Kā soli pa solim lietot Microsoft Defender Application Guard

Ja strādājat ar sensitīvu informāciju vai katru dienu pārlūkojat aizdomīgas tīmekļa vietnes, Microsoft Defender lietojumprogrammu aizsargs (MDAG) Tā ir viena no tām Windows funkcijām, kas var radīt atšķirību starp biedējošu situāciju un katastrofu. Tā nav tikai vēl viena pretvīrusu programma, bet gan papildu slānis, kas izolē draudus no jūsu sistēmas un datiem.

Turpmākajās rindās jūs skaidri redzēsiet Kas īsti ir Application Guard, kā tas darbojas iekšēji, kādās ierīcēs to var izmantot un kā to konfigurēt? Mēs aplūkosim gan vienkāršus, gan uzņēmumu izvietojumus. Mēs arī pārskatīsim prasības, grupu politikas, bieži pieļautās kļūdas un dažādus bieži uzdotos jautājumus, kas rodas, uzsākot darbu ar šo tehnoloģiju.

Kas ir Microsoft Defender Application Guard un kā tas darbojas?

Microsoft Defender Application Guard ir uzlabota drošības funkcija, kas paredzēta, lai Izolējiet neuzticamas tīmekļa vietnes un dokumentus virtuālā konteinerā Balstīts uz Hyper-V. Tā vietā, lai mēģinātu bloķēt katru uzbrukumu atsevišķi, tā izveido nelielu "vienreizlietojamu datoru", kurā ievieto aizdomīgo materiālu.

Šis konteiners darbojas a atsevišķi no galvenās operētājsistēmasar savu aizsargātu Windows instanci un bez tiešas piekļuves failiem, akreditācijas datiem vai uzņēmuma iekšējiem resursiem. Pat ja ļaunprātīgai vietnei izdodas izmantot pārlūkprogrammas vai Office ievainojamību, kaitējums paliek šajā izolētajā vidē.

Microsoft Edge gadījumā Application Guard nodrošina, ka jebkurš domēns, kas nav atzīmēts kā uzticams Tas tiek automātiski atvērts šajā konteinerā. Office gadījumā tas pats notiek ar Word, Excel un PowerPoint dokumentiem, kas nāk no avotiem, kurus organizācija neuzskata par drošiem.

Galvenais ir tas, ka šī izolācija ir aparatūras tipa: Hyper-V izveido neatkarīgu vidi no resursdatora, kas ievērojami samazina iespēju, ka uzbrucējs pāriet no izolētās sesijas uz reālo sistēmu, nozog uzņēmuma datus vai izmanto saglabātos akreditācijas datus.

Turklāt konteiners tiek uzskatīts par anonīmu vidi: Tas nemanto lietotāja sīkfailus, paroles vai sesijas.Tas ievērojami apgrūtina dzīvi uzbrucējiem, kuri paļaujas uz viltošanas vai sesijas zādzības metodēm.

Ieteicamie ierīču veidi, ko izmantot Application Guard

Lai gan Application Guard tehniski var darboties dažādos scenārijos, tas ir īpaši izstrādāts korporatīvās vides un pārvaldītās ierīcesMicrosoft izšķir vairākus iekārtu veidus, kuros MDAG ir visnoderīgākā.

Pirmajā vietā ir domēnam pievienots uzņēmuma darbvirsmasTos parasti pārvalda, izmantojot Configuration Manager vai Intune. Tie ir tradicionāli biroja datori ar standarta lietotājiem, kas ir savienoti ar vadu korporatīvo tīklu, kur risks galvenokārt rodas ikdienas interneta pārlūkošanas dēļ.

Tad mums ir korporatīvie klēpjdatoriTās arī ir domēnam pievienotas un centralizēti pārvaldītas ierīces, taču tās izveido savienojumu ar iekšējiem vai ārējiem Wi-Fi tīkliem. Šeit risks palielinās, jo ierīce atstāj kontrolēto tīklu un ir pakļauta Wi-Fi tīklam viesnīcās, lidostās vai mājas tīklos.

Vēl viena grupa ir BYOD (Bring Your Own Device — paņem līdzi savu ierīci) klēpjdatori. Personīgais aprīkojums, kas nepieder uzņēmumam, bet tiek pārvaldīts izmantojot tādus risinājumus kā Intune. Tie parasti ir lietotāju rokās ar lokālā administratora privilēģijām, kas palielina uzbrukuma virsmu un padara pievilcīgāku izolācijas izmantošanu piekļuvei korporatīvajiem resursiem.

