Slik bruker du Microsoft Defender Application Guard trinn for trinn

Hvis du jobber med sensitiv informasjon eller surfer på mistenkelige nettsteder daglig, Microsoft Defender Application Guard (MDAG) Det er en av de Windows-funksjonene som kan utgjøre forskjellen mellom en skrekk og en katastrofe. Det er ikke bare et annet antivirusprogram, men et ekstra lag som isolerer trusler fra systemet og dataene dine.

I de følgende linjene vil du se tydelig Hva er egentlig Application Guard, hvordan fungerer det internt, på hvilke enheter kan du bruke det, og hvordan konfigurerer du det? Vi vil dekke både enkle implementeringer og implementeringer for bedrifter. Vi vil også gjennomgå krav, gruppepolicyer, vanlige feil og diverse ofte stilte spørsmål som oppstår når man begynner å jobbe med denne teknologien.

Hva er Microsoft Defender Application Guard, og hvordan fungerer det?

Microsoft Defender Application Guard er en avansert sikkerhetsfunksjon som er utviklet for å Isoler upålitelige nettsteder og dokumenter i en virtuell container Basert på Hyper-V. I stedet for å prøve å blokkere hvert angrep én etter én, oppretter den en liten «engangsdatamaskin» hvor den legger det mistenkelige materialet.

Den containeren kjører i en separat fra hovedoperativsystemetmed sin egen herdede instans av Windows og ingen direkte tilgang til filer, legitimasjon eller interne bedriftsressurser. Selv om et ondsinnet nettsted klarer å utnytte en sårbarhet i nettleseren eller Office, forblir skaden innenfor det isolerte miljøet.

Når det gjelder Microsoft Edge, sørger Application Guard for at ethvert domene som ikke er merket som klarert Den åpnes automatisk i den beholderen. For Office gjør den det samme med Word-, Excel- og PowerPoint-dokumenter som kommer fra kilder organisasjonen ikke anser som trygge.

Nøkkelen er at denne isolasjonen er av maskinvaretypen: Hyper-V skaper et uavhengig miljø fra verten, noe som drastisk reduserer muligheten for at en angriper hopper fra den isolerte økten til det virkelige systemet, stjeler bedriftsdata eller utnytter lagret legitimasjon.

Videre behandles containeren som et anonymt miljø: Den arver ikke brukerens informasjonskapsler, passord eller økter.Dette gjør livet mye vanskeligere for angripere som er avhengige av forfalskning eller teknikker for økttyveri.

Anbefalte enhetstyper for bruk av Application Guard

Selv om Application Guard teknisk sett kan kjøres i ulike scenarier, er den spesielt utviklet for bedriftsmiljøer og administrerte enheterMicrosoft skiller mellom flere typer utstyr der MDAG gir mest mening.

Først av alt er det domenetilknyttet bedriftsskrivebordDisse administreres vanligvis med Configuration Manager eller Intune. De er tradisjonelle kontordatamaskiner med standardbrukere og koblet til det kablede bedriftsnettverket, hvor risikoen hovedsakelig kommer fra daglig internettsurfing.

Så har vi bedriftens bærbare datamaskinerDisse er også domenetilknyttede og sentralt administrerte enheter, men de kobler seg til interne eller eksterne Wi-Fi-nettverk. Her øker risikoen fordi enheten forlater det kontrollerte nettverket og er eksponert for Wi-Fi på hoteller, flyplasser eller hjemmenettverk.

En annen gruppe er BYOD (Bring Your Own Device) bærbare datamaskiner, personlig utstyr som ikke tilhører selskapet, men som administreres gjennom løsninger som Intune. De er vanligvis i hendene på brukere med lokale administratorrettigheter, noe som øker angrepsflaten og gjør det mer attraktivt å bruke isolasjon for tilgang til bedriftsressurser.

Endelig er det fullstendig uadministrerte personlige enheterDette er nettsteder som ikke tilhører noe domene, og hvor brukeren har absolutt kontroll. I disse tilfellene kan Application Guard brukes i frittstående modus (spesielt for Edge) for å gi et ekstra lag med beskyttelse når man besøker potensielt farlige nettsteder.

