Jak krok po kroku korzystać z Microsoft Defender Application Guard

Jeśli codziennie pracujesz z poufnymi informacjami lub przeglądasz podejrzane strony internetowe, Ochrona aplikacji Microsoft Defender (MDAG) To jedna z tych funkcji systemu Windows, które mogą zadecydować o tym, czy strach wywoła katastrofę. To nie tylko kolejny program antywirusowy, ale dodatkowa warstwa, która izoluje zagrożenia od systemu i danych.

W poniższych linijkach zobaczysz wyraźnie Czym właściwie jest Application Guard, jak działa wewnętrznie, na jakich urządzeniach można go używać i jak go skonfigurować? Omówimy zarówno wdrożenia proste, jak i korporacyjne. Przeanalizujemy również wymagania, zasady grupy, typowe błędy i odpowiemy na wiele często zadawanych pytań, które pojawiają się podczas rozpoczynania pracy z tą technologią.

Czym jest Microsoft Defender Application Guard i jak działa?

Microsoft Defender Application Guard to zaawansowana funkcja bezpieczeństwa przeznaczona do: Izoluj niezaufane witryny internetowe i dokumenty w wirtualnym kontenerze Oparty na Hyper-V. Zamiast próbować blokować każdy atak po kolei, tworzy mały „komputer jednorazowego użytku”, w którym umieszcza podejrzany materiał.

Ten kontener działa w oddzielony od głównego systemu operacyjnegoz własną, wzmocnioną instancją systemu Windows i brakiem bezpośredniego dostępu do plików, danych uwierzytelniających ani wewnętrznych zasobów firmy. Nawet jeśli złośliwa witryna zdoła wykorzystać lukę w zabezpieczeniach przeglądarki lub pakietu Office, szkody pozostaną w tym odizolowanym środowisku.

W przypadku przeglądarki Microsoft Edge funkcja Application Guard zapewnia, że dowolna domena, która nie jest oznaczona jako zaufana Otwiera się automatycznie w tym kontenerze. W przypadku pakietu Office robi to samo z dokumentami Word, Excel i PowerPoint pochodzącymi ze źródeł, które organizacja uważa za niebezpieczne.

Kluczem jest to, że izolacja ta ma charakter sprzętowy: Hyper-V tworzy niezależne środowisko z hosta, co drastycznie zmniejsza prawdopodobieństwo, że atakujący przejdzie z odizolowanej sesji do prawdziwego systemu, wykradnie dane firmowe lub wykorzysta zapisane dane uwierzytelniające.

Co więcej, kontener traktowany jest jako środowisko anonimowe: Nie dziedziczy plików cookie, haseł ani sesji użytkownika.To znacznie utrudnia życie atakującym, którzy wykorzystują techniki podszywania się lub kradzieży sesji.

Zalecane typy urządzeń do korzystania z Application Guard

Chociaż Application Guard może technicznie działać w różnych scenariuszach, jest on specjalnie zaprojektowany do: środowiska korporacyjne i zarządzane urządzeniaMicrosoft wyróżnia kilka typów sprzętu, w przypadku których MDAG ma największy sens.

Przede wszystkim są komputer stacjonarny przedsiębiorstwa przyłączony do domenyZazwyczaj zarządza się nimi za pomocą Menedżera konfiguracji lub usługi Intune. Są to tradycyjne komputery biurowe, ze standardowymi użytkownikami i podłączone do przewodowej sieci firmowej, gdzie ryzyko wynika głównie z codziennego przeglądania internetu.

Następnie mamy laptopy korporacyjneSą to również urządzenia przyłączone do domeny i zarządzane centralnie, ale łączą się z wewnętrznymi lub zewnętrznymi sieciami Wi-Fi. W tym przypadku ryzyko wzrasta, ponieważ urządzenie opuszcza kontrolowaną sieć i jest narażone na działanie Wi-Fi w hotelach, na lotniskach lub w sieciach domowych.

Kolejną grupę stanowią laptopy BYOD (przynieś własne urządzenie), sprzęt osobisty, który nie jest własnością firmy, ale jest zarządzany za pośrednictwem rozwiązań takich jak Intune. Zazwyczaj znajdują się one w rękach użytkowników z uprawnieniami administratora lokalnego, co zwiększa powierzchnię ataku i sprawia, że ​​korzystanie z izolacji w celu uzyskania dostępu do zasobów firmowych staje się bardziej atrakcyjne.