Visbeidzot, ir arī pilnībā nepārvaldītas personīgās ierīcesTās ir tīmekļa vietnes, kas nepieder nevienam domēnam un kurās lietotājam ir absolūta kontrole. Šādos gadījumos Application Guard var izmantot atsevišķā režīmā (īpaši pārlūkprogrammā Edge), lai nodrošinātu papildu aizsardzības slāni, apmeklējot potenciāli bīstamas tīmekļa vietnes.

Nepieciešamās Windows versijas un licencēšana

Pirms sākat jebko konfigurēt, ir svarīgi to skaidri saprast. Kuros Windows izdevumos var izmantot Microsoft Defender Application Guard? un ar kādām licencēšanas tiesībām.

Par Edge savrupais režīms (t. i., izmantojot Application Guard tikai kā pārlūkprogrammas smilškasti bez uzlabotas uzņēmuma pārvaldības), tiek atbalstīts operētājsistēmā Windows:

• Windows pro
• Windows Enterprise
• Windows Pro Education / SE
• Windows Izglītība

Šajā scenārijā MDAG licences tiesības tiek piešķirtas, ja jums ir tādas licences kā Windows Pro/Pro Education/SE, Windows Enterprise E3 vai E5 un Windows Education A3 vai A5Praksē daudzos profesionālos datoros ar Windows Pro šo funkciju jau var aktivizēt pamata lietošanai.

Par perifērijas uzņēmuma režīms un korporatīvā administrēšana (ja tiek izmantotas padziļinātas direktīvas un sarežģītāki scenāriji), atbalsts tiek samazināts:

• Windows Enterprise y Windows Izglītība Šajā režīmā tiek atbalstīta lietojumprogrammu aizsardzība.
• Windows Pro un Windows Pro Education/SE Nē Viņiem ir atbalsts šim uzņēmuma variantam.

Attiecībā uz licencēm šī sarežģītākā korporatīvā lietošana prasa Windows Enterprise E3/E5 vai Windows Education A3/A5Ja jūsu organizācija izmanto tikai Pro versiju bez Enterprise abonementiem, jums būs pieejams tikai Edge savrupais režīms.

Sistēmas priekšnosacījumi un saderība

Papildus Windows izdevumam, lai Application Guard darbotos stabili, jums ir jāatbilst šādiem nosacījumiem: virkne tehnisko prasību saistībā ar versiju, aparatūru un virtualizācijas atbalstu.

Runājot par operētājsistēmu, obligāti jāizmanto Windows 10 1809 vai jaunāka versija (2018. gada oktobra atjauninājums) vai līdzvērtīga Windows 11 versija. Tā nav paredzēta serveru SKU vai ievērojami samazinātām versijām; tā ir nepārprotami vērsta uz klientu datoriem.

Aparatūras līmenī iekārtai jābūt iespējota aparatūras virtualizācija (Intel VT-x/AMD-V atbalsts un otrā līmeņa adrešu translēšana, piemēram, SLAT), jo Hyper-V ir galvenā sastāvdaļa izolēta konteinera izveidei. Bez šī slāņa MDAG nevarēs izveidot drošo vidi.

Ir arī svarīgi, lai būtu saderīgi administrēšanas mehānismi Ja plānojat to izmantot centralizēti (piemēram, Microsoft Intune vai Configuration Manager), kā norādīts uzņēmuma programmatūras prasībās. Vienkāršai izvietošanai pietiks ar pašu Windows Security saskarni.

Visbeidzot, paturiet to prātā Lietojumprogrammu aizsargs tiek novecojis. Uzņēmumiem paredzētā pārlūkprogramma Microsoft Edge un atsevišķas API, kas saistītas ar atsevišķām lietojumprogrammām, vairs netiks atjauninātas. Tomēr tā joprojām ir ļoti izplatīta vidēs, kur nepieciešama īstermiņa un vidēja termiņa risku ierobežošana.

Lietošanas gadījums: drošība pretstatā produktivitātei

Viena no klasiskajām problēmām kiberdrošībā ir pareizā līdzsvara atrašana starp lai patiesi aizsargātu, nevis bloķētu lietotājuJa atļaujat tikai dažas "svētīta" tīmekļa vietnes, jūs samazināt risku, bet nogalināt produktivitāti. Ja atvieglojat ierobežojumus, atkrēpošanas līmenis strauji pieaug.

