- Microsoft Defender Application Guard mengasingkan laman web dan dokumen yang tidak dipercayai dalam bekas Hyper-V untuk melindungi sistem dan data korporat.
- Pelaksanaannya memerlukan edisi dan lesen Windows tertentu, serta pematuhan dengan keperluan konfigurasi virtualisasi dan rangkaian.
- Keselamatan dan pengalaman pengguna dikawal melalui dasar kumpulan yang mengawal selia papan klip, muat turun, percetakan, sambungan dan akses kepada sumber.
- Alat diagnostik, pengauditan dan sokongan membolehkan pengenalpastian konflik, pengoptimuman prestasi dan pengekalan keseimbangan antara perlindungan dan produktiviti.
Jika anda mengendalikan maklumat sensitif atau melayari laman web yang mencurigakan setiap hari, Pengawal Aplikasi Microsoft Defender (MDAG) Ia merupakan salah satu ciri Windows yang boleh membezakan antara ancaman dan bencana. Ia bukan sekadar program antivirus, tetapi lapisan tambahan yang mengasingkan ancaman daripada sistem dan data anda.
Dalam baris berikut, anda akan melihat dengan jelas Apakah sebenarnya Pengawal Aplikasi, bagaimana ia berfungsi secara dalaman, pada peranti mana anda boleh menggunakannya dan bagaimana anda mengkonfigurasinya? Kami akan merangkumi penggunaan mudah dan perusahaan. Kami juga akan menyemak keperluan, dasar kumpulan, ralat biasa dan pelbagai soalan lazim yang timbul apabila mula menggunakan teknologi ini.
Apakah itu Microsoft Defender Application Guard dan bagaimana ia berfungsi?
Microsoft Defender Application Guard ialah ciri keselamatan lanjutan yang direka untuk Asingkan laman web dan dokumen yang tidak dipercayai dalam bekas maya Berdasarkan Hyper-V. Daripada cuba menyekat setiap serangan satu persatu, ia mencipta "komputer pakai buang" kecil di mana ia meletakkan bahan yang mencurigakan.
Kontena itu berjalan dalam a berasingan daripada sistem pengendalian utamadengan contoh Windowsnya sendiri yang diperkeras dan tiada akses langsung kepada fail, kelayakan atau sumber dalaman syarikat. Walaupun tapak berniat jahat berjaya mengeksploitasi kerentanan pelayar atau Office, kerosakan itu kekal dalam persekitaran terpencil itu.
Dalam kes Microsoft Edge, Application Guard memastikan bahawa mana-mana domain yang tidak ditanda sebagai dipercayai Ia dibuka secara automatik dalam bekas tersebut. Untuk Office, ia melakukan perkara yang sama dengan dokumen Word, Excel dan PowerPoint yang datang daripada sumber yang tidak dianggap selamat oleh organisasi.
Kuncinya ialah pengasingan ini adalah jenis perkakasan: Hyper-V mewujudkan persekitaran yang bebas daripada hos, yang secara drastik mengurangkan kemungkinan penyerang melompat dari sesi terpencil ke sistem sebenar, mencuri data syarikat atau mengeksploitasi kelayakan yang disimpan.
Tambahan pula, bekas tersebut dianggap sebagai persekitaran tanpa nama: Ia tidak mewarisi kuki, kata laluan atau sesi pengguna.Ini menjadikan hidup lebih sukar bagi penyerang yang bergantung pada teknik spoofing atau kecurian sesi.
Jenis peranti yang disyorkan untuk menggunakan Application Guard
Walaupun Application Guard secara teknikalnya boleh berjalan dalam pelbagai senario, ia direka khas untuk persekitaran korporat dan peranti terurusMicrosoft membezakan beberapa jenis peralatan yang mana MDAG paling masuk akal.
Pertama sekali terdapat desktop perusahaan yang disertai domainIni biasanya diuruskan dengan Pengurus Konfigurasi atau Intune. Ia adalah komputer pejabat tradisional, dengan pengguna standard dan disambungkan ke rangkaian korporat berwayar, di mana risikonya datang terutamanya daripada pelayaran internet harian.
Kemudian kita ada komputer riba korporatIni juga merupakan peranti yang disertai domain dan diuruskan secara berpusat, tetapi ia bersambung ke rangkaian Wi-Fi dalaman atau luaran. Di sini, risiko meningkat kerana peranti meninggalkan rangkaian terkawal dan terdedah kepada Wi-Fi di hotel, lapangan terbang atau rangkaian rumah.