Wreszcie są całkowicie niezarządzane urządzenia osobisteSą to witryny, które nie należą do żadnej domeny i nad którymi użytkownik ma pełną kontrolę. W takich przypadkach Application Guard może być używany w trybie autonomicznym (szczególnie w przeglądarce Edge), aby zapewnić dodatkową warstwę ochrony podczas odwiedzania potencjalnie niebezpiecznych witryn.

Wymagane edycje systemu Windows i licencjonowanie

Zanim zaczniesz cokolwiek konfigurować, ważne jest, aby mieć jasność co do jednej kwestii. W jakich edycjach systemu Windows można używać programu Microsoft Defender Application Guard i z jakimi prawami licencyjnymi.

Dla Tryb autonomiczny Edge (tj. używanie Application Guard wyłącznie jako piaskownicy przeglądarki bez zaawansowanego zarządzania przedsiębiorstwem) jest obsługiwane w systemie Windows:

• Windows pro
• Windows Enterprise
• Windows Pro Education / SE
• Edukacja systemu Windows

W tym scenariuszu prawa licencyjne MDAG są przyznawane, jeśli posiadasz licencje takie jak: Windows Pro / Pro Education / SE, Windows Enterprise E3 lub E5 i Windows Education A3 lub A5W praktyce na wielu komputerach profesjonalnych z systemem Windows Pro można już aktywować tę funkcję do podstawowego użytku.

Dla tryb przedsiębiorstwa brzegowego i administracja korporacyjna (gdzie w grę wchodzą zaawansowane dyrektywy i bardziej złożone scenariusze), wsparcie jest ograniczone:

• Windows Enterprise y Edukacja systemu Windows W tym trybie obsługiwana jest funkcja Application Guard.
• Windows Pro i Windows Pro Education/SE Nie Mają wsparcie dla tej odmiany przedsiębiorstwa.

Jeśli chodzi o licencje, to bardziej zaawansowane wykorzystanie korporacyjne wymaga Windows Enterprise E3/E5 lub Windows Education A3/A5Jeśli Twoja organizacja korzysta wyłącznie z wersji Pro bez subskrypcji Enterprise, będziesz ograniczony do trybu autonomicznego Edge.

Wymagania wstępne i zgodność systemu

Aby Application Guard działał stabilnie, oprócz edycji Windows, konieczne jest spełnienie następujących warunków: szereg wymagań technicznych związane z wersją, sprzętem i obsługą wirtualizacji.

Jeśli chodzi o system operacyjny, obowiązkowe jest korzystanie z Windows 10 1809 lub nowszy (aktualizacja z października 2018 r.) lub równoważna wersja systemu Windows 11. Nie jest ona przeznaczona dla serwerów ani ich znacznie ograniczonych wariantów; jest wyraźnie skierowana do komputerów klienckich.

Na poziomie sprzętowym sprzęt musi mieć włączona wirtualizacja oparta na sprzęcie (obsługa Intel VT-x/AMD-V i translacja adresów drugiego poziomu, taka jak SLAT), ponieważ Hyper-V jest kluczowym komponentem do tworzenia izolowanego kontenera. Bez tej warstwy MDAG nie będzie w stanie skonfigurować bezpiecznego środowiska.

Ważne jest również posiadanie kompatybilne mechanizmy administracyjne Jeśli zamierzasz używać go centralnie (na przykład Microsoft Intune lub Configuration Manager), zgodnie z wymaganiami oprogramowania dla przedsiębiorstw, w przypadku prostych wdrożeń wystarczy sam interfejs Windows Security.

Na koniec zauważ, że Usługa Application Guard jest obecnie wycofywana ze sprzedaży. W przypadku przeglądarki Microsoft Edge dla firm, a także dlatego, że niektóre interfejsy API powiązane z samodzielnymi aplikacjami nie będą już aktualizowane, przeglądarka ta nadal jest bardzo rozpowszechniona w środowiskach, w których konieczne jest ograniczenie ryzyka krótko- i średnioterminowego.

