Stapsgewijze handleiding voor het gebruik van Microsoft Defender Application Guard

Als u met gevoelige informatie werkt of dagelijks verdachte websites bezoekt, Microsoft Defender Application Guard (MDAG) Het is een van die Windows-functies die het verschil kunnen maken tussen een schrikmoment en een ramp. Het is niet zomaar een antivirusprogramma, maar een extra laag die bedreigingen isoleert van uw systeem en gegevens.

In de volgende regels zult u het duidelijk zien. Wat is Application Guard precies, hoe werkt het intern, op welke apparaten kunt u het gebruiken en hoe configureert u het? We behandelen zowel eenvoudige als bedrijfsbrede implementaties. We bespreken ook de vereisten, groepsbeleid, veelvoorkomende fouten en diverse veelgestelde vragen die zich voordoen bij het gebruik van deze technologie.

Wat is Microsoft Defender Application Guard en hoe werkt het?

Microsoft Defender Application Guard is een geavanceerde beveiligingsfunctie die is ontworpen om Isoleer onbetrouwbare websites en documenten in een virtuele container. Gebaseerd op Hyper-V. In plaats van elke aanval afzonderlijk te blokkeren, creëert het een kleine "wegwerpcomputer" waarop het verdachte materiaal wordt geplaatst.

Die container draait in een los van het hoofdbesturingssysteemmet een eigen, beveiligde Windows-installatie en zonder directe toegang tot bestanden, inloggegevens of interne bedrijfsbronnen. Zelfs als een kwaadwillende website erin slaagt een kwetsbaarheid in een browser of Office te misbruiken, blijft de schade beperkt tot die geïsoleerde omgeving.

In het geval van Microsoft Edge zorgt Application Guard ervoor dat elk domein dat niet als vertrouwd is gemarkeerd Het wordt automatisch geopend binnen die container. Voor Office-bestanden geldt hetzelfde voor Word-, Excel- en PowerPoint-documenten die afkomstig zijn van bronnen die de organisatie niet als veilig beschouwt.

Het belangrijkste is dat deze isolatie van hardwarematige aard is: Hyper-V creëert een onafhankelijke omgeving. vanaf de host, wat de mogelijkheid drastisch verkleint dat een aanvaller vanuit de geïsoleerde sessie toegang krijgt tot het echte systeem, bedrijfsgegevens steelt of opgeslagen inloggegevens misbruikt.

Bovendien wordt de container behandeld als een anonieme omgeving: Het neemt de cookies, wachtwoorden of sessies van de gebruiker niet over.Dit maakt het leven een stuk moeilijker voor aanvallers die gebruikmaken van spoofing- of sessiediefstaltechnieken.

Aanbevolen apparaattypen voor gebruik met Application Guard

Hoewel Application Guard technisch gezien in diverse scenario's kan draaien, is het specifiek ontworpen voor bedrijfsomgevingen en beheerde apparatenMicrosoft onderscheidt verschillende soorten apparatuur waarvoor MDAG het meest geschikt is.

Allereerst zijn er de domein-gekoppelde bedrijfsdesktopDeze worden doorgaans beheerd met Configuration Manager of Intune. Het zijn traditionele kantoorcomputers met standaardgebruikers, aangesloten op het bekabelde bedrijfsnetwerk, waar het risico voornamelijk voortkomt uit dagelijks internetgebruik.

Dan hebben wij de zakelijke laptopsDit zijn ook apparaten die aan een domein zijn gekoppeld en centraal worden beheerd, maar ze maken verbinding met interne of externe wifi-netwerken. Hier neemt het risico toe, omdat het apparaat het gecontroleerde netwerk verlaat en wordt blootgesteld aan wifi in hotels, luchthavens of thuisnetwerken.

Een andere groep zijn BYOD-laptops (Bring Your Own Device). persoonlijke apparatuur die niet van het bedrijf is, maar wel onder beheer valt via oplossingen zoals Intune. Deze systemen zijn meestal in handen van gebruikers met lokale beheerdersrechten, wat het aanvalsoppervlak vergroot en het gebruik van isolatie voor toegang tot bedrijfsbronnen aantrekkelijker maakt.