Pārlūkprogramma ir viena no galvenās uzbrukuma virsmas darba, jo tā mērķis ir atvērt neuzticamu saturu no dažādiem avotiem: nezināmām vietnēm, lejupielādēm, trešo pušu skriptiem, agresīvas reklāmas utt. Neatkarīgi no tā, cik ļoti jūs uzlabosiet dzinēju, vienmēr būs jaunas ievainojamības, kuras kāds mēģinās izmantot.

Šajā modelī administrators precīzi nosaka, kurus domēnus, IP diapazonus un mākoņa resursus viņš uzskata par uzticamiem. Viss, kas nav šajā sarakstā, automātiski nonāk konteinerā.Tur lietotājs var pārlūkot tīmekli, nebaidoties, ka pārlūkprogrammas kļūme apdraudēs pārējās iekšējās sistēmas.

Rezultātā darbiniekam ir relatīvi elastīga navigācija, taču ar stingri apsargāta robeža starp to, kas ir neuzticama ārējā pasaule, un to, kas ir korporatīvā vide, kas ir jāaizsargā par katru cenu.

Jaunākās Application Guard funkcijas un atjauninājumi pārlūkprogrammā Microsoft Edge

Visās Microsoft Edge versijās, kuru pamatā ir Chromium, Microsoft ir pievienojis Īpaši uzlabojumi lietojumprogrammu aizsardzībai ar mērķi uzlabot lietotāja pieredzi un piešķirt administratoram lielāku kontroli.

Viena no svarīgākajām jaunajām funkcijām ir bloķēt failu augšupielādi no konteineraKopš Edge 96 izlaišanas organizācijas ir spējušas liegt lietotājiem augšupielādēt dokumentus no savas lokālās ierīces veidlapā vai tīmekļa pakalpojumā izolētas sesijas laikā, izmantojot politiku ApplicationGuardUploadBlockingEnabledTas samazina informācijas noplūdes risku.

Vēl viens ļoti noderīgs uzlabojums ir pasīvais režīms, pieejams kopš Edge 94. Kad politika to aktivizē ApplicationGuardPassiveModeEnabledApplication Guard pārtrauc vietņu saraksta piespiešanu un ļauj lietotājam pārlūkot Edge "parasti", pat ja funkcija paliek instalēta. Tas ir ērts veids, kā sagatavot tehnoloģiju, vēl nepāradresējot datplūsmu.

Ir pievienota arī iespēja sinhronizēt resursdatora favorītus ar konteineruDaudzi klienti pieprasīja šo politiku, lai izvairītos no divām pilnīgi nesaistītām pārlūkošanas pieredzēm. Kopš Edge 91 šī politika ir spēkā. ApplicationGuardFavoritesSyncEnabled Tas ļauj jauniem marķieriem vienādi parādīties izolētajā vidē.

Tīklošanas jomā Edge 91 ietvēra atbalstu marķēt satiksmi, kas atstāj konteineru pateicoties direktīvai ApplicationGuardTrafficIdentificationEnabledTas ļauj uzņēmumiem identificēt un filtrēt šo datplūsmu, izmantojot starpniekserveri, piemēram, lai ierobežotu piekļuvi ļoti nelielam vietņu skaitam, pārlūkojot MDAG.

Divkāršais starpniekserveris, paplašinājumi un citi papildu scenāriji

Dažas organizācijas izmanto Application Guard sarežģītākos izvietojumos, kur tām nepieciešams rūpīgi uzraudzīt konteineru satiksmi un pārlūkprogrammas iespējas šajā izolētajā vidē.

Šādos gadījumos Edge atbalsta dubultā starpniekservera Sākot ar stabilo 84. versiju, konfigurējams, izmantojot direktīvu ApplicationGuardContainerProxyIdeja ir tāda, ka no konteinera nākošā datplūsma tiek maršrutēta caur īpašu starpniekserveri, kas atšķiras no resursdatora izmantotā starpniekservera, kas atvieglo neatkarīgu noteikumu piemērošanu un stingrāku pārbaudi.