Przypadek użycia: bezpieczeństwo kontra produktywność

Jednym z klasycznych problemów w cyberbezpieczeństwie jest znalezienie właściwej równowagi między aby naprawdę chronić, a nie blokować użytkownikaJeśli zezwolisz tylko na kilka „błogosławionych” witryn, zmniejszysz ryzyko, ale zabijesz produktywność. Jeśli złagodzisz ograniczenia, poziom narażenia gwałtownie wzrośnie.

Przeglądarka jest jedną z główne powierzchnie ataku tej pracy, ponieważ jej celem jest otwieranie niezaufanych treści z szerokiej gamy źródeł: nieznanych stron internetowych, plików do pobrania, skryptów stron trzecich, agresywnych reklam itp. Niezależnie od tego, jak bardzo udoskonalisz silnik, zawsze będą pojawiać się nowe luki w zabezpieczeniach, które ktoś będzie próbował wykorzystać.

W tym modelu administrator precyzyjnie definiuje, które domeny, zakresy adresów IP i zasoby w chmurze uważa za godne zaufania. Wszystko, co nie znajduje się na tej liście, automatycznie trafia do konteneraUżytkownik może przeglądać strony internetowe bez obaw, że awaria przeglądarki zagrozi działaniu pozostałych wewnętrznych systemów.

W rezultacie pracownik ma stosunkowo elastyczną nawigację, ale z silnie strzeżona granica pomiędzy niepewnym światem zewnętrznym i środowiskiem korporacyjnym, które należy chronić za wszelką cenę.

Najnowsze funkcje i aktualizacje funkcji Application Guard w przeglądarce Microsoft Edge

W różnych wersjach przeglądarki Microsoft Edge opartych na Chromium firma Microsoft dodawała Konkretne ulepszenia dla Application Guard w celu udoskonalenia doświadczenia użytkownika i zapewnienia administratorowi większej kontroli.

Jedną z ważnych nowych funkcji jest blokowanie przesyłania plików z konteneraOd czasu wprowadzenia Edge 96 organizacje mogą uniemożliwić użytkownikom przesyłanie dokumentów z urządzeń lokalnych do formularza lub usługi internetowej w ramach odizolowanej sesji, korzystając z zasad ApplicationGuardUploadBlockingEnabledDzięki temu zmniejsza się ryzyko wycieku informacji.

Kolejną bardzo przydatną poprawą jest tryb pasywny, dostępne od wersji Edge 94. Po aktywacji przez politykę ApplicationGuardPassiveModeEnabledApplication Guard przestaje wymuszać listę witryn i pozwala użytkownikowi przeglądać Edge'a „normalnie”, mimo że funkcja ta pozostaje zainstalowana. To wygodny sposób, aby mieć gotową technologię bez konieczności przekierowywania ruchu.

Dodano również możliwość synchronizuj ulubione hosta z konteneremWielu klientów prosiło o to, aby uniknąć sytuacji, w której dwa całkowicie odłączone od siebie doświadczenia przeglądania stron internetowych są niedostępne. Od wersji Edge 91 polityka ta ApplicationGuardFavoritesSyncEnabled Umożliwia to równomierne pojawianie się nowych znaczników w odizolowanym środowisku.

W obszarze sieciowym Edge 91 włączył obsługę oznaczyć ruch opuszczający kontener dzięki dyrektywie ApplicationGuardTrafficIdentificationEnabledDzięki temu firmy mogą identyfikować i filtrować ruch przechodzący przez serwer proxy, na przykład w celu ograniczenia dostępu do bardzo małej grupy witryn podczas przeglądania stron z poziomu MDAG.

Podwójny serwer proxy, rozszerzenia i inne zaawansowane scenariusze

Niektóre organizacje używają Application Guard w bardziej złożonych wdrożeniach, w których jest to potrzebne ściśle monitorować ruch kontenerów i możliwości przeglądarki w tym odizolowanym środowisku.

W takich przypadkach Edge obsługuje podwójne proxy Od wersji stabilnej 84 można konfigurować za pomocą dyrektywy ApplicationGuardContainerProxyIdea polega na tym, że ruch pochodzący z kontenera jest kierowany przez konkretny serwer proxy, różny od tego używanego przez hosta, co ułatwia stosowanie niezależnych reguł i bardziej rygorystyczną kontrolę.