Ten slotte zijn er de volledig onbeheerde persoonlijke apparatenDit zijn websites die niet aan een domein zijn gekoppeld en waar de gebruiker volledige controle over heeft. In deze gevallen kan Application Guard in de zelfstandige modus worden gebruikt (met name voor Edge) om een ​​extra beschermingslaag te bieden bij het bezoeken van potentieel gevaarlijke websites.

Vereiste Windows-versies en licenties

Voordat je begint met configureren, is het belangrijk dat dit duidelijk is. In welke Windows-versies kunt u Microsoft Defender Application Guard gebruiken? en met welke licentierechten.

Voor Edge-standalone-modus (d.w.z. Application Guard alleen gebruiken als een browser-sandbox zonder geavanceerd bedrijfsbeheer) wordt ondersteund op Windows:

• Windows pro
• Windows Enterprise
• Windows Pro Education / SE
• Windows Onderwijs

In dit scenario worden MDAG-licentierechten verleend als u beschikt over licenties zoals Windows Pro / Pro Education / SE, Windows Enterprise E3 of E5 en Windows Education A3 of A5In de praktijk kun je op veel professionele pc's met Windows Pro de functie al activeren voor basisgebruik.

Voor geavanceerde bedrijfsmodus en bedrijfsadministratie (waarbij geavanceerde richtlijnen en complexere scenario's een rol spelen) wordt de ondersteuning beperkt:

• Windows Enterprise y Windows Onderwijs Application Guard wordt in deze modus ondersteund.
• Windows Pro en Windows Pro Education/SE geen Ze bieden ondersteuning voor deze bedrijfsvariant.

Wat licenties betreft, vereist dit meer geavanceerde zakelijke gebruik het volgende: Windows Enterprise E3/E5 of Windows Education A3/A5Als uw organisatie alleen Pro gebruikt zonder Enterprise-abonnementen, bent u beperkt tot de zelfstandige Edge-modus.

Systeemvereisten en compatibiliteit

Naast de Windows-editie moet Application Guard ook aan de volgende vereisten voldoen om stabiel te kunnen werken: een reeks technische vereisten Dit heeft betrekking op de versie, de hardware en de ondersteuning voor virtualisatie.

Wat het besturingssysteem betreft, is het verplicht om te gebruiken Windows 10 1809 of later (Oktober 2018-update) of een gelijkwaardige versie van Windows 11. Deze update is niet bedoeld voor server-SKU's of sterk uitgeklede varianten; hij is duidelijk gericht op clientcomputers.

Op hardwareniveau moet de apparatuur beschikken over: hardwarematige virtualisatie mogelijk gemaakt (Ondersteuning voor Intel VT-x/AMD-V en adresvertaling op het tweede niveau, zoals SLAT), aangezien Hyper-V de belangrijkste component is voor het creëren van de geïsoleerde container. Zonder deze laag kan MDAG zijn beveiligde omgeving niet opzetten.

Het is ook essentieel om te beschikken over compatibele toedieningsmechanismen Als u het centraal wilt gebruiken (bijvoorbeeld via Microsoft Intune of Configuration Manager), zoals beschreven in de vereisten voor bedrijfssoftware. Voor eenvoudige implementaties volstaat de Windows Beveiligingsinterface zelf.

Merk ten slotte op dat: Application Guard wordt geleidelijk uitgefaseerd. Voor Microsoft Edge voor bedrijven geldt dat bepaalde API's die aan standalone-applicaties zijn gekoppeld, niet langer worden bijgewerkt. Desondanks blijft het zeer gangbaar in omgevingen waar risicobeheersing op de korte en middellange termijn nodig is.

Gebruiksscenario: veiligheid versus productiviteit

Een van de klassieke problemen in cyberbeveiliging is het vinden van de juiste balans tussen Om de gebruiker daadwerkelijk te beschermen, niet om hem te blokkeren.Als je slechts een handvol 'goedgekeurde' websites toestaat, verlaag je het risico, maar schaad je de productiviteit. Als je de beperkingen versoepelt, schiet de kans op besmetting omhoog.