Nødvendige Windows-utgaver og lisensiering

Før du begynner å konfigurere noe som helst, er det viktig å være tydelig på dette. I hvilke versjoner av Windows kan du bruke Microsoft Defender Application Guard og med hvilke lisensrettigheter.

For Frittstående modus for Edge (dvs. å bare bruke Application Guard som en nettlesersandkasse uten avansert bedriftsadministrasjon), støttes på Windows:

• Windows pro
• Windows Enterprise
• Windows Pro Education / SE
• Windows Utdanning

I dette scenariet gis MDAG-lisensrettigheter hvis du har lisenser som Windows Pro / Pro Education / SE, Windows Enterprise E3 eller E5 og Windows Education A3 eller A5I praksis kan du på mange profesjonelle PC-er med Windows Pro allerede aktivere funksjonen for grunnleggende bruk.

For Edge Enterprise-modus og bedriftsadministrasjon (der avanserte direktiver og mer komplekse scenarier kommer inn i bildet), er støtten redusert:

• Windows Enterprise y Windows Utdanning Application Guard støttes i denne modusen.
• Windows Pro og Windows Pro Education/SE Nei. De har støtte for denne bedriftsvarianten.

Når det gjelder lisenser, krever denne mer avanserte bedriftsbruken Windows Enterprise E3/E5 eller Windows Education A3/A5Hvis organisasjonen din bare bruker Pro uten Enterprise-abonnementer, vil du være begrenset til Edge frittstående modus.

Systemkrav og kompatibilitet

I tillegg til Windows-utgaven må du oppfylle kravene for at Application Guard skal fungere stabilt. en rekke tekniske krav relatert til versjon, maskinvare og virtualiseringsstøtte.

Når det gjelder operativsystemet, er det obligatorisk å bruke Windows 10 1809 eller nyere (Oppdatering oktober 2018) eller en tilsvarende versjon av Windows 11. Den er ikke beregnet for server-SKU-er eller sterkt nedskalerte varianter; den er tydelig rettet mot klientdatamaskiner.

På maskinvarenivå må utstyret ha maskinvarebasert virtualisering aktivert (Intel VT-x/AMD-V-støtte og adresseoversettelse på andre nivå, som SLAT), siden Hyper-V er nøkkelkomponenten for å opprette den isolerte containeren. Uten dette laget vil ikke MDAG kunne sette opp sitt sikre miljø.

Det er også viktig å ha kompatible administrasjonsmekanismer Hvis du skal bruke det sentralt (for eksempel Microsoft Intune eller Configuration Manager), som beskrevet i kravene til bedriftsprogramvaren. For enkle distribusjoner vil selve Windows Security-grensesnittet være tilstrekkelig.

Til slutt, merk det Application Guard er i ferd med å bli avviklet. For Microsoft Edge for bedrifter, og at visse API-er knyttet til frittstående applikasjoner ikke lenger vil bli oppdatert. Likevel er det fortsatt svært utbredt i miljøer der det er behov for risikokontroll på kort og mellomlang sikt.

Brukstilfelle: sikkerhet kontra produktivitet

Et av de klassiske problemene innen cybersikkerhet er å finne den rette balansen mellom å virkelig beskytte, ikke å blokkere brukerenHvis du bare tillater en håndfull «velsignede» nettsteder, reduserer du risikoen, men du dreper produktiviteten. Hvis du løsner på restriksjonene, skyter eksponeringsnivået i været.

Nettleseren er en av de hovedangrepsflater av jobben, fordi formålet er å åpne upålitelig innhold fra en rekke kilder: ukjente nettsteder, nedlastinger, tredjepartsskript, aggressiv reklame osv. Uansett hvor mye du forbedrer motoren, vil det alltid dukke opp nye sårbarheter som noen vil prøve å utnytte.

I denne modellen definerer administratoren nøyaktig hvilke domener, IP-områder og skyressurser de anser som pålitelige. Alt som ikke er på listen går automatisk til beholderenDer kan brukeren surfe uten frykt for at en nettleserfeil vil sette resten av de interne systemene i fare.

Resultatet er relativt fleksibel navigering for den ansatte, men med en tungt bevoktet grense mellom det som er en upålitelig omverden og det som er et bedriftsmiljø som må beskyttes for enhver pris.