Kolejną powtarzającą się prośbą klientów była możliwość użyj rozszerzeń w kontenerzeOd wersji Edge 81 jest to możliwe, więc blokery reklam, wewnętrzne rozszerzenia firmowe i inne narzędzia mogą działać, o ile są zgodne ze zdefiniowanymi zasadami. Konieczne jest zadeklarowanie updateURL rozszerzenia w zasadach izolacji sieciowej, tak aby było ono uważane za zasób neutralny, dostępny z poziomu Application Guard.

Do akceptowanych scenariuszy zalicza się: wymuszona instalacja rozszerzeń na hoście Rozszerzenia te pojawiają się następnie w kontenerze, umożliwiając usunięcie określonych rozszerzeń lub zablokowanie innych uznanych za niepożądane ze względów bezpieczeństwa. Nie dotyczy to jednak rozszerzeń, które opierają się na natywnych komponentach obsługi wiadomości. Nie są kompatybilne w ramach MDAG.

Aby pomóc w diagnozie problemów z konfiguracją lub zachowaniem, konkretna strona diagnostyczna en edge://application-guard-internalsNa tej podstawie możesz sprawdzić m.in., czy dany adres URL jest uważany za godny zaufania w świetle zasad faktycznie stosowanych wobec danego użytkownika.

Na koniec, jeśli chodzi o aktualizacje, nowa przeglądarka Microsoft Edge będzie Aktualizuje się również w kontenerzeKorzysta z tego samego kanału i wersji co przeglądarka hosta. Nie jest już zależna od cyklu aktualizacji systemu operacyjnego, jak miało to miejsce w przypadku starszej wersji Edge, co znacznie upraszcza konserwację.

Jak włączyć usługę Microsoft Defender Application Guard w systemie Windows

Jeśli chcesz uruchomić go na kompatybilnym urządzeniu, pierwszym krokiem jest aktywuj funkcję systemu Windows odpowiadający. Proces ten, na podstawowym poziomie, jest dość prosty.

Najszybszym sposobem jest otwarcie okna dialogowego Uruchom za pomocą Win + R, pisać appwiz.cpl i naciśnij Enter, aby przejść bezpośrednio do panelu „Programy i funkcje”. Tam, po lewej stronie, znajdziesz link „Włącz lub wyłącz funkcje systemu Windows”.

Na liście dostępnych komponentów należy odszukać wpis „Microsoft Defender Application Guard” i wybierz ją. Po zaakceptowaniu, system Windows pobierze lub włączy niezbędne pliki binarne i poprosi o ponowne uruchomienie komputera w celu zastosowania zmian.

Po ponownym uruchomieniu na zgodnych urządzeniach z odpowiednimi wersjami przeglądarki Edge powinno być możliwe Otwórz nowe okna lub odizolowane karty poprzez opcje przeglądarki lub, w środowiskach zarządzanych, automatycznie zgodnie z konfiguracją listy niezaufanych witryn.

Jeśli nie widzisz opcji takich jak „Nowe okno Application Guard” lub kontener się nie otwiera, możliwe, że Instrukcje, które stosujesz mogą być nieaktualne.Może to być spowodowane tym, że Twoja edycja systemu Windows nie jest obsługiwana, funkcja Hyper-V nie jest włączona lub zasady Twojej organizacji wyłączają tę funkcję.

Konfigurowanie Application Guard za pomocą zasad grupy

W środowiskach biznesowych nie konfiguruje się ręcznie każdego urządzenia, lecz stosuje się predefiniowany system. zasady grupy (GPO) lub profile konfiguracji w usłudze Intune, umożliwiające centralne definiowanie zasad. Application Guard opiera się na dwóch głównych blokach konfiguracji: izolacji sieciowej i parametrach specyficznych dla aplikacji.

Ustawienia izolacji sieciowej znajdują się w Computer Configuration\Administrative Templates\Network\Network IsolationTutaj na przykład definiuje się następujące pojęcia: wewnętrzne zakresy sieciowe i domeny uważane za domeny firmyco wyznaczy granicę między tym, co jest wiarygodne, a tym, co należy wyrzucić do kosza.