Satu lagi kumpulan ialah komputer riba BYOD (Bawa Peranti Anda Sendiri), peralatan peribadi yang bukan milik syarikat tetapi diuruskan melalui penyelesaian seperti Intune. Ia biasanya berada di tangan pengguna dengan keistimewaan pentadbir setempat, yang meningkatkan permukaan serangan dan menjadikan penggunaan pengasingan untuk akses kepada sumber korporat lebih menarik.
Akhirnya, terdapat peranti peribadi yang tidak diurus sepenuhnyaIni adalah laman web yang bukan milik mana-mana domain dan di mana pengguna mempunyai kawalan mutlak. Dalam kes ini, Application Guard boleh digunakan dalam mod kendiri (terutamanya untuk Edge) untuk menyediakan lapisan perlindungan tambahan apabila melawati laman web yang berpotensi berbahaya.
Edisi dan Pelesenan Windows yang Diperlukan
Sebelum anda mula mengkonfigurasi apa-apa, penting untuk menjelaskan perkara ini. Dalam edisi Windows yang manakah anda boleh menggunakan Microsoft Defender Application Guard? dan dengan hak pelesenan apa.
Untuk Mod kendiri tepi (iaitu, menggunakan Application Guard hanya sebagai kotak pasir pelayar tanpa pengurusan perusahaan lanjutan), disokong pada Windows:
- Windows pro
- Windows Enterprise
- Pendidikan Pro Windows / SE
- Pendidikan Windows
Dalam senario ini, hak lesen MDAG diberikan jika anda mempunyai lesen seperti Windows Pro / Pro Education / SE, Windows Enterprise E3 atau E5 dan Windows Education A3 atau A5Dalam praktiknya, pada banyak PC profesional dengan Windows Pro, anda sudah boleh mengaktifkan ciri ini untuk kegunaan asas.
Untuk mod perusahaan pinggir dan pentadbiran korporat (di mana arahan lanjutan dan senario yang lebih kompleks memainkan peranan), sokongan dikurangkan:
- Windows Enterprise y Pendidikan Windows Pengawal Aplikasi disokong dalam mod ini.
- Windows Pro dan Windows Pro Education/SE tidak Mereka mempunyai sokongan untuk varian perusahaan ini.
Berkenaan lesen, penggunaan korporat yang lebih maju ini memerlukan Windows Enterprise E3/E5 atau Windows Education A3/A5Jika organisasi anda hanya menggunakan Pro tanpa langganan Enterprise, anda akan dihadkan kepada mod kendiri Edge.
Prasyarat dan keserasian sistem
Selain edisi Windows, agar Application Guard berfungsi dengan stabil, anda perlu memenuhi satu siri keperluan teknikal berkaitan dengan versi, perkakasan dan sokongan virtualisasi.
Berkenaan sistem pengendalian, adalah wajib untuk digunakan Windows 10 1809 atau lebih baru (Kemas Kini Oktober 2018) atau versi Windows 11 yang setara. Ia tidak bertujuan untuk SKU pelayan atau varian yang sangat kecil skalanya; ia jelas ditujukan kepada komputer klien.
Pada peringkat perkakasan, peralatan mesti mempunyai virtualisasi berasaskan perkakasan didayakan (Sokongan Intel VT-x/AMD-V dan terjemahan alamat peringkat kedua, seperti SLAT), memandangkan Hyper-V ialah komponen utama untuk mencipta bekas terpencil. Tanpa lapisan ini, MDAG tidak akan dapat menyediakan persekitaran selamatnya.
Ia juga penting untuk mempunyai mekanisme pentadbiran yang serasi Jika anda akan menggunakannya secara berpusat (contohnya, Microsoft Intune atau Configuration Manager), seperti yang diperincikan dalam keperluan perisian perusahaan. Untuk penggunaan mudah, antara muka Windows Security itu sendiri sudah memadai.
Akhir sekali, ambil perhatian bahawa Application Guard sedang dalam proses untuk ditamatkan penggunaannya. Untuk Microsoft Edge untuk perniagaan, dan API tertentu yang berkaitan dengan aplikasi kendiri tidak akan lagi dikemas kini. Walaupun begitu, ia masih sangat lazim dalam persekitaran di mana pembendungan risiko jangka pendek dan sederhana diperlukan.