Nylige funksjoner og oppdateringer for Application Guard i Microsoft Edge

Gjennom de ulike versjonene av Microsoft Edge basert på Chromium har Microsoft lagt til Spesifikke forbedringer for Application Guard med mål om å forbedre brukeropplevelsen og gi administratoren mer kontroll.

En av de viktige nye funksjonene er blokkering av filopplastinger fra beholderenSiden Edge 96 har organisasjoner kunnet forhindre brukere i å laste opp dokumenter fra sin lokale enhet til et skjema eller en webtjeneste i en isolert økt, ved hjelp av policyen. ApplicationGuardUploadBlockingEnabledDette reduserer risikoen for informasjonslekkasjer.

En annen svært nyttig forbedring er passiv modus, tilgjengelig siden Edge 94. Når den aktiveres av policyen ApplicationGuardPassiveModeEnabledApplication Guard slutter å tvinge frem nettstedslisten og lar brukeren surfe på Edge «normalt», selv om funksjonen fortsatt er installert. Det er en praktisk måte å ha teknologien klar uten å omdirigere trafikk ennå.

Muligheten for har også blitt lagt til synkroniser vertsfavoritter med containerenDette var noe mange kunder ba om for å unngå to fullstendig frakoblede nettleseropplevelser. Siden Edge 91 har policyen ApplicationGuardFavoritesSyncEnabled Det tillater at nye markører vises likt i det isolerte miljøet.

Innen nettverksområdet har Edge 91 støttet Merk trafikken som forlater containeren takket være direktivet ApplicationGuardTrafficIdentificationEnabledDette lar selskaper identifisere og filtrere trafikken gjennom en proxy, for eksempel for å begrense tilgangen til et svært lite sett med nettsteder når de surfer fra MDAG.

Dobbel proxy, utvidelser og andre avanserte scenarier

Noen organisasjoner bruker Application Guard i mer komplekse distribusjoner der de trenger det følge nøye med på containertrafikken og nettleserens muligheter i det isolerte miljøet.

For disse tilfellene har Edge støtte for dobbel proxy Fra stabil versjon 84 og utover, konfigurerbar via direktivet ApplicationGuardContainerProxyTanken er at trafikk som kommer fra containeren rutes gjennom en spesifikk proxy, forskjellig fra den som brukes av verten, noe som gjør det enklere å anvende uavhengige regler og strengere inspeksjon.

En annen tilbakevendende forespørsel fra kunder var muligheten for bruk utvidelser i containerenSiden Edge 81 har dette vært mulig, slik at annonseblokkeringer, interne bedriftsutvidelser eller andre verktøy kan kjøres så lenge de overholder de definerte retningslinjene. Det er nødvendig å deklarere updateURL av utvidelsen i nettverksisoleringspolicyene, slik at den regnes som en nøytral ressurs som er tilgjengelig fra Application Guard.

De aksepterte scenariene inkluderer tvungen installasjon av utvidelser på verten Disse utvidelsene vises deretter i beholderen, noe som gjør det mulig å fjerne spesifikke utvidelser eller blokkere andre som anses som uønskede av sikkerhetsmessige årsaker. Dette gjelder imidlertid ikke utvidelser som er avhengige av innebygde meldingshåndteringskomponenter. De er ikke kompatible innenfor MDAG.

For å hjelpe med å diagnostisere konfigurasjons- eller atferdsproblemer, en spesifikk diagnostikkside en edge://application-guard-internalsDerfra kan du blant annet sjekke om en gitt URL anses som pålitelig eller ikke i henhold til retningslinjene som faktisk gjelder for brukeren.

Til slutt, angående oppdateringer, vil den nye Microsoft Edge Den oppdaterer seg også selv i containerenDen følger samme kanal og versjon som vertsnettleseren. Den er ikke lenger avhengig av operativsystemets oppdateringssyklus, slik tilfellet var med Legacy-versjonen av Edge, noe som forenkler vedlikeholdet betraktelig.

Slik aktiverer du Microsoft Defender Application Guard i Windows

Hvis du vil kjøre den på en kompatibel enhet, er det første trinnet aktivere Windows-funksjonen tilsvarende. Prosessen er på et grunnleggende nivå ganske enkel.