Jedną z kluczowych polityk jest ta, „Interwały sieci prywatnych dla aplikacji”W tej sekcji podano, w formie listy rozdzielonej przecinkami, zakresy adresów IP należące do sieci korporacyjnej. Punkty końcowe w tych zakresach będą otwierane w standardowym Edge i nie będą dostępne ze środowiska Application Guard.

Inną ważną polityką jest „Domeny zasobów przedsiębiorstwa hostowane w chmurze”który używa listy oddzielonej znakiem | Aby wskazać domeny SaaS i usługi chmurowe organizacji, które powinny być traktowane jako wewnętrzne. Będą one również renderowane na krawędzi poza kontenerem.

Wreszcie dyrektywa „Domeny klasyfikowane jako osobiste i służbowe” Umożliwia deklarowanie domen, które mogą być wykorzystywane zarówno do celów osobistych, jak i biznesowych. Dostęp do tych witryn będzie możliwy zarówno z poziomu standardowego środowiska Edge, jak i Application Guard, w zależności od potrzeb.

Korzystanie z symboli wieloznacznych w ustawieniach izolacji sieciowej

Aby uniknąć konieczności zapisywania każdej subdomeny osobno, listy izolacji sieciowej obsługują znaki wieloznaczne w nazwach domenPozwala to na lepszą kontrolę tego, co jest uważane za wiarygodne.

Jeśli jest to po prostu zdefiniowane contoso.comPrzeglądarka będzie ufać tylko tej konkretnej wartości, a nie innym domenom ją zawierającym. Innymi słowy, będzie traktować tylko tę wartość dosłowną jako należącą do firmy. dokładny korzeń i nie www.contoso.com ani wariantów.

Jeśli określono www.contoso.com, więc tylko ten konkretny host będą uważane za zaufane. Inne subdomeny, takie jak shop.contoso.com Zostałyby pominięte i mogłyby trafić do śmietnika.

Z formatem .contoso.com (kropka przed) wskazuje, że Każda domena kończąca się na „contoso.com” jest zaufana. Obejmuje to od contoso.com w górę www.contoso.com lub nawet łańcuchy takie jak spearphishingcontoso.comDlatego należy go używać ostrożnie.

Na koniec, jeśli jest używany ..contoso.com (dwukropek początkowy), wszystkie poziomy hierarchii znajdujące się po lewej stronie domeny są zaufane, na przykład shop.contoso.com o us.shop.contoso.com, ale Domena „contoso.com” nie jest zaufana samo w sobie. To lepszy sposób kontrolowania tego, co uznaje się za zasoby korporacyjne.

Główne dyrektywy specyficzne dla Application Guard

Drugi główny zestaw ustawień znajduje się w Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application GuardStąd rządzony jest kraj szczegółowe zachowanie kontenera i co użytkownik może, a czego nie może w nim zrobić.

Jedną z najistotniejszych polityk jest ta, „Ustawienia schowka”Kontroluje, czy możliwe jest kopiowanie i wklejanie tekstu lub obrazów między hostem a Application Guard. W trybie zarządzanym można zezwolić na kopiowanie tylko z kontenera na zewnątrz, tylko w odwrotnym kierunku, a nawet całkowicie wyłączyć schowek.

Podobnie dyrektywa „Ustawienia drukowania” Decyduje, czy zawartość może być drukowana z kontenera i w jakich formatach. Możesz włączyć drukowanie do plików PDF, XPS, podłączonych drukarek lokalnych lub predefiniowanych drukarek sieciowych, a także zablokować wszystkie funkcje drukowania w MDAG.

opcja „Doceń wytrwałość” To ustawienie określa, czy dane użytkownika (pobrane pliki, pliki cookie, ulubione itp.) są zachowywane między sesjami Application Guard, czy usuwane przy każdym zamknięciu środowiska. Włączenie tej opcji w trybie zarządzanym pozwala kontenerowi zachować te informacje na potrzeby przyszłych sesji; wyłączenie tej opcji zapewnia praktycznie czyste środowisko przy każdym uruchomieniu.

Jeśli później zdecydujesz się na zaprzestanie zezwalania na utrwalanie, możesz skorzystać z narzędzia wdagtool.exe z parametrami cleanup o cleanup RESET_PERSISTENCE_LAYER aby zresetować kontener i usunąć informacje wygenerowane przez pracownika.