Kes penggunaan: keselamatan berbanding produktiviti
Salah satu masalah klasik dalam keselamatan siber ialah mencari keseimbangan yang betul antara untuk benar-benar melindungi, bukan untuk menyekat penggunaJika anda hanya membenarkan segelintir laman web yang "diberkati", anda mengurangkan risiko, tetapi anda mengurangkan produktiviti. Jika anda melonggarkan sekatan, tahap pendedahan akan meningkat mendadak.
Pelayar web merupakan salah satu permukaan serangan utama kerja tersebut, kerana tujuannya adalah untuk membuka kandungan yang tidak dipercayai daripada pelbagai sumber: laman web yang tidak diketahui, muat turun, skrip pihak ketiga, pengiklanan yang agresif, dsb. Tidak kira berapa banyak anda menambah baik enjin, akan sentiasa ada kelemahan baharu yang akan cuba dieksploitasi oleh seseorang.
Dalam model ini, pentadbir menentukan dengan tepat domain, julat IP dan sumber awan yang mereka anggap boleh dipercayai. Apa-apa sahaja yang tiada dalam senarai itu akan masuk ke dalam bekas secara automatikDi sana, pengguna boleh menyemak imbas tanpa rasa takut bahawa kegagalan pelayar akan menjejaskan sistem dalaman yang lain.
Hasilnya adalah navigasi yang agak fleksibel untuk pekerja, tetapi dengan sempadan yang dikawal ketat antara dunia luaran yang tidak boleh diharap dan persekitaran korporat yang mesti dilindungi dengan apa jua cara.
Ciri dan kemas kini terkini untuk Application Guard dalam Microsoft Edge
Sepanjang pelbagai versi Microsoft Edge berasaskan Chromium, Microsoft telah menambah Penambahbaikan khusus untuk Pengawal Aplikasi dengan tujuan untuk memperhalusi pengalaman pengguna dan memberi pentadbir lebih banyak kawalan.
Salah satu ciri baharu yang penting ialah menyekat muat naik fail daripada bekasSejak Edge 96, organisasi telah dapat menghalang pengguna daripada memuat naik dokumen daripada peranti setempat mereka ke borang atau perkhidmatan web dalam sesi terpencil, menggunakan dasar tersebut ApplicationGuardUploadBlockingEnabledIni mengurangkan risiko kebocoran maklumat.
Satu lagi penambahbaikan yang sangat berguna ialah mod pasif, tersedia sejak Edge 94. Apabila diaktifkan oleh dasar ApplicationGuardPassiveModeEnabledApplication Guard berhenti memaksa senarai tapak dan membolehkan pengguna melayari Edge "secara normal", walaupun ciri tersebut masih terpasang. Ia merupakan cara mudah untuk menyediakan teknologi tanpa mengalihkan trafik lagi.
Kemungkinan juga telah ditambah segerakkan kegemaran hos dengan bekasIni adalah sesuatu yang diminta oleh ramai pelanggan untuk mengelakkan dua pengalaman melayari yang terputus sambungan sepenuhnya. Sejak Edge 91, dasar ApplicationGuardFavoritesSyncEnabled Ia membolehkan penanda baharu muncul sama rata dalam persekitaran terpencil.
Dalam bidang rangkaian, Edge 91 telah menggabungkan sokongan untuk labelkan trafik yang meninggalkan kontena terima kasih kepada arahan tersebut ApplicationGuardTrafficIdentificationEnabledIni membolehkan syarikat mengenal pasti dan menapis trafik tersebut melalui proksi, contohnya untuk menyekat akses kepada set tapak yang sangat kecil semasa menyemak imbas dari MDAG.
Proksi dwi, sambungan dan senario lanjutan yang lain
Sesetengah organisasi menggunakan Application Guard dalam pelaksanaan yang lebih kompleks di mana mereka memerlukannya pantau trafik kontena dengan teliti dan keupayaan pelayar dalam persekitaran terpencil itu.
Untuk kes ini, Edge mempunyai sokongan untuk proksi berganda Dari versi stabil 84 dan seterusnya, boleh dikonfigurasikan melalui arahan ApplicationGuardContainerProxyIdeanya ialah trafik yang berasal dari kontena dihalakan melalui proksi tertentu, berbeza daripada yang digunakan oleh hos, yang menjadikannya lebih mudah untuk menggunakan peraturan bebas dan pemeriksaan yang lebih ketat.