Vēl viens atkārtots klientu pieprasījums bija iespēja izmantojiet paplašinājumus konteinera ietvarosKopš Edge 81 versijas tas ir bijis iespējams, tāpēc reklāmu bloķētājus, iekšējos korporatīvos paplašinājumus vai citus rīkus var palaist, ja vien tie atbilst noteiktajām politikām. Ir nepieciešams deklarēt updateURL tīkla izolācijas politikās iekļaut paplašinājumu, lai tas tiktu uzskatīts par neitrālu resursu, kam var piekļūt no Application Guard.

Pieņemtie scenāriji ietver piespiedu paplašinājumu instalēšana resursdatorā Šie paplašinājumi pēc tam parādās konteinerā, ļaujot noņemt konkrētus paplašinājumus vai bloķēt citus, kas drošības apsvērumu dēļ tiek uzskatīti par nevēlamiem. Tomēr tas neattiecas uz paplašinājumiem, kas balstās uz vietējām ziņojumu apstrādes komponentēm. Tie nav saderīgi MDAG ietvaros.

Lai palīdzētu diagnosticēt konfigurācijas vai uzvedības problēmas, specifiska diagnostikas lapa en edge://application-guard-internalsNo turienes jūs varat pārbaudīt, cita starpā, vai konkrētais URL tiek uzskatīts par uzticamu vai nē saskaņā ar lietotājam faktiski piemērotajām politikām.

Visbeidzot, attiecībā uz atjauninājumiem, jaunā Microsoft Edge būs pieejama. Tas arī atjaunina sevi konteinera ietvarosTas izmanto to pašu kanālu un versiju kā resursdatora pārlūkprogramma. Tas vairs nav atkarīgs no operētājsistēmas atjaunināšanas cikla, kā tas bija ar Edge mantoto versiju, kas ievērojami vienkāršo apkopi.

Kā iespējot Microsoft Defender lietojumprogrammu aizsargu operētājsistēmā Windows

Ja vēlaties to palaist saderīgā ierīcē, pirmais solis ir aktivizēt Windows funkciju atbilstošs. Process pamata līmenī ir diezgan vienkāršs.

Ātrākais veids ir atvērt dialoglodziņu Palaist, izmantojot Win + R, rakstīt appwiz.cpl un nospiediet taustiņu Enter, lai pārietu tieši uz paneli “Programmas un līdzekļi”. Tur kreisajā pusē atradīsiet saiti uz “Ieslēgt vai izslēgt Windows līdzekļus”.

Pieejamo komponentu sarakstā jums būs jāatrod ieraksts “Microsoft Defender lietojumprogrammu aizsargs” un atlasiet to. Pēc pieņemšanas sistēma Windows lejupielādēs vai aktivizēs nepieciešamos bināros failus un aicinās jūs restartēt datoru, lai izmaiņas tiktu lietotas.

Pēc restartēšanas saderīgās ierīcēs ar pareizajām Edge versijām jums vajadzētu būt iespējai veikt šādas darbības: Atvērt jaunus logus vai atsevišķas cilnes izmantojot pārlūkprogrammas opcijas vai pārvaldītās vidēs automātiski atbilstoši neuzticamo vietņu saraksta konfigurācijai.

Ja neredzat tādas opcijas kā "Jauns lietojumprogrammu aizsarga logs" vai konteiners neatveras, iespējams, ka Norādījumi, kurus sekojat, iespējams, ir novecojuši.Tas varētu būt tāpēc, ka jūsu Windows izdevums netiek atbalstīts, jums nav iespējots Hyper-V vai jūsu organizācijas politika ir atspējojusi šo funkciju.

Lietojumprogrammu aizsarga konfigurēšana ar grupas politiku

Uzņēmējdarbības vidē katra iekārta netiek konfigurēta manuāli; tā vietā tiek izmantota iepriekš definēta sistēma. grupas politika (GPO) vai konfigurācijas profilus pakalpojumā Intune, lai centralizēti definētu politiku. Application Guard balstās uz diviem galvenajiem konfigurācijas blokiem: tīkla izolāciju un lietojumprogrammai specifiskiem parametriem.

Tīkla izolācijas iestatījumi atrodas sadaļā Computer Configuration\Administrative Templates\Network\Network IsolationŠeit, piemēram, tiek definēti šādi jēdzieni: iekšējo tīklu diapazoni un domēni, kas tiek uzskatīti par uzņēmuma domēniemkas iezīmēs robežu starp to, kas ir uzticams, un to, kas būtu jāizmet miskastē.