Den raskeste måten er å åpne dialogboksen Kjør med Win + R, å skrive appwiz.cpl og trykk Enter for å gå direkte til panelet «Programmer og funksjoner». Derfra, på venstre side, finner du lenken til «Slå Windows-funksjoner av eller på».

I listen over tilgjengelige komponenter må du finne oppføringen «Microsoft Defender Application Guard» og velg den. Når du har akseptert, vil Windows laste ned eller aktivere de nødvendige binærfilene og be deg om å starte datamaskinen på nytt for å bruke endringene.

Etter omstart, på kompatible enheter med riktige versjoner av Edge, skal du kunne Åpne nye vinduer eller isolerte faner gjennom nettleseralternativer eller, i administrerte miljøer, automatisk i henhold til konfigurasjonen av listen over uklarerte nettsteder.

Hvis du ikke ser alternativer som «Nytt Application Guard-vindu» eller beholderen ikke åpnes, er det mulig at Instruksjonene du følger kan være utdaterte.Dette kan skyldes at din Windows-utgave ikke støttes, at du ikke har aktivert Hyper-V, eller at organisasjonens policy har deaktivert funksjonen.

Konfigurere Application Guard med gruppepolicy

I forretningsmiljøer konfigureres ikke hvert utstyrsstykke manuelt; i stedet brukes et forhåndsdefinert system. gruppepolicy (GPO) eller konfigurasjonsprofiler i Intune for å definere policy sentralt. Application Guard er avhengig av to hovedkonfigurasjonsblokker: nettverksisolering og applikasjonsspesifikke parametere.

Innstillingene for nettverksisolasjon finnes i Computer Configuration\Administrative Templates\Network\Network IsolationDet er her for eksempel følgende er definert: interne nettverksområder og domener som anses som bedriftsdomenersom vil markere grensen mellom hva som er pålitelig og hva som bør kastes i søpla.

En av de viktigste politikkene er at "Private nettverksintervaller for applikasjoner"Denne delen spesifiserer, i en kommaseparert liste, IP-områdene som tilhører bedriftsnettverket. Endepunkter i disse områdene åpnes i vanlig Edge og vil ikke være tilgjengelige fra Application Guard-miljøet.

En annen viktig politikk er den som «Skybaserte domener for bedriftsressurser»som bruker en liste atskilt med tegnet | For å angi SaaS-domener og skytjenester i organisasjonen som skal behandles som interne. Disse vil også bli gjengitt på Edge utenfor containeren.

Til slutt, direktivet fra «Domener klassifisert som personlige og jobbrelaterte» Den lar deg deklarere domener som kan brukes til både personlige og forretningsmessige formål. Disse nettstedene vil være tilgjengelige fra både det vanlige Edge-miljøet og Application Guard, etter behov.

Bruk av jokertegn i innstillinger for nettverksisolasjon

For å unngå å måtte skrive hvert underdomene én etter én, støtter nettverksisolasjonslister jokertegn i domenenavnDette gir bedre kontroll over hva som anses som pålitelig.

Hvis det enkelt er definert contoso.comNettleseren vil bare stole på den spesifikke verdien og ikke andre domener som inneholder den. Med andre ord, den vil bare behandle den bokstavelige verdien som tilhørende en bedrift. den nøyaktige roten og ikke www.contoso.com heller ikke varianter.

Hvis spesifisert www.contoso.com, så bare den spesifikke verten vil bli ansett som pålitelig. Andre underdomener som shop.contoso.com De ville blitt utelatt og kunne ende opp i søppelcontaineren.

Med formatet .contoso.com (en periode før) indikerer at Alle domener som slutter på «contoso.com» er klarerte. Dette inkluderer fra contoso.com opp www.contoso.com eller til og med kjeder som spearphishingcontoso.comSå den må brukes med forsiktighet.

Til slutt, hvis den brukes ..contoso.com (første kolon), alle nivåer i hierarkiet som ligger til venstre for domenet er klarerte, for eksempel shop.contoso.com o us.shop.contoso.comMen Roten «contoso.com» er ikke klarert i seg selv. Det er en finere måte å kontrollere hva som regnes som en bedriftsressurs.