Kolejną kluczową polityką jest „Aktywuj Application Guard w trybie zarządzanym”Ta sekcja określa, czy funkcja dotyczy przeglądarki Microsoft Edge, pakietu Microsoft Office, czy obu. Ta zasada nie będzie obowiązywać, jeśli urządzenie nie spełnia wymagań wstępnych lub ma skonfigurowaną izolację sieciową (z wyjątkiem niektórych nowszych wersji systemu Windows, w których nie jest już wymagana dla przeglądarki Edge, jeśli zainstalowano określone aktualizacje KB).

Udostępnianie plików, certyfikaty, kamera i audyt

Oprócz polityk wymienionych powyżej istnieją inne dyrektywy, które mają wpływ w jaki sposób kontener jest powiązany z systemem hosta i z urządzeniami peryferyjnymi.

Polityka „Zezwól na pobieranie plików do systemu operacyjnego hosta” Decyduje, czy użytkownik może zapisywać pliki pobrane z odizolowanego środowiska na hoście. Po włączeniu tworzy zasób współdzielony między oboma środowiskami, co umożliwia również przesyłanie niektórych plików z hosta do kontenera – jest to bardzo przydatne, ale należy to ocenić z perspektywy bezpieczeństwa.

Konfiguracja „Włącz renderowanie przyspieszane sprzętowo” Umożliwia wykorzystanie GPU za pośrednictwem vGPU w celu poprawy wydajności grafiki, szczególnie podczas odtwarzania wideo i treści o dużej objętości. Jeśli nie jest dostępny kompatybilny sprzęt, Application Guard powróci do renderowania przez CPU. Włączenie tej opcji na urządzeniach z zawodnymi sterownikami może jednak zwiększyć ryzyko dla hosta.

Istnieje również dyrektywa dla zezwól na dostęp do kamery i mikrofonu Włączenie tej opcji umożliwia aplikacjom działającym w MDAG korzystanie z tych urządzeń, ułatwiając prowadzenie wideorozmów lub konferencji z odizolowanych środowisk, choć otwiera również drzwi do ominięcia standardowych uprawnień w przypadku naruszenia bezpieczeństwa kontenera.

Inna polityka pozwala na korzystanie z Application Guard użyj określonych głównych urzędów certyfikacji hostaTa opcja przenosi do kontenera certyfikaty, których odcisk palca został określony. Jeśli ta opcja jest wyłączona, kontener nie odziedziczy tych certyfikatów, co może zablokować połączenia z niektórymi usługami wewnętrznymi, jeśli opierają się one na autoryzacjach prywatnych.

Wreszcie opcja „Zezwalaj na zdarzenia audytowe” Powoduje to rejestrowanie zdarzeń systemowych generowanych w kontenerze i dziedziczenie zasad audytu urządzeń, dzięki czemu zespół ds. bezpieczeństwa może śledzić, co dzieje się w Application Guard na podstawie logów hosta.

Integracja z frameworkami wsparcia i dostosowywania

Gdy w Application Guard coś pójdzie nie tak, użytkownik zobaczy okno dialogowe błędu Domyślnie obejmuje to jedynie opis problemu i przycisk umożliwiający zgłoszenie go do firmy Microsoft za pośrednictwem Centrum opinii. Można jednak dostosować to środowisko, aby ułatwić wewnętrzne wsparcie.

Na trasie Administrative Templates\Windows Components\Windows Security\Enterprise Customization Istnieje polityka, którą administrator może wykorzystać Dodaj dane kontaktowe działu pomocy technicznejLinki wewnętrzne lub krótkie instrukcje. W ten sposób, gdy pracownik zauważy błąd, od razu będzie wiedział, z kim się skontaktować lub jakie kroki podjąć.

Często zadawane pytania i typowe problemy z Application Guard

Korzystanie z Application Guard generuje sporo powtarzające się pytania w rzeczywistych zastosowaniach, zwłaszcza w zakresie wydajności, kompatybilności i zachowania sieci.

Jednym z pierwszych pytań jest to, czy można to włączyć w urządzenia z zaledwie 4 GB pamięci RAMChoć istnieją scenariusze, w których to może zadziałać, w praktyce wydajność zwykle znacznie spada, ponieważ kontener jest w praktyce kolejnym systemem operacyjnym działającym równolegle.