De browser is een van de belangrijkste aanvalsoppervlakken Dat is nu eenmaal de taak, want het is bedoeld om onbetrouwbare content uit een breed scala aan bronnen te ontsluiten: onbekende websites, downloads, scripts van derden, agressieve reclame, enzovoort. Hoezeer je de engine ook verbetert, er zullen altijd nieuwe kwetsbaarheden zijn die iemand zal proberen te misbruiken.

In dit model definieert de beheerder nauwkeurig welke domeinen, IP-bereiken en cloudbronnen hij of zij als betrouwbaar beschouwt. Alles wat niet op die lijst staat, gaat automatisch naar de container.Daar kan de gebruiker browsen zonder bang te hoeven zijn dat een browserstoring de rest van de interne systemen in gevaar brengt.

Het resultaat is een relatief flexibele navigatie voor de medewerker, maar met een zwaar bewaakte grens tussen een onbetrouwbare buitenwereld en een bedrijfsomgeving die koste wat kost beschermd moet worden.

Recente functies en updates voor Application Guard in Microsoft Edge

In de verschillende versies van Microsoft Edge die op Chromium gebaseerd zijn, heeft Microsoft steeds nieuwe functies toegevoegd. Specifieke verbeteringen voor Application Guard met als doel de gebruikerservaring te verbeteren en de beheerder meer controle te geven.

Een van de belangrijke nieuwe functies is de Het blokkeren van het uploaden van bestanden vanuit de container.Sinds Edge 96 kunnen organisaties gebruikers ervan weerhouden documenten vanaf hun lokale apparaat naar een formulier of webservice te uploaden binnen een geïsoleerde sessie, met behulp van het beleid. ApplicationGuardUploadBlockingEnabledDit verkleint het risico op informatielekken.

Een andere zeer nuttige verbetering is de passieve modus, beschikbaar sinds Edge 94. Wanneer geactiveerd door het beleid ApplicationGuardPassiveModeEnabledApplication Guard stopt met het afdwingen van de lijst met sites en stelt de gebruiker in staat om Edge "normaal" te gebruiken, ook al blijft de functie geïnstalleerd. Het is een handige manier om de technologie gereed te hebben zonder het verkeer nog om te leiden.

De mogelijkheid is ook toegevoegd synchroniseer de favorieten van de host met de containerDit was iets waar veel klanten om vroegen om te voorkomen dat ze twee volledig losgekoppelde browse-ervaringen zouden hebben. Sinds Edge 91 is het beleid ApplicationGuardFavoritesSyncEnabled Het maakt het mogelijk dat nieuwe markers gelijkmatig verschijnen binnen de geïsoleerde omgeving.

Op het gebied van netwerken bood Edge 91 ondersteuning voor label het verkeer dat de container verlaat dankzij de richtlijn ApplicationGuardTrafficIdentificationEnabledDit stelt bedrijven in staat om dat verkeer via een proxy te identificeren en te filteren, bijvoorbeeld om de toegang tot een zeer klein aantal sites te beperken bij het browsen vanaf MDAG.

Dubbele proxy, extensies en andere geavanceerde scenario's

Sommige organisaties gebruiken Application Guard in complexere implementaties waar ze dat nodig hebben. Het containerverkeer nauwlettend in de gaten houden. en de mogelijkheden van de browser binnen die geïsoleerde omgeving.

Voor deze gevallen biedt Edge ondersteuning voor dubbele proxy Vanaf stabiele versie 84 is dit configureerbaar via de richtlijn. ApplicationGuardContainerProxyHet idee is dat verkeer afkomstig van de container via een specifieke proxy wordt geleid, die verschilt van de proxy die door de host wordt gebruikt. Dit maakt het gemakkelijker om onafhankelijke regels en strengere inspecties toe te passen.