Hovedapplikasjon Guard-spesifikke direktiver

Det andre hovedsettet med innstillinger ligger i Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application GuardHerfra styres landet detaljert beholderoppførsel og hva brukeren kan eller ikke kan gjøre i den.

En av de mest relevante politikkene er den som gjelder «Innstillinger for utklippstavle»Dette kontrollerer om det er mulig å kopiere og lime inn tekst eller bilder mellom verten og Application Guard. I administrert modus kan du tillate kopiering kun fra beholderen og ut, kun i motsatt retning, eller til og med deaktivere utklippstavlen helt.

På samme måte gjelder direktivet fra «Utskriftsinnstillinger» Den avgjør om innhold kan skrives ut fra beholderen, og i hvilke formater. Du kan aktivere utskrift til PDF, XPS, tilkoblede lokale skrivere eller forhåndsdefinerte nettverksskrivere, eller blokkere alle utskriftsmuligheter i MDAG.

Alternativet "Anerkjenn utholdenhet" Denne innstillingen bestemmer om brukerdata (nedlastede filer, informasjonskapsler, favoritter osv.) beholdes mellom Application Guard-økter eller slettes hver gang miljøet slås av. Aktivering av dette i administrert modus lar beholderen beholde denne informasjonen for fremtidige økter. Deaktivering resulterer i et tilnærmet rent miljø hver oppstart.

Hvis du bestemmer deg for å slutte å tillate vedvarende bruk senere, kan du bruke verktøyet wdagtool.exe med parameterne cleanup o cleanup RESET_PERSISTENCE_LAYER å tilbakestille beholderen og forkaste informasjonen som ble generert av den ansatte.

En annen sentral politikk er "Aktiver Application Guard i administrert modus"Denne delen spesifiserer om funksjonen gjelder for Microsoft Edge, Microsoft Office eller begge. Denne policyen trer ikke i kraft hvis enheten ikke oppfyller forutsetningene eller har nettverksisolering konfigurert (unntatt i visse nyere versjoner av Windows der den ikke lenger er nødvendig for Edge hvis spesifikke KB-oppdateringer er installert).

Fildeling, sertifikater, kamera og revisjon

I tillegg til retningslinjene nevnt ovenfor, finnes det andre direktiver som påvirker hvordan containeren forholder seg til vertssystemet og med periferiutstyret.

Politikk "Tillat nedlasting av filer til vertsoperativsystemet" Den avgjør om brukeren kan lagre filer lastet ned fra det isolerte miljøet til verten. Når den er aktivert, oppretter den en delt ressurs mellom begge miljøene, som også tillater visse opplastinger fra verten til containeren – veldig nyttig, men noe som bør evalueres fra et sikkerhetsperspektiv.

Konfigurasjonen av «Aktiver maskinvareakselerert gjengivelse» Aktiverer GPU-bruk via vGPU for å forbedre grafikkytelsen, spesielt når du spiller av video og tungt innhold. Hvis ingen kompatibel maskinvare er tilgjengelig, vil Application Guard gå tilbake til CPU-gjengivelse. Aktivering av dette alternativet på enheter med upålitelige drivere kan imidlertid øke risikoen for verten.

Det finnes også et direktiv for gi tilgang til kamera og mikrofon i containeren. Ved å aktivere den kan applikasjoner som kjører under MDAG bruke disse enhetene, noe som muliggjør videosamtaler eller konferanser fra isolerte miljøer, men det åpner også døren for å omgå standardtillatelser hvis containeren er kompromittert.

En annen policy tillater Application Guard bruk spesifikke vertsrotsertifiseringsinstanserDette overfører sertifikatene med spesifisert fingeravtrykk til beholderen. Hvis dette er deaktivert, vil ikke beholderen arve disse sertifikatene, noe som kan blokkere tilkoblinger til visse interne tjenester hvis de er avhengige av private autorisasjoner.

Til slutt, muligheten til «Tillat revisjonshendelser» Det fører til at systemhendelser generert i containeren logges og at enhetsrevisjonspolicyer arves, slik at sikkerhetsteamet kan spore hva som skjer i Application Guard fra vertsloggene.