Viena no galvenajām politikas nostādnēm ir tāda, ka “Privātā tīkla intervāli lietojumprogrammām”Šajā sadaļā komatiem atdalītā sarakstā ir norādīti IP diapazoni, kas pieder korporatīvajam tīklam. Galapunkti šajos diapazonos tiks atvērti parastajā Edge vidē un nebūs pieejami no Application Guard vides.

Vēl viena svarīga politika ir tāda, ka “Mākonī mitinātu uzņēmuma resursu domēni”kas izmanto sarakstu, kas atdalīts ar rakstzīmi | Lai norādītu organizācijas SaaS domēnus un mākoņpakalpojumus, kas jāuzskata par iekšējiem. Tie tiks atveidoti arī Edge ārpus konteinera.

Visbeidzot, direktīva par “Domēni, kas klasificēti kā personīgie un darba” Tas ļauj deklarēt domēnus, kurus var izmantot gan personīgām, gan biznesa vajadzībām. Šīm vietnēm varēs piekļūt gan no parastās Edge vides, gan no Application Guard, atkarībā no situācijas.

Aizstājējzīmju izmantošana tīkla izolācijas iestatījumos

Lai izvairītos no nepieciešamības rakstīt katru apakšdomēnu atsevišķi, tīkla izolācijas saraksti atbalsta aizstājējzīmes domēna nosaukumosTas ļauj labāk kontrolēt to, kas tiek uzskatīts par uzticamu.

Ja tas ir vienkārši definēts contoso.comPārlūkprogramma uzticēsies tikai šai konkrētajai vērtībai, nevis citiem domēniem, kas to satur. Citiem vārdiem sakot, tā uzskatīs tikai šo literālo vērtību par piederošu uzņēmumam. precīza sakne un ne www.contoso.com ne varianti.

Ja norādīts www.contoso.com, tātad tikai šis konkrētais resursdators tiks uzskatīti par uzticamiem. Citi apakšdomēni, piemēram, shop.contoso.com Tie tiktu atstāti ārpusē un varētu nonākt atkritumu konteinerā.

Ar formātu .contoso.com (punkts pirms) norāda, ka Jebkurš domēns, kas beidzas ar “contoso.com”, ir uzticams.. Tas ietver no contoso.com augšup www.contoso.com vai pat ķēdes, piemēram, spearphishingcontoso.comTāpēc tas jālieto uzmanīgi.

Visbeidzot, ja tas tiek izmantots ..contoso.com (sākuma kols), uzticami ir visi hierarhijas līmeņi, kas atrodas domēna kreisajā pusē, piemēram shop.contoso.com o us.shop.contoso.com, bet Saknes “contoso.com” nav uzticams pats par sevi. Tas ir smalkāks veids, kā kontrolēt to, kas tiek uzskatīts par korporatīvo resursu.

Galvenās Application Guard specifiskās direktīvas

Otrais galvenais iestatījumu kopums atrodas Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application GuardNo šejienes tiek pārvaldīta valsts detalizēta konteinera darbība un ko lietotājs tajā var vai nevar darīt.

Viena no atbilstošākajām politikas nostādnēm ir "Starpliktuves iestatījumi"Tas kontrolē, vai ir iespējama teksta vai attēlu kopēšana un ielīmēšana starp resursdatoru un Application Guard. Pārvaldītajā režīmā varat atļaut kopēšanu tikai no konteinera uz āru, tikai pretējā virzienā vai pat pilnībā atspējot starpliktuvi.

Līdzīgi arī direktīva "Drukāšanas iestatījumi" Tas izlemj, vai saturu var izdrukāt no konteinera un kādos formātos. Varat iespējot drukāšanu PDF, XPS formātā, pievienotajos lokālajos printeros vai iepriekš definētos tīkla printeros vai bloķēt visas drukāšanas iespējas MDAG ietvaros.

Iespēja "Atzīstiet neatlaidību" Šis iestatījums nosaka, vai lietotāja dati (lejupielādētie faili, sīkfaili, izlase utt.) tiek saglabāti starp Application Guard sesijām vai tiek iztīrīti katru reizi, kad vide tiek izslēgta. Iespējojot šo iestatījumu pārvaldītajā režīmā, konteiners var saglabāt šo informāciju turpmākajām sesijām; atspējojot to, katrā startēšanas reizē tiek izveidota praktiski tīra vide.