Kolejnym wrażliwym punktem jest integracja z serwery proxy sieciowe i skrypty PACKomunikaty takie jak „Nie można rozwiązać zewnętrznych adresów URL z przeglądarki MDAG: ERR_CONNECTION_REFUSED” lub „ERR_NAME_NOT_RESOLVED” pojawiające się po nieudanej próbie uzyskania dostępu do pliku PAC zwykle wskazują na problemy z konfiguracją między kontenerem, serwerem proxy i regułami izolacji.

Istnieją również kwestie związane z Edytory metod wprowadzania danych (IME) nie są obsługiwane W niektórych wersjach systemu Windows konflikty ze sterownikami szyfrowania dysku lub rozwiązaniami kontroli urządzeń uniemożliwiają dokończenie ładowania kontenera.

Niektórzy administratorzy napotykają błędy takie jak: „BŁĄD_OGRANICZENIA_DYSKU_WIRTUALNEGO” Jeśli występują ograniczenia związane z dyskami wirtualnymi lub nie można wyłączyć technologii, takich jak Hyper-Threading, które pośrednio wpływają na Hyper-V i, co za tym idzie, MDAG.

Powstają również pytania o to, jak ufaj tylko pewnym subdomenom, dotyczące limitów rozmiaru listy domen lub sposobu wyłączenia automatycznego zamykania karty hosta po przejściu do witryny otwierającej się w kontenerze.

Ochrona aplikacji, tryb IE, Chrome i Office

W środowiskach, w których Tryb IE w przeglądarce Microsoft EdgeFunkcja Application Guard jest obsługiwana, ale Microsoft nie przewiduje powszechnego wykorzystania tej funkcji w tym trybie. Zaleca się zarezerwowanie trybu IE dla [określonych aplikacji/zastosowań]. zaufane witryny wewnętrzne i używaj MDAG tylko w przypadku witryn uznawanych za zewnętrzne i niezaufane.

Ważne jest, aby upewnić się, że wszystkie witryny skonfigurowane w trybie IESieć wraz z powiązanymi adresami IP musi również zostać uwzględniona w zasadach izolacji sieci jako zasoby zaufane. W przeciwnym razie połączenie obu funkcji może prowadzić do nieoczekiwanych zachowań.

W odniesieniu do przeglądarki Chrome wielu użytkowników pyta, czy jest ona konieczna zainstaluj rozszerzenie Application GuardOdpowiedź brzmi: nie: ta funkcjonalność jest natywnie zintegrowana z przeglądarką Microsoft Edge, a stare rozszerzenie Chrome nie jest konfiguracją obsługiwaną podczas pracy z przeglądarką Edge.

W przypadku dokumentów pakietu Office Application Guard umożliwia Otwieraj pliki Word, Excel i PowerPoint w odizolowanym kontenerze gdy pliki zostaną uznane za niezaufane, zapobiegając w ten sposób przedostaniu się złośliwych makr lub innych wektorów ataku do hosta. Tę ochronę można łączyć z innymi funkcjami programu Defender i zasadami zaufania plików.

Dostępna jest nawet opcja zasad grupy, która pozwala użytkownikom „zaufać” określonym plikom otwieranym w Application Guard, dzięki czemu są one traktowane jako bezpieczne i opuszczają kontener. Tą funkcją należy zarządzać ostrożnie, aby nie utracić korzyści wynikających z izolacji.

Pobieranie, schowek, ulubione i rozszerzenia: doświadczenie użytkownika

Z punktu widzenia użytkownika najbardziej praktyczne pytania dotyczą: co można, a czego nie można robić w kontenerzeszczególnie w przypadku pobierania, kopiowania/wklejania i rozszerzeń.

W systemie Windows 10 Enterprise 1803 i nowszych wersjach (z niuansami zależnymi od edycji) jest to możliwe zezwól na pobieranie dokumentów z kontenera do hosta Opcja ta nie była dostępna w poprzednich wersjach ani w niektórych kompilacjach edycji, np. Pro, chociaż istniała możliwość drukowania do pliku PDF lub XPS i zapisywania wyników na urządzeniu hosta.