Een andere terugkerende vraag van klanten was de mogelijkheid om extensies gebruiken binnen de containerSinds Edge 81 is dit mogelijk, waardoor adblockers, interne bedrijfsextensies of andere tools kunnen worden uitgevoerd zolang ze voldoen aan het gedefinieerde beleid. Het is noodzakelijk om dit te declareren. updateURL De uitbreiding in het netwerkisolatiebeleid zorgt ervoor dat het als een neutrale bron wordt beschouwd die toegankelijk is vanuit Application Guard.

De geaccepteerde scenario's omvatten de geforceerde installatie van extensies op de host Deze extensies verschijnen vervolgens in de container, waardoor het mogelijk is om specifieke extensies te verwijderen of andere te blokkeren die om veiligheidsredenen ongewenst worden geacht. Dit geldt echter niet voor extensies die afhankelijk zijn van native berichtverwerkingscomponenten. Ze zijn niet compatibel binnen MDAG.

Om configuratie- of gedragsproblemen te diagnosticeren, een specifieke diagnostische pagina en edge://application-guard-internalsDaar kunt u onder andere controleren of een bepaalde URL als betrouwbaar wordt beschouwd volgens het beleid dat daadwerkelijk op de gebruiker van toepassing is.

Tot slot, wat betreft updates, zal de nieuwe Microsoft Edge het volgende bieden: Het werkt zichzelf ook bij binnen de container.Het volgt hetzelfde kanaal en dezelfde versie als de hostbrowser. Het is niet langer afhankelijk van de updatecyclus van het besturingssysteem, zoals het geval was bij de Legacy-versie van Edge, wat het onderhoud aanzienlijk vereenvoudigt.

Hoe schakel ik Microsoft Defender Application Guard in Windows in?

Als je het op een compatibel apparaat wilt uitvoeren, is de eerste stap: activeer de Windows-functie overeenkomend. Het proces is in de basis vrij eenvoudig.

De snelste manier is om het dialoogvenster 'Uitvoeren' te openen met Win + R, schrijven appwiz.cpl Druk op Enter om direct naar het paneel 'Programma's en functies' te gaan. Daar vindt u aan de linkerkant de link 'Windows-functies in- of uitschakelen'.

In de lijst met beschikbare componenten moet u de betreffende vermelding vinden. “Microsoft Defender Application Guard” en selecteer het. Na acceptatie zal Windows de benodigde binaire bestanden downloaden of inschakelen en u vragen uw computer opnieuw op te starten om de wijzigingen toe te passen.

Na het opnieuw opstarten zou het op compatibele apparaten met de juiste versie van Edge moeten werken. Nieuwe vensters of afzonderlijke tabbladen openen via browseropties of, in beheerde omgevingen, automatisch op basis van de configuratie van de lijst met onbetrouwbare sites.

Als je geen opties ziet zoals 'Nieuw Application Guard-venster' of als de container niet opent, is het mogelijk dat... De instructies die u volgt, zijn mogelijk verouderd.Dit kan komen doordat uw Windows-versie niet wordt ondersteund, Hyper-V niet is ingeschakeld of het beleid van uw organisatie de functie heeft uitgeschakeld.

Application Guard configureren met groepsbeleid

In zakelijke omgevingen wordt elk apparaat niet handmatig geconfigureerd; in plaats daarvan wordt een vooraf gedefinieerd systeem gebruikt. groepsbeleid (GPO) Of configuratieprofielen in Intune om beleid centraal te definiëren. Application Guard is gebaseerd op twee belangrijke configuratieblokken: netwerkisolatie en applicatiespecifieke parameters.

De netwerkisolatie-instellingen bevinden zich in Computer Configuration\Administrative Templates\Network\Network IsolationHier worden bijvoorbeeld de volgende zaken gedefinieerd: Interne netwerkbereiken en -domeinen worden beschouwd als bedrijfsdomeinen.Dit zal de grens aangeven tussen wat betrouwbaar is en wat in de prullenbak gegooid kan worden.

Een van de belangrijkste beleidsmaatregelen is die van “Privénetwerkintervallen voor applicaties”In dit gedeelte worden, in een door komma's gescheiden lijst, de IP-bereiken gespecificeerd die tot het bedrijfsnetwerk behoren. Eindpunten in deze bereiken worden geopend in de normale Edge-omgeving en zijn niet toegankelijk vanuit de Application Guard-omgeving.