Satu lagi permintaan berulang daripada pelanggan adalah kemungkinan gunakan sambungan di dalam bekasSejak Edge 81, ini telah menjadi mungkin, jadi penyekat iklan, sambungan korporat dalaman atau alat lain boleh dijalankan selagi ia mematuhi dasar yang ditetapkan. Adalah perlu untuk mengisytiharkan updateURL peluasan dalam dasar pengasingan rangkaian supaya ia dianggap sebagai sumber neutral yang boleh diakses daripada Application Guard.
Senario yang diterima termasuk pemasangan sambungan paksa pada hos Sambungan ini kemudiannya muncul dalam bekas, membolehkan penyingkiran sambungan tertentu atau penyekatan sambungan lain yang dianggap tidak diingini atas sebab keselamatan. Walau bagaimanapun, ini tidak terpakai pada sambungan yang bergantung pada komponen pengendalian mesej natif. Mereka tidak serasi dalam MDAG.
Untuk membantu mendiagnosis masalah konfigurasi atau tingkah laku, halaman diagnostik khusus en edge://application-guard-internalsDari situ, anda boleh menyemak, antara lain, sama ada URL tertentu dianggap boleh dipercayai atau tidak mengikut dasar yang sebenarnya dikenakan kepada pengguna.
Akhir sekali, mengenai kemas kini, Microsoft Edge baharu akan Ia juga mengemas kini dirinya sendiri di dalam bekasIa mengikuti saluran dan versi yang sama seperti pelayar hos. Ia tidak lagi bergantung pada kitaran kemas kini sistem pengendalian, seperti yang berlaku dengan versi Legacy Edge, yang sangat memudahkan penyelenggaraan.
Cara mendayakan Pengawal Aplikasi Microsoft Defender dalam Windows
Jika anda ingin menjalankannya pada peranti yang serasi, langkah pertama ialah aktifkan ciri Windows sepadan. Prosesnya, pada tahap asas, agak mudah.
Cara terpantas ialah membuka kotak dialog Run dengan Win + R, untuk menulis appwiz.cpl dan tekan Enter untuk pergi terus ke panel "Program dan Ciri". Dari sana, di sebelah kiri, anda akan menemui pautan ke "Hidupkan atau matikan ciri Windows".
Dalam senarai komponen yang tersedia, anda perlu mencari entri tersebut “Pengawal Aplikasi Microsoft Defender” dan pilihnya. Setelah menerimanya, Windows akan memuat turun atau mendayakan binari yang diperlukan dan meminta anda memulakan semula komputer anda untuk menggunakan perubahan tersebut.
Selepas dimulakan semula, pada peranti yang serasi dengan versi Edge yang betul, anda sepatutnya dapat Buka tetingkap baharu atau tab terpencil melalui pilihan pelayar atau, dalam persekitaran terurus, secara automatik mengikut konfigurasi senarai tapak yang tidak dipercayai.
Jika anda tidak melihat pilihan seperti "Tetingkap Pengawal Aplikasi Baharu" atau bekas tidak dibuka, ada kemungkinan Arahan yang anda ikuti mungkin sudah ketinggalan zaman.Ini mungkin kerana edisi Windows anda tidak disokong, anda tidak mendayakan Hyper-V atau dasar organisasi anda telah melumpuhkan ciri tersebut.
Mengkonfigurasi Pengawal Aplikasi dengan Dasar Kumpulan
Dalam persekitaran perniagaan, setiap peralatan tidak dikonfigurasikan secara manual; sebaliknya, sistem yang telah ditetapkan digunakan. dasar kumpulan (GPO) atau profil konfigurasi dalam Intune untuk menentukan dasar secara terpusat. Application Guard bergantung pada dua blok konfigurasi utama: pengasingan rangkaian dan parameter khusus aplikasi.
Tetapan pengasingan rangkaian terletak di Computer Configuration\Administrative Templates\Network\Network IsolationDi sinilah, sebagai contoh, perkara berikut ditakrifkan: julat rangkaian dalaman dan domain yang dianggap sebagai domain syarikatyang akan menandakan sempadan antara apa yang boleh dipercayai dan apa yang patut dibuang ke dalam tong sampah.