Ja vēlāk nolemjat pārtraukt noturības atļaušanu, varat izmantot rīku wdagtool.exe ar parametriem cleanup o cleanup RESET_PERSISTENCE_LAYER lai atiestatītu konteineru un atmestu darbinieka ģenerēto informāciju.

Vēl viena svarīga politika ir “Aktivizēt lietojumprogrammu aizsargu pārvaldītajā režīmā”Šajā sadaļā ir norādīts, vai funkcija attiecas uz Microsoft Edge, Microsoft Office vai abiem. Šī politika nestāsies spēkā, ja ierīce neatbilst priekšnosacījumiem vai tai ir konfigurēta tīkla izolācija (izņemot noteiktas jaunākās Windows versijas, kurās tā vairs nav nepieciešama Edge, ja ir instalēti konkrēti zināšanu bāzes atjauninājumi).

Failu koplietošana, sertifikāti, kamera un auditēšana

Papildus iepriekšminētajām politikām ir arī citas direktīvas, kas ietekmē kā konteiners ir saistīts ar resursdatora sistēmu un ar perifērijas ierīcēm.

Politika “Atļaut failu lejupielādi resursdatora operētājsistēmā” Tas izlemj, vai lietotājs var saglabāt no izolētās vides lejupielādētos failus resursdatorā. Kad šī opcija ir iespējota, tā izveido koplietojamu resursu starp abām vidēm, kas arī atļauj noteiktas augšupielādes no resursdatora uz konteineru — ļoti noderīgi, taču tas būtu jāizvērtē no drošības viedokļa.

Konfigurācija “Iespējot aparatūras paātrinātu renderēšanu” Iespējo GPU izmantošanu, izmantojot vGPU, lai uzlabotu grafikas veiktspēju, īpaši atskaņojot video un lielu saturu. Ja nav pieejama saderīga aparatūra, Application Guard atgriezīsies pie CPU renderēšanas. Tomēr šīs opcijas iespējošana ierīcēs ar neuzticamiem draiveriem var palielināt risku resursdatoram.

Ir arī direktīva par atļaut piekļuvi kamerai un mikrofonam konteinera ietvaros. To iespējojot, lietojumprogrammas, kas darbojas MDAG vidē, var izmantot šīs ierīces, tādējādi atvieglojot videozvanus vai konferences no izolētām vidēm, lai gan tas arī paver iespējas apiet standarta atļaujas, ja konteiners tiek apdraudēts.

Cita politika atļauj lietojumprogrammu aizsardzību izmantot konkrētas resursdatora saknes sertifikācijas iestādesTas pārsūta uz konteineru sertifikātus, kuru pirkstu nospiedums ir norādīts. Ja šī funkcija ir atspējota, konteiners šos sertifikātus nemantos, kas var bloķēt savienojumus ar noteiktiem iekšējiem pakalpojumiem, ja tie paļaujas uz privātām iestādēm.

Visbeidzot, iespēja “Atļaut audita notikumus” Tas izraisa konteinerā ģenerēto sistēmas notikumu reģistrēšanu un ierīču audita politiku mantošanu, lai drošības komanda varētu izsekot, kas notiek Application Guard iekšpusē, izmantojot resursdatora žurnālus.

Integrācija ar atbalsta un pielāgošanas sistēmām

Kad lietojumprogrammu aizsardzībā kaut kas noiet greizi, lietotājs redz kļūdas dialoglodziņš Pēc noklusējuma tas ietver tikai problēmas aprakstu un pogu, lai ziņotu par to korporācijai Microsoft, izmantojot atsauksmju centru. Tomēr šo pieredzi var pielāgot, lai atvieglotu iekšējā atbalsta sniegšanu.

Maršrutā Administrative Templates\Windows Components\Windows Security\Enterprise Customization Ir politika, ko administrators var izmantot Pievienot atbalsta dienesta kontaktinformācijuIekšējās saites vai īsas instrukcijas. Tādā veidā, darbiniekam, ieraugot kļūdu, nekavējoties būs jāzina, ar ko sazināties vai kādas darbības veikt.

Bieži uzdotie jautājumi un bieži sastopamas problēmas ar Application Guard

Lietojot Application Guard, rodas diezgan daudz atkārtoti jautājumi reālās pasaules izvietojumos, īpaši attiecībā uz veiktspēju, saderību un tīkla darbību.

