konteineryje.

„Application Guard“, IE režimas, „Chrome“ ir „Office“

Aplinkose, kuriose IE režimas „Microsoft Edge“ naršyklėje„Application Guard“ palaikoma, tačiau „Microsoft“ nesitiki, kad ši funkcija bus plačiai naudojama šiuo režimu. Rekomenduojama IE režimą rezervuoti [konkrečioms programoms / naudojimo atvejams]. patikimos vidinės svetainės ir MDAG naudokite tik toms svetainėms, kurios laikomos išorinėmis ir nepatikimomis.

Svarbu tuo įsitikinti visos svetainės sukonfigūruotos IE režimuTinklas kartu su su juo susijusiais IP adresais taip pat turi būti įtrauktas į tinklo izoliavimo strategijas kaip patikimi ištekliai. Priešingu atveju, derinant abi funkcijas, gali kilti netikėtų problemų.

Kalbant apie „Chrome“, daugelis vartotojų klausia, ar tai būtina įdiegti „Application Guard“ plėtinįAtsakymas yra ne: ši funkcija yra integruota į „Microsoft Edge“, o senasis „Chrome“ plėtinys nėra palaikoma konfigūracija dirbant su „Edge“.

„Office“ dokumentams „Application Guard“ leidžia Atidarykite „Word“, „Excel“ ir „PowerPoint“ failus izoliuotame konteineryje kai failai laikomi nepatikimais, taip užkertant kelią kenkėjiškoms makrokomandoms ar kitiems atakų vektoriams pasiekti pagrindinį kompiuterį. Šią apsaugą galima derinti su kitomis „Defender“ funkcijomis ir failų pasitikėjimo politika.

Yra net grupės politikos parinktis, leidžianti vartotojams „pasitikėti“ tam tikrais „Application Guard“ atidarytais failais, kad jie būtų laikomi saugiais ir išeitų iš konteinerio. Šią galimybę reikėtų valdyti atsargiai, kad neprarastumėte izoliacijos pranašumo.

Atsisiuntimai, iškarpinė, mėgstamiausi ir plėtiniai: naudotojo patirtis

Vartotojo požiūriu, kai kurie praktiškiausi klausimai sukasi apie ką galima ir ko negalima daryti konteinerio vidujeypač su atsisiuntimais, kopijavimu / įklijavimu ir plėtiniais.

„Windows 10 Enterprise 1803“ ir naujesnėse versijose (su niuansais, priklausomai nuo leidimo) tai įmanoma leisti atsisiųsti dokumentus iš konteinerio į pagrindinį kompiuterį Ši parinktis nebuvo prieinama ankstesnėse versijose arba tam tikrose leidimų, pvz., „Pro“, versijose, nors buvo galima spausdinti PDF arba XPS formatu ir išsaugoti rezultatą pagrindiniame įrenginyje.

Kalbant apie iškarpinę, įmonės politika gali leisti, kad BMP formato vaizdai ir tekstas yra kopijuojami į izoliuotą aplinką ir iš jos. Jei darbuotojai skundžiasi, kad negali kopijuoti turinio, šias taisykles paprastai reikia peržiūrėti.

Daugelis vartotojų taip pat klausia, kodėl Jie nemato savo mėgstamiausių ar plėtinių „Edge“ sesijoje, naudojant „Application Guard“. Paprastai taip yra dėl to, kad išjungta žymių sinchronizacija arba neįgalinta MDAG plėtinių politika. Pakoregavus šias parinktis, naršyklė konteineryje gali paveldėti žymes ir tam tikrus plėtinius, visada su anksčiau minėtais apribojimais.

Pasitaiko net atvejų, kai plėtinys rodomas, bet „neveikia“. Jei jis remiasi vietiniais pranešimų apdorojimo komponentais, ši funkcija konteineryje nebus pasiekiama, o plėtinys veiks ribotai arba visiškai neveiks.

Grafikos našumas, HDR ir aparatinės įrangos spartinimas

Kita dažnai iškylanti tema yra ta, vaizdo įrašų atkūrimas ir išplėstinės funkcijos, tokios kaip HDR „Application Guard“ viduje. Kai konteineris veikia „Hyper-V“ aplinkoje, jis ne visada turi tiesioginę prieigą prie GPU galimybių.

Kad HDR atkūrimas tinkamai veiktų izoliuotoje aplinkoje, būtina, kad vGPU aparatinės įrangos spartinimas įjungtas per pagreitinto atvaizdavimo politiką. Priešingu atveju sistema pasikliaus procesoriumi, o tam tikros parinktys, pvz., HDR, nebus rodomos grotuvo ar svetainės nustatymuose.

Net ir įjungus spartinimą, jei grafikos įranga nelaikoma pakankamai saugia ar suderinama, „Application Guard“ gali... automatiškai grįžti prie programinės įrangos atvaizdavimoo tai turi įtakos nešiojamųjų kompiuterių sklandumui ir baterijos sąnaudoms.

Kai kuriuose diegimuose buvo pastebėta problemų dėl TCP fragmentacijos ir konfliktų su VPN, kurie, regis, niekada neįsijungia ir neveikia kai srautas praeina per konteinerį. Tokiais atvejais paprastai reikia peržiūrėti tinklo politiką, MTU, tarpinio serverio konfigūraciją ir kartais pakoreguoti MDAG integraciją su kitais jau įdiegtais saugos komponentais.

Pagalba, diagnostika ir incidentų pranešimai

Kai nepaisant visko kyla problemų, kurių negalima išspręsti viduje, „Microsoft“ rekomenduoja atidaryti konkretų pagalbos užklausą „Microsoft Defender Application Guard“. Svarbu iš anksto surinkti informaciją iš diagnostikos puslapio, susijusių įvykių žurnalų ir įrenginiui pritaikytos konfigūracijos informacijos.

Puslapio naudojimas edge://application-guard-internals, kartu su įgalinti audito įvykiai ir tokių įrankių, kaip išleidimas wdagtool.exePaprastai tai suteikia palaikymo komandai pakankamai duomenų, kad būtų galima nustatyti problemos šaltinį, nesvarbu, ar tai būtų prastai apibrėžta politika, konfliktas su kitu saugos produktu, ar aparatinės įrangos apribojimas.

Be viso to, vartotojai gali tinkinti klaidų pranešimus ir kontaktinę informaciją „Windows“ saugos techninės pagalbos dialogo lange, kad jiems būtų lengviau rasti tinkamą sprendimą. Neužstrigkite nežinodami, į ką kreiptis kai konteineris neužsiveda arba neatsidaro taip, kaip tikėtasi.

Apskritai „Microsoft Defender Application Guard“ siūlo galingą aparatinės įrangos izoliacijos, detalios politikos kontrolės ir diagnostikos įrankių derinį, kuris, tinkamai naudojamas, gali gerokai sumažinti riziką, susijusią su naršymu nepatikimose svetainėse arba dokumentų atidarymu iš abejotinų šaltinių, nepakenkiant kasdieniam produktyvumui.