Een ander belangrijk beleid is dat van “In de cloud gehoste bedrijfsresourcedomeinen”die gebruikmaakt van een lijst gescheiden door het teken | Hiermee worden SaaS-domeinen en cloudservices van de organisatie aangegeven die als intern moeten worden beschouwd. Deze worden ook in Edge buiten de container weergegeven.

Ten slotte, de richtlijn van “Domeinen ingedeeld als persoonlijk en werk” Hiermee kunt u domeinen declareren die zowel voor persoonlijke als zakelijke doeleinden gebruikt kunnen worden. Deze sites zijn, afhankelijk van de situatie, toegankelijk vanuit zowel de normale Edge-omgeving als Application Guard.

Het gebruik van jokertekens in netwerkisolatie-instellingen

Om te voorkomen dat elk subdomein afzonderlijk moet worden geschreven, bieden netwerkisolatielijsten ondersteuning. jokertekens in domeinnamenDit maakt een betere controle mogelijk van wat als betrouwbaar wordt beschouwd.

Als het eenvoudigweg gedefinieerd is contoso.comDe browser vertrouwt alleen die specifieke waarde en niet andere domeinen die deze bevatten. Met andere woorden, de browser beschouwt alleen die letterlijke waarde als behorend tot een bedrijf. de exacte wortel en niet www.contoso.com noch varianten.

Indien gespecificeerd www.contoso.com, dus alleen die specifieke gastheer wordt als betrouwbaar beschouwd. Andere subdomeinen zoals shop.contoso.com Ze zouden achtergelaten worden en uiteindelijk in de vuilcontainer belanden.

Met het formaat .contoso.com (een punt ervoor) geeft aan dat Elk domein dat eindigt op “contoso.com” wordt als betrouwbaar beschouwd.. Dit omvat van contoso.com omhoog www.contoso.com of zelfs ketens zoals spearphishingcontoso.comHet moet dus met zorg worden gebruikt.

Tot slot, als het gebruikt wordt ..contoso.com (beginpunt dubbele punt), alle niveaus van de hiërarchie links van het domein worden vertrouwd, bijvoorbeeld shop.contoso.com o us.shop.contoso.comMaar De root "contoso.com" wordt niet vertrouwd. Op zichzelf staand. Het is een verfijndere manier om te controleren wat als een bedrijfsmiddel wordt beschouwd.

Hoofdtoepassing: bewakerspecifieke richtlijnen

De tweede belangrijke set instellingen bevindt zich in Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application GuardVanuit hier wordt het land bestuurd. gedetailleerd containergedrag en wat de gebruiker er wel of niet mee kan doen.

Een van de meest relevante beleidsmaatregelen is die van “Instellingen van het klembord”Hiermee wordt bepaald of het kopiëren en plakken van tekst of afbeeldingen tussen de host en Application Guard mogelijk is. In de beheerde modus kunt u kopiëren alleen vanuit de container toestaan, alleen in de omgekeerde richting, of zelfs het klembord volledig uitschakelen.

Op dezelfde manier geldt de richtlijn van “Printinstellingen” Het bepaalt of inhoud vanuit de container kan worden afgedrukt en in welke formaten. U kunt afdrukken naar PDF, XPS, aangesloten lokale printers of vooraf gedefinieerde netwerkprinters inschakelen, of alle afdrukmogelijkheden binnen MDAG blokkeren.

De keuze “Erken volharding” Deze instelling bepaalt of gebruikersgegevens (gedownloade bestanden, cookies, favorieten, enz.) bewaard blijven tussen Application Guard-sessies of worden verwijderd telkens wanneer de omgeving wordt afgesloten. Door dit in de beheerde modus in te schakelen, kan de container deze informatie bewaren voor toekomstige sessies; door het uit te schakelen, wordt bij elke opstart een vrijwel schone omgeving gecreëerd.

Als u later besluit om het persistentie-effect uit te schakelen, kunt u de tool gebruiken. wdagtool.exe met de parameters cleanup o cleanup RESET_PERSISTENCE_LAYER De container resetten en de door de medewerker gegenereerde informatie verwijderen.