Jeśli chodzi o schowek, polityka korporacyjna może na to pozwalać Kopiowane są obrazy w formacie BMP i tekst do i z odizolowanego środowiska. Jeśli pracownicy skarżą się, że nie mogą kopiować treści, zasady te zazwyczaj wymagają przeglądu.

Wielu użytkowników pyta również dlaczego Nie widzą swoich ulubionych ani rozszerzeń w sesji Edge w ramach Application Guard. Zazwyczaj jest to spowodowane wyłączoną synchronizacją zakładek lub brakiem włączenia zasad rozszerzeń w MDAG. Po dostosowaniu tych opcji przeglądarka w kontenerze może dziedziczyć zakładki i niektóre rozszerzenia, zawsze z ograniczeniami wspomnianymi wcześniej.

Zdarzają się nawet przypadki, że rozszerzenie pojawia się, ale „nie działa”. Jeśli opiera się na natywnych komponentach obsługi wiadomości, ta funkcjonalność nie będzie dostępna w kontenerze, a rozszerzenie będzie działać w ograniczonym zakresie lub całkowicie nie będzie działać.

Wydajność grafiki, HDR i przyspieszenie sprzętowe

Innym często poruszanym tematem jest odtwarzanie wideo i zaawansowane funkcje, takie jak HDR w ramach Application Guard. Podczas działania w środowisku Hyper-V kontener nie zawsze ma bezpośredni dostęp do możliwości GPU.

Aby odtwarzanie HDR działało prawidłowo w odizolowanym środowisku, konieczne jest, aby: Przyspieszenie sprzętowe vGPU jest włączone poprzez politykę przyspieszonego renderowania. W przeciwnym razie system będzie polegał na procesorze, a niektóre opcje, takie jak HDR, nie będą widoczne w ustawieniach odtwarzacza ani witryny.

Nawet po włączeniu akceleracji, jeśli sprzęt graficzny nie zostanie uznany za wystarczająco bezpieczny lub kompatybilny, funkcja Application Guard może automatyczny powrót do renderowania programowegoco wpływa na płynność działania i zużycie baterii w laptopach.

W niektórych wdrożeniach wykryto problemy z fragmentacją protokołu TCP i konfliktami Sieci VPN, które nigdy nie wydają się działać gdy ruch przechodzi przez kontener. W takich przypadkach zazwyczaj konieczne jest sprawdzenie polityk sieciowych, MTU, konfiguracji proxy, a czasem dostosowanie sposobu integracji MDAG z innymi już zainstalowanymi komponentami bezpieczeństwa.

Wsparcie, diagnostyka i zgłaszanie incydentów

Gdy mimo wszystko pojawią się problemy, których nie da się rozwiązać wewnętrznie, Microsoft zaleca otwórz konkretny bilet pomocy technicznej dla Microsoft Defender Application Guard. Ważne jest, aby wcześniej zebrać informacje ze strony diagnostycznej, powiązanych dzienników zdarzeń oraz szczegółów konfiguracji zastosowanej na urządzeniu.

Korzystanie ze strony edge://application-guard-internals, w połączeniu z włączone zdarzenia audytu i udostępnianie narzędzi takich jak wdagtool.exeZazwyczaj zapewnia zespołowi wsparcia wystarczającą ilość danych, aby zlokalizować źródło problemu, niezależnie od tego, czy jest to źle zdefiniowana polityka, konflikt z innym produktem zabezpieczającym czy ograniczenie sprzętowe.

Oprócz tego użytkownicy mogą dostosować komunikaty o błędach i dane kontaktowe w oknie dialogowym pomocy technicznej programu Zabezpieczenia systemu Windows, dzięki czemu łatwiej będzie im znaleźć odpowiednią pomoc. Nie tkwij w martwym punkcie, nie wiedząc, do kogo się zwrócić gdy pojemnik nie otwiera się lub nie otwiera się zgodnie z oczekiwaniami.

Ogólnie rzecz biorąc, Microsoft Defender Application Guard oferuje potężne połączenie izolacji sprzętowej, szczegółowej kontroli zasad i narzędzi diagnostycznych, które, jeśli są prawidłowo wykorzystywane, mogą znacząco ograniczyć ryzyko związane z przeglądaniem niezaufanych witryn lub otwieraniem dokumentów z podejrzanych źródeł bez uszczerbku dla codziennej produktywności.