Integrasjon med støtte- og tilpasningsrammeverk

Når noe går galt i Application Guard, ser brukeren en feildialogboks Som standard inkluderer dette bare en beskrivelse av problemet og en knapp for å rapportere det til Microsoft via tilbakemeldingssenteret. Denne opplevelsen kan imidlertid tilpasses for å legge til rette for intern støtte.

På ruten Administrative Templates\Windows Components\Windows Security\Enterprise Customization Det finnes en policy som administratoren kan bruke Legg til kontaktinformasjon for støttetjenestenInterne lenker eller korte instruksjoner. På denne måten vil en ansatt umiddelbart vite hvem de skal kontakte eller hvilke skritt de skal ta når de ser feilen.

Ofte stilte spørsmål og vanlige problemer med Application Guard

Bruken av Application Guard genererer en god håndfull tilbakevendende spørsmål i virkelige distribusjoner, spesielt med tanke på ytelse, kompatibilitet og nettverksatferd.

Et av de første spørsmålene er om det kan aktiveres i enheter med bare 4 GB RAMSelv om det finnes scenarier der det kan fungere, lider ytelsen vanligvis betydelig i praksis, siden containeren praktisk talt er et annet operativsystem som kjører parallelt.

Et annet sensitivt punkt er integrering med nettverksproxyer og PAC-skriptMeldinger som «Kan ikke løse eksterne URL-er fra MDAG-nettleseren: ERR_CONNECTION_REFUSED» eller «ERR_NAME_NOT_RESOLVED» når tilgang til PAC-filen mislykkes, indikerer vanligvis konfigurasjonsproblemer mellom beholderen, proxyen og isolasjonsreglene.

Det er også problemer knyttet til IME-er (redigering av inndatametoder) støttes ikke I enkelte versjoner av Windows hindrer konflikter med diskkrypteringsdrivere eller enhetskontrollløsninger at containeren laster inn ferdig.

Noen administratorer støter på feil som «FEIL_VIRTUELL_DISK_BEGRENSNING» Hvis det er begrensninger knyttet til virtuelle disker, eller feil med å deaktivere teknologier som hyperthreading som indirekte påvirker Hyper-V og dermed MDAG.

Det reises også spørsmål om hvordan stol bare på bestemte underdomener, angående størrelsesgrenser for domenelister eller hvordan man deaktiverer virkemåten der vertsfanen lukkes automatisk når man navigerer til et nettsted som åpnes i beholderen.

Application Guard, IE-modus, Chrome og Office

I miljøer der IE-modus i Microsoft EdgeApplication Guard støttes, men Microsoft forventer ikke utbredt bruk av funksjonen i denne modusen. Det anbefales å reservere IE-modus for [spesifikke applikasjoner/bruksområder]. pålitelige interne nettsteder og bruk MDAG kun for nettsteder som anses som eksterne og upålitelige.

Det er det viktig å sørge for alle nettsteder konfigurert i IE-modusNettverket, sammen med tilhørende IP-adresser, må også inkluderes i nettverksisoleringspolicyene som klarerte ressurser. Ellers kan uventet oppførsel oppstå når begge funksjonene kombineres.

Når det gjelder Chrome, spør mange brukere om det er nødvendig installer en Application Guard-utvidelseSvaret er nei: funksjonaliteten er integrert i Microsoft Edge, og den gamle Chrome-utvidelsen støttes ikke når man jobber med Edge.

For Office-dokumenter tillater Application Guard Åpne Word-, Excel- og PowerPoint-filer i en isolert beholder når filer anses som uklarerte, og dermed forhindrer skadelige makroer eller andre angrepsvektorer fra å nå verten. Denne beskyttelsen kan kombineres med andre Defender-funksjoner og filklareringspolicyer.

Det finnes til og med et gruppepolicyalternativ som lar brukere «stole på» bestemte filer som er åpnet i Application Guard, slik at de behandles som trygge og avslutter containeren. Denne funksjonen bør administreres nøye for å unngå å miste fordelen med isolasjon.

Nedlastinger, utklippstavler, favoritter og utvidelser: brukeropplevelse

Fra brukerens synspunkt dreier noen av de mest praktiske spørsmålene seg om hva som kan og ikke kan gjøres inne i beholderenspesielt med nedlastinger, kopier/lim inn og utvidelser.