Een ander belangrijk beleid is Activeer Application Guard in beheerde modus.In dit gedeelte wordt gespecificeerd of de functie van toepassing is op Microsoft Edge, Microsoft Office of beide. Dit beleid wordt niet van kracht als het apparaat niet aan de vereisten voldoet of als netwerkisolatie is geconfigureerd (behalve in bepaalde recente versies van Windows, waar dit niet langer vereist is voor Edge als specifieke KB-updates zijn geïnstalleerd).

Bestandsdeling, certificaten, camera en auditing

Naast de bovengenoemde beleidsmaatregelen zijn er nog andere richtlijnen die van invloed zijn. hoe de container zich verhoudt tot het hostsysteem en met de randapparatuur.

Politiek "Sta toe dat bestanden naar het hostbesturingssysteem worden gedownload" Het bepaalt of de gebruiker bestanden die vanuit de geïsoleerde omgeving zijn gedownload, op de host kan opslaan. Indien ingeschakeld, creëert het een gedeelde bron tussen beide omgevingen, waardoor ook bepaalde uploads van de host naar de container mogelijk zijn – erg handig, maar wel iets dat vanuit een beveiligingsperspectief moet worden beoordeeld.

De configuratie van “Hardwareversnelde rendering inschakelen” Hiermee wordt het GPU-gebruik via vGPU ingeschakeld om de grafische prestaties te verbeteren, met name bij het afspelen van video en zware content. Als er geen compatibele hardware beschikbaar is, schakelt Application Guard terug naar CPU-rendering. Het inschakelen van deze optie op apparaten met onbetrouwbare stuurprogramma's kan echter het risico voor de host vergroten.

Er is ook een richtlijn voor Toegang tot camera en microfoon toestaan binnen de container. Door deze functie in te schakelen, kunnen applicaties die onder MDAG draaien deze apparaten gebruiken, waardoor videogesprekken of -conferenties vanuit geïsoleerde omgevingen mogelijk worden. Het biedt echter ook de mogelijkheid om standaardtoegangsrechten te omzeilen als de container wordt gehackt.

Een ander beleid staat Application Guard toe. gebruik specifieke root-certificeringsinstanties voor de hostHiermee worden de certificaten met de opgegeven vingerafdruk naar de container overgedragen. Als deze functie is uitgeschakeld, erft de container deze certificaten niet over, wat verbindingen met bepaalde interne services kan blokkeren als deze afhankelijk zijn van private certificeringsinstanties.

Eindelijk, de optie van “Auditgebeurtenissen toestaan” Hierdoor worden systeemgebeurtenissen die in de container worden gegenereerd, vastgelegd en worden apparaatauditbeleidsregels overgenomen, zodat het beveiligingsteam aan de hand van de hostlogboeken kan volgen wat er binnen Application Guard gebeurt.

Integratie met ondersteunings- en aanpassingsframeworks

Als er iets misgaat in Application Guard, ziet de gebruiker een foutmelding. foutdialoogvenster Standaard bevat dit alleen een beschrijving van het probleem en een knop om het via de Feedback Hub aan Microsoft te melden. Deze ervaring kan echter worden aangepast om interne ondersteuning te vergemakkelijken.

Op de route Administrative Templates\Windows Components\Windows Security\Enterprise Customization Er is een beleid dat de beheerder kan gebruiken. Voeg contactgegevens van de ondersteuningsdienst toe.Interne links of korte instructies. Op deze manier weet een medewerker, wanneer hij of zij de fout ziet, direct met wie contact moet worden opgenomen of welke stappen moeten worden ondernomen.

Veelgestelde vragen en veelvoorkomende problemen met Application Guard

Het gebruik van Application Guard genereert een flink aantal terugkerende vragen in praktijksituaties, met name wat betreft prestaties, compatibiliteit en netwerkgedrag.