Salah satu dasar utama ialah "Selang rangkaian peribadi untuk aplikasi"Bahagian ini menyatakan, dalam senarai yang dipisahkan koma, julat IP yang dimiliki oleh rangkaian korporat. Titik akhir dalam julat ini akan dibuka dalam Edge biasa dan tidak akan dapat diakses daripada persekitaran Application Guard.
Satu lagi dasar penting ialah "Domain sumber perusahaan yang dihoskan oleh awan"yang menggunakan senarai yang dipisahkan oleh aksara | Untuk menunjukkan domain SaaS dan perkhidmatan awan organisasi yang harus dianggap sebagai dalaman. Ini juga akan dipaparkan di Edge di luar kontena.
Akhirnya, arahan daripada "Domain dikelaskan sebagai peribadi dan kerja" Ia membolehkan anda mengisytiharkan domain yang boleh digunakan untuk tujuan peribadi dan perniagaan. Laman-laman ini akan boleh diakses daripada persekitaran Edge biasa dan Application Guard, jika sesuai.
Menggunakan kad bebas dalam tetapan pengasingan rangkaian
Untuk mengelakkan daripada perlu menulis setiap subdomain satu persatu, senarai pengasingan rangkaian menyokong aksara kad bebas dalam nama domainIni membolehkan kawalan yang lebih baik terhadap apa yang dianggap boleh dipercayai.
Jika ia ditakrifkan secara ringkas contoso.comPelayar hanya akan mempercayai nilai tertentu itu dan bukan domain lain yang mengandunginya. Dalam erti kata lain, ia hanya akan menganggap nilai literal itu sebagai milik perniagaan. punca yang tepat dan tidak www.contoso.com mahupun varian.
Jika dinyatakan www.contoso.com, begitu hanya hos tertentu itu akan dianggap dipercayai. Subdomain lain seperti shop.contoso.com Mereka akan tersisih dan boleh berakhir di dalam tong sampah.
Dengan format .contoso.com (tempoh sebelumnya) menunjukkan bahawa Mana-mana domain yang berakhir dengan “contoso.com” dipercayai. Ini termasuk daripada contoso.com sehingga www.contoso.com atau rantai seperti spearphishingcontoso.comJadi ia mesti digunakan dengan berhati-hati.
Akhirnya, jika ia digunakan ..contoso.com (titik bertindih awal), semua peringkat hierarki yang terletak di sebelah kiri domain dipercayai, contohnya shop.contoso.com o us.shop.contoso.com, tetapi Akar kata “contoso.com” tidak dipercayai dengan sendirinya. Ia merupakan cara yang lebih baik untuk mengawal apa yang dianggap sebagai sumber korporat.
Arahan khusus Pengawal Aplikasi Utama
Set tetapan utama kedua terletak di Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application GuardDari sinilah negara ditadbir tingkah laku kontena terperinci dan apa yang pengguna boleh atau tidak boleh lakukan di dalamnya.
Salah satu dasar yang paling relevan ialah "Tetapan papan klip"Ini mengawal sama ada menyalin dan menampal teks atau imej antara hos dan Application Guard boleh dilakukan. Dalam mod terurus, anda boleh membenarkan penyalinan hanya dari bekas keluar, hanya dalam arah sebaliknya, atau melumpuhkan papan klip sepenuhnya.
Begitu juga, arahan daripada "Tetapan cetakan" Ia menentukan sama ada kandungan boleh dicetak daripada bekas dan dalam format apa. Anda boleh mendayakan pencetakan ke PDF, XPS, pencetak setempat yang disambungkan atau pencetak rangkaian yang telah ditetapkan atau menyekat semua keupayaan pencetakan dalam MDAG.
Pilihan "Akui kegigihan" Tetapan ini menentukan sama ada data pengguna (fail yang dimuat turun, kuki, kegemaran, dll.) dikekalkan antara sesi Pengawal Aplikasi atau dihapuskan setiap kali persekitaran ditutup. Mendayakan ini dalam mod terurus membolehkan bekas menyimpan maklumat ini untuk sesi akan datang; melumpuhkannya menghasilkan persekitaran yang hampir bersih setiap permulaan.
Jika anda memutuskan untuk berhenti membenarkan kegigihan kemudian, anda boleh menggunakan alat ini wdagtool.exe dengan parameter cleanup o cleanup RESET_PERSISTENCE_LAYER untuk menetapkan semula bekas dan membuang maklumat yang dijana oleh pekerja.