Viens no pirmajiem jautājumiem ir, vai to var iespējot ierīces ar tikai 4 GB RAMLai gan ir scenāriji, kad tas varētu darboties, praksē veiktspēja parasti ievērojami cieš, jo konteiners praktiski ir cita paralēli darbojoša operētājsistēma.

Vēl viens jutīgs jautājums ir integrācija ar tīkla starpniekserveri un PAC skriptiZiņojumi, piemēram, “Nevar atrisināt ārējos URL no MDAG pārlūkprogrammas: ERR_CONNECTION_REFUSED” vai “ERR_NAME_NOT_RESOLVED”, kad neizdodas piekļūt PAC failam, parasti norāda uz konfigurācijas problēmām starp konteineru, starpniekserveri un izolācijas noteikumiem.

Ir arī jautājumi, kas saistīti ar IME (ievades metožu redaktori) netiek atbalstīti Dažās Windows versijās konflikti ar disku šifrēšanas draiveriem vai ierīču kontroles risinājumiem neļauj pabeigt konteinera ielādi.

Daži administratori saskaras ar kļūdām, piemēram, “ERROR_VIRTUAL_DISK_LIMITATION” Ja pastāv ar virtuālajiem diskiem saistīti ierobežojumi vai neizdodas atspējot tādas tehnoloģijas kā hiperpavedienu veidošana, kas netieši ietekmē Hyper-V un līdz ar to arī MDAG.

Rodas arī jautājumi par to, kā uzticēties tikai noteiktiem apakšdomēniem, par domēnu saraksta lieluma ierobežojumiem vai to, kā atspējot darbību, kuras dēļ resursdatora cilne automātiski aizveras, pārejot uz vietni, kas tiek atvērta konteinerā.

Lietojumprogrammu aizsargs, IE režīms, Chrome un Office

Vidēs, kur IE režīms pārlūkprogrammā Microsoft EdgeLietojumprogrammu aizsardzība tiek atbalstīta, taču Microsoft neparedz plašu šīs funkcijas izmantošanu šajā režīmā. Ieteicams IE režīmu rezervēt [konkrētām lietojumprogrammām/lietošanas veidiem]. uzticamas iekšējās vietnes un izmantojiet MDAG tikai tām tīmekļa vietnēm, kas tiek uzskatītas par ārējām un neuzticamām.

Ir svarīgi par to pārliecināties visas vietnes konfigurētas IE režīmāTīklam kopā ar tā saistītajām IP adresēm jābūt iekļautām arī tīkla izolācijas politikās kā uzticamiem resursiem. Pretējā gadījumā, apvienojot abas funkcijas, var rasties neparedzēta darbība.

Runājot par Chrome, daudzi lietotāji jautā, vai tas ir nepieciešams. instalēt Application Guard paplašinājumuAtbilde ir nē: funkcionalitāte ir iebūvēta Microsoft Edge, un vecais Chrome paplašinājums nav atbalstīta konfigurācija, strādājot ar Edge.

Office dokumentiem lietojumprogrammu aizsargs ļauj Atveriet Word, Excel un PowerPoint failus izolētā konteinerā kad faili tiek uzskatīti par neuzticamiem, tādējādi novēršot ļaunprātīgu makro vai citu uzbrukumu vektoru nonākšanu resursdatorā. Šo aizsardzību var apvienot ar citām Defender funkcijām un failu uzticamības politikām.

Ir pat grupas politikas opcija, kas ļauj lietotājiem "uzticēties" noteiktiem failiem, kas atvērti programmā Application Guard, lai tie tiktu uzskatīti par drošiem un izietu no konteinera. Šī iespēja ir rūpīgi jāpārvalda, lai nezaudētu izolācijas priekšrocības.

Lejupielādes, starpliktuve, izlase un paplašinājumi: lietotāja pieredze

No lietotāja viedokļa daži no praktiskākajiem jautājumiem ir saistīti ar Ko var un ko nevar darīt konteinera iekšpusēīpaši ar lejupielādēm, kopēšanu/ielīmēšanu un paplašinājumiem.

Operētājsistēmā Windows 10 Enterprise 1803 un jaunākās versijās (ar niansēm atkarībā no izdevuma) tas ir iespējams atļaut dokumentu lejupielādi no konteinera uz resursdatoru Šī opcija nebija pieejama iepriekšējās versijās vai noteiktās izdevumu versijās, piemēram, Pro, lai gan bija iespējams izdrukāt PDF vai XPS formātā un saglabāt rezultātu resursdatora ierīcē.