Een van de eerste vragen is of het ingeschakeld kan worden in apparaten met slechts 4 GB RAMHoewel er scenario's zijn waarin het zou kunnen werken, lijdt de prestatie in de praktijk meestal aanzienlijk, omdat de container in feite een ander besturingssysteem is dat parallel draait.

Een ander gevoelig punt is de integratie met netwerkproxy's en PAC-scriptsBerichten zoals "Kan externe URL's niet oplossen vanuit MDAG Browser: ERR_CONNECTION_REFUSED" of "ERR_NAME_NOT_RESOLVED" wanneer de toegang tot het PAC-bestand mislukt, duiden meestal op configuratieproblemen tussen de container, de proxy en de isolatieregels.

Er zijn ook problemen die verband houden met IME's (inputmethode-editors) worden niet ondersteund. In bepaalde versies van Windows kunnen conflicten met schijfversleutelingsstuurprogramma's of oplossingen voor apparaatbeheer ervoor zorgen dat de container niet volledig kan worden geladen.

Sommige beheerders ondervinden fouten zoals: “FOUT_VIRTUELE_SCHIJF_LIMIET” Als er beperkingen zijn met betrekking tot virtuele schijven, of als het niet lukt om technologieën zoals hyperthreading uit te schakelen, wat indirect van invloed is op Hyper-V en, bij uitbreiding, op MDAG.

Er worden ook vragen gesteld over hoe Vertrouw alleen bepaalde subdomeinenmet betrekking tot limieten voor de grootte van de domeinlijst of hoe het gedrag uit te schakelen waarbij het tabblad 'Host' automatisch sluit wanneer je naar een site navigeert die in de container wordt geopend.

Applicatiebeveiliging, IE-modus, Chrome en Office

In omgevingen waar de IE-modus in Microsoft EdgeApplication Guard wordt ondersteund, maar Microsoft verwacht geen wijdverspreid gebruik van deze functie in deze modus. Het wordt aanbevolen om de IE-modus te reserveren voor [specifieke toepassingen/gebruiksmogelijkheden]. vertrouwde interne sites Gebruik MDAG alleen voor websites die als extern en onbetrouwbaar worden beschouwd.

Het is belangrijk om ervoor te zorgen dat alle sites geconfigureerd in IE-modusHet netwerk, inclusief de bijbehorende IP-adressen, moet ook als vertrouwde bron worden opgenomen in het netwerkisolatiebeleid. Anders kan er onverwacht gedrag optreden wanneer beide functies worden gecombineerd.

Wat Chrome betreft, vragen veel gebruikers zich af of het nodig is. installeer een Application Guard-extensieHet antwoord is nee: de functionaliteit is standaard geïntegreerd in Microsoft Edge en de oude Chrome-extensie wordt niet ondersteund in combinatie met Edge.

Voor Office-documenten biedt Application Guard de mogelijkheid om dit te doen. Open Word-, Excel- en PowerPoint-bestanden in een aparte container. Wanneer bestanden als onbetrouwbaar worden beschouwd, wordt voorkomen dat kwaadaardige macro's of andere aanvalsvectoren de host bereiken. Deze bescherming kan worden gecombineerd met andere Defender-functies en beleidsregels voor bestandsvertrouwelijkheid.

Er is zelfs een groepsbeleidsoptie waarmee gebruikers bepaalde bestanden die in Application Guard zijn geopend, kunnen "vertrouwen", zodat ze als veilig worden beschouwd en de container verlaten. Deze mogelijkheid moet zorgvuldig worden beheerd om te voorkomen dat het isolatievoordeel verloren gaat.

Downloads, klembord, favorieten en extensies: gebruikerservaring

Vanuit het oogpunt van de gebruiker draaien enkele van de meest praktische vragen om: Wat mag er wel en niet in de container?vooral bij downloads, kopiëren/plakken en extensies.

In Windows 10 Enterprise 1803 en latere versies (met nuances afhankelijk van de editie) is het mogelijk Sta het downloaden van documenten vanuit de container naar de host toe. Deze optie was niet beschikbaar in eerdere versies of in bepaalde builds van edities zoals Pro, hoewel het wel mogelijk was om naar PDF of XPS af te drukken en het resultaat op het hostapparaat op te slaan.