Satu lagi dasar penting ialah "Aktifkan Pengawal Aplikasi dalam mod terurus"Bahagian ini menyatakan sama ada ciri tersebut terpakai pada Microsoft Edge, Microsoft Office atau kedua-duanya. Dasar ini tidak akan berkuat kuasa jika peranti tidak memenuhi prasyarat atau mempunyai pengasingan rangkaian yang dikonfigurasikan (kecuali dalam versi Windows terkini yang mana ia tidak lagi diperlukan untuk Edge jika kemas kini KB tertentu telah dipasang).
Perkongsian fail, sijil, kamera dan pengauditan
Selain daripada dasar-dasar yang dinyatakan di atas, terdapat arahan lain yang mempengaruhi bagaimana bekas itu berkaitan dengan sistem hos dan dengan peranti persisian.
Politik "Benarkan fail dimuat turun ke sistem pengendalian hos" Ia menentukan sama ada pengguna boleh menyimpan fail yang dimuat turun dari persekitaran terpencil ke hos. Apabila diaktifkan, ia mewujudkan sumber yang dikongsi antara kedua-dua persekitaran, yang juga membenarkan muat naik tertentu dari hos ke bekas—sangat berguna, tetapi harus dinilai dari perspektif keselamatan.
Konfigurasi dari "Dayakan pemaparan dipercepat perkakasan" Membolehkan penggunaan GPU melalui vGPU untuk meningkatkan prestasi grafik, terutamanya semasa memainkan video dan kandungan berat. Jika tiada perkakasan yang serasi tersedia, Application Guard akan kembali kepada pemaparan CPU. Walau bagaimanapun, mendayakan pilihan ini pada peranti dengan pemacu yang tidak boleh dipercayai boleh meningkatkan risiko kepada hos.
Terdapat juga arahan untuk benarkan akses kepada kamera dan mikrofon di dalam bekas. Mendayakannya membolehkan aplikasi yang berjalan di bawah MDAG menggunakan peranti ini, memudahkan panggilan video atau persidangan dari persekitaran terpencil, walaupun ia juga membuka pintu untuk memintas kebenaran standard jika bekas dikompromi.
Satu lagi dasar membenarkan Application Guard gunakan pihak berkuasa pensijilan akar hos tertentuIni memindahkan sijil yang cap jarinya telah ditentukan ke bekas. Jika ini dinyahdayakan, bekas tidak akan mewarisi sijil tersebut, yang mungkin menyekat sambungan ke perkhidmatan dalaman tertentu jika ia bergantung pada pihak berkuasa swasta.
Akhirnya, pilihan untuk "Benarkan peristiwa audit" Ia menyebabkan peristiwa sistem yang dijana dalam bekas direkodkan dan dasar audit peranti diwarisi, supaya pasukan keselamatan boleh menjejaki apa yang berlaku di dalam Application Guard daripada log hos.
Integrasi dengan rangka kerja sokongan dan penyesuaian
Apabila berlaku masalah dalam Application Guard, pengguna akan melihat kotak dialog ralat Secara lalai, ini hanya merangkumi penerangan masalah dan butang untuk melaporkannya kepada Microsoft melalui Hab Maklum Balas. Walau bagaimanapun, pengalaman ini boleh disesuaikan untuk memudahkan sokongan dalaman.
Di laluan Administrative Templates\Windows Components\Windows Security\Enterprise Customization Terdapat dasar yang boleh digunakan oleh pentadbir Tambah maklumat hubungan perkhidmatan sokonganPautan dalaman atau arahan ringkas. Dengan cara ini, apabila pekerja melihat ralat tersebut, mereka akan segera tahu siapa yang perlu dihubungi atau langkah yang perlu diambil.
Soalan lazim dan masalah lazim dengan Application Guard
Penggunaan Application Guard menghasilkan segelintir yang baik soalan berulang dalam penggunaan dunia sebenar, terutamanya mengenai prestasi, keserasian dan tingkah laku rangkaian.
Salah satu soalan pertama ialah sama ada ia boleh diaktifkan dalam peranti dengan hanya 4 GB RAMWalaupun terdapat senario di mana ia mungkin berfungsi, dalam praktiknya prestasi biasanya merosot dengan ketara, kerana kontena tersebut boleh dikatakan sebagai sistem pengendalian lain yang berjalan secara selari.