Attiecībā uz starpliktuvi korporatīvā politika var atļaut to Tiek kopēti attēli BMP formātā un teksts uz un no izolētas vides. Ja darbinieki sūdzas, ka viņi nevar kopēt saturu, šīs politikas parasti ir jāpārskata.

Daudzi lietotāji arī jautā, kāpēc Viņi neredz savus favorītus vai paplašinājumus Edge sesijā sadaļā Application Guard. Tas parasti notiek tāpēc, ka ir atspējota grāmatzīmju sinhronizācija vai MDAG paplašinājumu politika nav iespējota. Kad šīs opcijas ir pielāgotas, konteinerā esošā pārlūkprogramma var mantot grāmatzīmes un noteiktus paplašinājumus, vienmēr ar iepriekš minētajiem ierobežojumiem.

Ir pat gadījumi, kad paplašinājums parādās, bet "nedarbojas". Ja tas balstās uz vietējām ziņojumu apstrādes komponentēm, šī funkcionalitāte nebūs pieejama konteinerā, un paplašinājuma darbība būs ierobežota vai pilnībā nedarbosies.

Grafikas veiktspēja, HDR un aparatūras paātrinājums

Vēl viena tēma, kas bieži tiek apspriesta, ir tā, video atskaņošana un papildu funkcijas, piemēram, HDR Application Guard ietvaros. Darbojoties ar Hyper-V, konteineram ne vienmēr ir tieša piekļuve GPU iespējām.

Lai HDR atskaņošana darbotos pareizi izolētā vidē, ir nepieciešams, lai vGPU aparatūras paātrinājums ir iespējots izmantojot paātrinātas renderēšanas politiku. Pretējā gadījumā sistēma paļausies uz centrālo procesoru, un noteiktas opcijas, piemēram, HDR, netiks rādītas atskaņotāja vai vietnes iestatījumos.

Pat ja paātrinājums ir iespējots, ja grafikas aparatūra netiek uzskatīta par pietiekami drošu vai saderīgu, lietojumprogrammu aizsargs var automātiski atgriezties programmatūras renderēšanas režīmākas ietekmē klēpjdatoru darbību un akumulatora patēriņu.

Dažos izvietojumos ir bijušas problēmas ar TCP fragmentāciju un konflikti ar VPN, kas nekad nešķiet darbspējīgi kad trafika plūsma iet caur konteineru. Šādos gadījumos parasti ir jāpārskata tīkla politikas, MTU, starpniekservera konfigurācija un dažreiz jāpielāgo MDAG integrācija ar citiem jau instalētiem drošības komponentiem.

Atbalsts, diagnostika un incidentu ziņošana

Ja, neskatoties uz visu, rodas problēmas, kuras nevar atrisināt iekšēji, Microsoft iesaka atvērt konkrētu atbalsta pieprasījumu Microsoft Defender Application Guard. Ir svarīgi iepriekš apkopot informāciju no diagnostikas lapas, saistītajiem notikumu žurnāliem un ierīcei lietotās konfigurācijas datiem.

Lapas lietošana edge://application-guard-internals, apvienojumā ar iespējoti audita notikumi un tādu rīku kā izlaišana wdagtool.exeTas parasti sniedz atbalsta komandai pietiekami daudz datu, lai atrastu problēmas avotu, neatkarīgi no tā, vai tā ir slikti definēta politika, konflikts ar citu drošības produktu vai aparatūras ierobežojums.

Papildus tam visam lietotāji var pielāgot kļūdu ziņojumus un kontaktinformāciju Windows drošības tehniskā atbalsta dialoglodziņā, tādējādi atvieglojot pareizā risinājuma atrašanu. Neļaujieties neziņai, pie kā vērsties kad konteiners neiedarbojas vai neatveras, kā paredzēts.

Kopumā Microsoft Defender Application Guard piedāvā jaudīgu aparatūras izolācijas, detalizētas politikas kontroles un diagnostikas rīku kombināciju, kas, pareizi izmantota, var ievērojami samazināt risku, kas saistīts ar neuzticamu vietņu pārlūkošanu vai dokumentu atvēršanu no apšaubāmiem avotiem, neapdraudot ikdienas produktivitāti.