Wat het klembord betreft, kan het bedrijfsbeleid dat toestaan. Afbeeldingen in BMP-formaat en tekst worden gekopieerd. naar en van de geïsoleerde omgeving. Als werknemers klagen dat ze geen content kunnen kopiëren, moeten deze beleidsregels doorgaans worden herzien.

Veel gebruikers vragen zich ook af waarom. Ze zien hun favorieten of hun extensions niet. In de Edge-sessie onder Application Guard. Dit komt meestal doordat de synchronisatie van bladwijzers is uitgeschakeld of doordat het extensiebeleid in MDAG niet is ingeschakeld. Zodra deze opties zijn aangepast, kan de browser in de container bladwijzers en bepaalde extensies overnemen, altijd met de eerder genoemde beperkingen.

Er zijn zelfs gevallen waarin een extensie wel verschijnt, maar "niet werkt". Als de extensie afhankelijk is van native componenten voor berichtafhandeling, is die functionaliteit niet beschikbaar binnen de container en zal de extensie beperkt of volledig niet-werkend gedrag vertonen.

Grafische prestaties, HDR en hardwareversnelling

Een ander onderwerp dat vaak terugkomt, is dat van Videoweergave en geavanceerde functies zoals HDR. binnen Application Guard. Bij gebruik op Hyper-V heeft de container niet altijd directe toegang tot de GPU-functionaliteit.

Om HDR-weergave correct te laten werken in een geïsoleerde omgeving, is het noodzakelijk dat de vGPU-hardwareversnelling is ingeschakeld. via het versnelde renderingbeleid. Anders zal het systeem op de CPU vertrouwen en zullen bepaalde opties, zoals HDR, niet in de speler- of website-instellingen verschijnen.

Zelfs met ingeschakelde hardwareversnelling kan Application Guard, als de grafische hardware niet als voldoende veilig of compatibel wordt beschouwd, mogelijk toch ingrijpen. automatisch terugkeren naar softwarematige weergaveDit heeft gevolgen voor de vloeiendheid en het batterijverbruik van laptops.

Bij sommige implementaties zijn problemen met TCP-fragmentatie en conflicten opgetreden. VPN's die nooit lijken op te starten. Wanneer verkeer door de container gaat, is het meestal nodig om het netwerkbeleid, de MTU, de proxyconfiguratie te controleren en soms de manier waarop MDAG integreert met andere reeds geïnstalleerde beveiligingscomponenten aan te passen.

Ondersteuning, diagnose en incidentrapportage

Wanneer er ondanks alles problemen ontstaan ​​die niet intern kunnen worden opgelost, raadt Microsoft het volgende aan: Open een specifiek supportticket. Voor Microsoft Defender Application Guard is het belangrijk om vooraf informatie te verzamelen via de diagnostische pagina, de bijbehorende gebeurtenislogboeken en details van de configuratie die op het apparaat is toegepast.

Het gebruik van de pagina edge://application-guard-internals, in combinatie met de ingeschakelde auditgebeurtenissen en de release van tools zoals wdagtool.exeHet levert het supportteam doorgaans voldoende gegevens op om de bron van het probleem te achterhalen, of het nu gaat om een ​​slecht gedefinieerd beleid, een conflict met een ander beveiligingsproduct of een hardwarebeperking.

Daarnaast kunnen gebruikers foutmeldingen en contactgegevens aanpassen in het dialoogvenster voor technische ondersteuning van Windows Beveiliging, waardoor ze gemakkelijker de juiste oplossing kunnen vinden. Zorg dat je niet vast komt te zitten omdat je niet weet tot wie je je moet wenden. wanneer de container niet start of niet opent zoals verwacht.

Kortom, Microsoft Defender Application Guard biedt een krachtige combinatie van hardware-isolatie, gedetailleerde beleidscontrole en diagnostische tools die, mits correct gebruikt, het risico van het bezoeken van onbetrouwbare websites of het openen van documenten uit dubieuze bronnen aanzienlijk kunnen verminderen, zonder de dagelijkse productiviteit in gevaar te brengen.