Satu lagi perkara sensitif ialah integrasi dengan proksi rangkaian dan skrip PACMesej seperti “Tidak dapat menyelesaikan URL luaran daripada Pelayar MDAG: ERR_CONNECTION_REFUSED” atau “ERR_NAME_NOT_RESOLVED” apabila mengakses fail PAC gagal biasanya menunjukkan masalah konfigurasi antara bekas, proksi dan peraturan pengasingan.
Terdapat juga isu-isu yang berkaitan dengan IME (editor kaedah input) tidak disokong Dalam versi Windows tertentu, konflik dengan pemacu penyulitan cakera atau penyelesaian kawalan peranti menghalang kontena daripada selesai dimuatkan.
Sesetengah pentadbir menghadapi ralat seperti “RALAT_HAD_CAKAPAN_VIRTUAL” Jika terdapat batasan yang berkaitan dengan cakera maya, atau kegagalan untuk melumpuhkan teknologi seperti hiperthreading yang secara tidak langsung menjejaskan Hyper-V dan, secara lanjutan, MDAG.
Persoalan juga ditimbulkan tentang bagaimana hanya percayai subdomain tertentu, mengenai had saiz senarai domain atau cara melumpuhkan tingkah laku yang mana tab hos ditutup secara automatik apabila menavigasi ke tapak yang dibuka dalam bekas.
Pengawal Aplikasi, mod IE, Chrome dan Office
Dalam persekitaran di mana Mod IE dalam Microsoft EdgeApplication Guard disokong, tetapi Microsoft tidak menjangkakan penggunaan ciri ini secara meluas dalam mod ini. Adalah disyorkan untuk menyimpan mod IE untuk [aplikasi/kegunaan tertentu]. laman web dalaman yang dipercayai dan gunakan MDAG hanya untuk laman web yang dianggap luaran dan tidak dipercayai.
Adalah penting untuk memastikan itu semua tapak dikonfigurasikan dalam mod IERangkaian tersebut, bersama-sama dengan alamat IP yang berkaitan, juga mesti disertakan dalam dasar pengasingan rangkaian sebagai sumber yang dipercayai. Jika tidak, tingkah laku yang tidak dijangka mungkin berlaku apabila menggabungkan kedua-dua fungsi.
Berkenaan Chrome, ramai pengguna bertanya sama ada ia perlu pasang sambungan Pengawal AplikasiJawapannya tidak: fungsi ini disepadukan secara asli ke dalam Microsoft Edge dan sambungan Chrome lama bukanlah konfigurasi yang disokong apabila berfungsi dengan Edge.
Untuk dokumen Office, Application Guard membenarkan Buka fail Word, Excel dan PowerPoint dalam bekas terpencil apabila fail dianggap tidak dipercayai, sekali gus menghalang makro berniat jahat atau vektor serangan lain daripada sampai ke hos. Perlindungan ini boleh digabungkan dengan ciri Defender dan dasar kepercayaan fail yang lain.
Malah terdapat pilihan dasar kumpulan yang membolehkan pengguna "mempercayai" fail tertentu yang dibuka dalam Application Guard, supaya ia dianggap selamat dan keluar dari bekas. Keupayaan ini harus diuruskan dengan teliti untuk mengelakkan kehilangan manfaat pengasingan.
Muat turun, papan keratan, kegemaran dan sambungan: pengalaman pengguna
Dari sudut pandangan pengguna, beberapa soalan paling praktikal berkisar tentang apa yang boleh dan tidak boleh dilakukan di dalam bekasterutamanya dengan muat turun, salin/tampal dan sambungan.
Dalam Windows 10 Enterprise 1803 dan versi yang lebih baharu (dengan nuansa bergantung pada edisi), adalah mungkin benarkan muat turun dokumen daripada bekas ke hos Pilihan ini tidak tersedia dalam versi terdahulu atau dalam binaan edisi tertentu seperti Pro, walaupun ia boleh dicetak ke PDF atau XPS dan menyimpan hasilnya ke peranti hos.
Berkenaan papan klip, dasar korporat mungkin membenarkannya Imej dalam format BMP dan teks disalin ke dan dari persekitaran terpencil. Jika pekerja mengadu bahawa mereka tidak boleh menyalin kandungan, dasar-dasar ini biasanya perlu dikaji semula.