I Windows 10 Enterprise 1803 og senere versjoner (med nyanser avhengig av utgaven) er det mulig tillat nedlasting av dokumenter fra containeren til verten Dette alternativet var ikke tilgjengelig i tidligere versjoner eller i visse versjoner av utgaver som Pro, selv om det var mulig å skrive ut til PDF eller XPS og lagre resultatet på vertsenheten.

Når det gjelder utklippstavlen, kan bedriftens retningslinjer tillate det Bilder i BMP-format og tekst kopieres til og fra det isolerte miljøet. Hvis ansatte klager over at de ikke kan kopiere innhold, må disse retningslinjene vanligvis gjennomgås.

Mange brukere spør også hvorfor De ser ikke favorittene eller utvidelsene sine i Edge-økten under Application Guard. Dette skyldes vanligvis at bokmerkesynkronisering er deaktivert eller at utvidelsespolicyen i MDAG ikke er aktivert. Når disse alternativene er justert, kan nettleseren i beholderen arve bokmerker og visse utvidelser, alltid med begrensningene som er nevnt tidligere.

Det finnes til og med tilfeller der en utvidelse vises, men «ikke fungerer». Hvis den er avhengig av innebygde komponenter for meldingshåndtering, vil ikke den funksjonaliteten være tilgjengelig i containeren, og utvidelsen vil ha begrenset eller fullstendig inoperativ oppførsel.

Grafikkytelse, HDR og maskinvareakselerasjon

Et annet tema som ofte dukker opp er videoavspilling og avanserte funksjoner som HDR i Application Guard. Når den kjører på Hyper-V, har ikke containeren alltid direkte tilgang til GPU-funksjoner.

For at HDR-avspilling skal fungere riktig i et isolert miljø, er det nødvendig at vGPU-maskinvareakselerasjon er aktivert gjennom den akselererte gjengivelsespolicyen. Ellers vil systemet være avhengig av CPU-en, og enkelte alternativer som HDR vil ikke vises i spilleren eller nettstedinnstillingene.

Selv med akselerasjon aktivert, kan Application Guard forårsake problemer hvis grafikkmaskinvaren ikke anses som tilstrekkelig sikker eller kompatibel automatisk tilbake til programvaregjengivelsesom påvirker flyt og batteriforbruk i bærbare datamaskiner.

Noen distribusjoner har vist problemer med TCP-fragmentering og konflikter med VPN-er som aldri ser ut til å komme i gang når trafikken går gjennom containeren. I slike tilfeller er det vanligvis nødvendig å gjennomgå nettverkspolicyer, MTU, proxy-konfigurasjon og noen ganger justere hvordan MDAG integreres med andre allerede installerte sikkerhetskomponenter.

Støtte, diagnose og hendelsesrapportering

Når det til tross for alt oppstår problemer som ikke kan løses internt, anbefaler Microsoft åpne en spesifikk supportforespørsel for Microsoft Defender Application Guard. Det er viktig å samle informasjon på forhånd fra diagnostikksiden, relaterte hendelseslogger og detaljer om konfigurasjonen som er brukt på enheten.

Bruken av siden edge://application-guard-internals, kombinert med aktiverte revisjonshendelser og utgivelsen av verktøy som wdagtool.exeDet gir vanligvis supportteamet nok data til å finne kilden til problemet, enten det er en dårlig definert policy, en konflikt med et annet sikkerhetsprodukt eller en maskinvarebegrensning.

I tillegg til alt dette kan brukere tilpasse feilmeldinger og kontaktinformasjon i dialogboksen for teknisk støtte i Windows-sikkerhet, noe som gjør det enklere for dem å finne riktig løsning. Ikke bli sittende fast i å ikke vite hvem du skal henvende deg til når beholderen ikke starter eller ikke åpnes som forventet.

Alt i alt tilbyr Microsoft Defender Application Guard en kraftig kombinasjon av maskinvareisolering, detaljert policykontroll og diagnostiske verktøy som, når de brukes riktig, kan redusere risikoen forbundet med å surfe på upålitelige nettsteder eller åpne dokumenter fra tvilsomme kilder betydelig uten at det går utover den daglige produktiviteten.