Ramai pengguna juga bertanya mengapa Mereka tidak melihat kegemaran atau sambungan mereka dalam sesi Edge di bawah Application Guard. Ini biasanya disebabkan oleh penyegerakan penanda buku yang dinyahdayakan atau dasar sambungan dalam MDAG tidak diaktifkan. Setelah pilihan ini dilaraskan, pelayar dalam bekas boleh mewarisi penanda buku dan sambungan tertentu, sentiasa dengan batasan yang dinyatakan sebelum ini.
Terdapat juga kes di mana sambungan muncul tetapi "tidak berfungsi." Jika ia bergantung pada komponen pengendalian mesej natif, fungsi tersebut tidak akan tersedia dalam bekas dan sambungan tersebut akan menunjukkan tingkah laku yang terhad atau tidak berfungsi sepenuhnya.
Prestasi grafik, HDR dan pecutan perkakasan
Satu lagi topik yang sering dibangkitkan ialah tentang main balik video dan ciri-ciri lanjutan seperti HDR dalam Application Guard. Apabila dijalankan pada Hyper-V, kontena tidak selalunya mempunyai akses langsung kepada keupayaan GPU.
Agar main balik HDR berfungsi dengan betul dalam persekitaran terpencil, adalah perlu bahawa Pecutan perkakasan vGPU diaktifkan melalui dasar pemaparan dipercepatkan. Jika tidak, sistem akan bergantung pada CPU dan pilihan tertentu seperti HDR tidak akan muncul dalam tetapan pemain atau laman web.
Walaupun pecutan diaktifkan, jika perkakasan grafik tidak dianggap cukup selamat atau serasi, Application Guard mungkin kembali secara automatik ke pemaparan perisianyang mempengaruhi kelancaran dan penggunaan bateri dalam komputer riba.
Sesetengah penggunaan telah menunjukkan masalah dengan pemecahan TCP dan konflik dengan VPN yang nampaknya tidak pernah berfungsi apabila trafik melalui kontena. Dalam kes tersebut, biasanya perlu menyemak dasar rangkaian, MTU, konfigurasi proksi dan kadangkala melaraskan cara MDAG berintegrasi dengan komponen keselamatan lain yang telah dipasang.
Sokongan, diagnosis dan pelaporan insiden
Apabila, meskipun begitu, timbul masalah yang tidak dapat diselesaikan secara dalaman, Microsoft mengesyorkan buka tiket sokongan tertentu untuk Microsoft Defender Application Guard. Adalah penting untuk mengumpulkan maklumat terlebih dahulu daripada halaman diagnostik, log peristiwa berkaitan dan butiran konfigurasi yang digunakan pada peranti.
Penggunaan halaman tersebut edge://application-guard-internals, digabungkan dengan peristiwa audit yang didayakan dan pengeluaran alat-alat seperti wdagtool.exeIa biasanya menyediakan pasukan sokongan dengan data yang mencukupi untuk mencari punca masalah, sama ada dasar yang ditakrifkan dengan buruk, konflik dengan produk keselamatan lain atau batasan perkakasan.
Selain semua ini, pengguna boleh menyesuaikan mesej ralat dan maklumat hubungan dalam kotak dialog sokongan teknikal Keselamatan Windows, menjadikannya lebih mudah bagi mereka untuk mencari penyelesaian yang betul. Jangan tersekat tanpa tahu hendak berpaling kepada siapa apabila bekas gagal dihidupkan atau tidak terbuka seperti yang dijangkakan.
Secara keseluruhannya, Microsoft Defender Application Guard menawarkan gabungan pengasingan perkakasan, kawalan dasar terperinci dan alat diagnostik yang hebat yang, apabila digunakan dengan betul, dapat mengurangkan risiko yang berkaitan dengan melayari laman web yang tidak dipercayai atau membuka dokumen daripada sumber yang meragukan dengan ketara tanpa menjejaskan produktiviti harian.
Penulis yang bersemangat tentang dunia bait dan teknologi secara umum. Saya suka berkongsi pengetahuan saya melalui penulisan, dan itulah yang akan saya lakukan dalam blog ini, menunjukkan kepada anda semua perkara yang paling menarik tentang alat, perisian, perkakasan, trend teknologi dan banyak lagi. Matlamat saya adalah untuk membantu anda mengemudi dunia digital dengan cara yang mudah dan menghiburkan.