Como usar o Microsoft Defender Application Guard passo a passo

Se você trabalha com informações confidenciais ou acessa sites suspeitos diariamente, Microsoft Defender Application Guard (MDAG) É um daqueles recursos do Windows que podem fazer a diferença entre um susto e um desastre. Não é apenas mais um programa antivírus, mas uma camada extra que isola as ameaças do seu sistema e dos seus dados.

Nas linhas seguintes, você verá claramente. O que exatamente é o Application Guard, como ele funciona internamente, em quais dispositivos ele pode ser usado e como configurá-lo? Vamos abordar implantações simples e empresariais. Também revisaremos requisitos, políticas de grupo, erros comuns e várias perguntas frequentes que surgem ao começar a trabalhar com essa tecnologia.

O que é o Microsoft Defender Application Guard e como ele funciona?

O Microsoft Defender Application Guard é um recurso de segurança avançado projetado para Isole sites e documentos não confiáveis ​​em um contêiner virtual. Baseado no Hyper-V. Em vez de tentar bloquear cada ataque individualmente, ele cria um pequeno "computador descartável" onde coloca o material suspeito.

Esse contêiner é executado em um separado do sistema operacional principalCom sua própria instância reforçada do Windows e sem acesso direto a arquivos, credenciais ou recursos internos da empresa, mesmo que um site malicioso consiga explorar uma vulnerabilidade do navegador ou do Office, o dano permanece restrito a esse ambiente isolado.

No caso do Microsoft Edge, o Application Guard garante que Qualquer domínio que não esteja marcado como confiável. Ele abre automaticamente dentro desse contêiner. No caso do Office, o mesmo ocorre com documentos do Word, Excel e PowerPoint provenientes de fontes que a organização não considera seguras.

A chave é que esse isolamento é do tipo hardware: O Hyper-V cria um ambiente independente. do host, o que reduz drasticamente a possibilidade de um invasor pular da sessão isolada para o sistema real, roubar dados da empresa ou explorar credenciais armazenadas.

Além disso, o contêiner é tratado como um ambiente anônimo: Não herda os cookies, senhas ou sessões do usuário.Isso torna a vida muito mais difícil para os atacantes que dependem de técnicas de falsificação ou roubo de sessão.

Tipos de dispositivos recomendados para usar o Application Guard

Embora o Application Guard possa tecnicamente ser executado em vários cenários, ele foi especialmente projetado para ambientes corporativos e dispositivos gerenciadosA Microsoft distingue vários tipos de equipamentos nos quais o MDAG faz mais sentido.

Em primeiro lugar estão os desktop empresarial ingressado no domínioNormalmente, esses computadores são gerenciados com o Configuration Manager ou o Intune. São computadores de escritório tradicionais, com usuários padrão e conectados à rede corporativa cabeada, onde o risco vem principalmente da navegação diária na internet.

Então temos o laptops corporativosEsses dispositivos também estão vinculados a um domínio e são gerenciados centralmente, mas se conectam a redes Wi-Fi internas ou externas. Nesse caso, o risco aumenta porque o dispositivo sai da rede controlada e fica exposto ao Wi-Fi em hotéis, aeroportos ou redes domésticas.

Outro grupo é o de laptops BYOD (Bring Your Own Device, ou Traga Seu Próprio Dispositivo). Equipamentos pessoais que não pertencem à empresa, mas são gerenciados. por meio de soluções como o Intune. Geralmente, estão nas mãos de usuários com privilégios de administrador local, o que aumenta a superfície de ataque e torna o uso de isolamento para acesso a recursos corporativos mais atraente.

Finalmente, existem os dispositivos pessoais completamente não gerenciadosSão sites que não pertencem a nenhum domínio e nos quais o usuário tem controle absoluto. Nesses casos, o Application Guard pode ser usado em modo independente (especialmente no Edge) para fornecer uma camada adicional de proteção ao visitar sites potencialmente perigosos.

Edições e licenciamento do Windows necessários

Antes de começar a configurar qualquer coisa, é importante ter isso bem claro. Em quais edições do Windows você pode usar o Microsoft Defender Application Guard? e com quais direitos de licenciamento.

Para Modo autônomo Edge (ou seja, usar o Application Guard apenas como um ambiente isolado do navegador, sem gerenciamento empresarial avançado) é compatível com o Windows:

• Windows Pro
• Windows Enterprise
• Windows Pro Education / SE
• Windows Education

Nesse cenário, os direitos de licença MDAG são concedidos se você possuir licenças como: Windows Pro / Pro Education / SE, Windows Enterprise E3 ou E5 e Windows Education A3 ou A5Na prática, em muitos PCs profissionais com Windows Pro, já é possível ativar o recurso para uso básico.

Para modo de negócios de ponta e administração corporativa (onde entram em jogo diretivas antecipadas e cenários mais complexos), o suporte é reduzido:

• Windows Enterprise y Windows Education O Application Guard é compatível com este modo.
• Windows Pro e Windows Pro Education/SE não Eles oferecem suporte para essa variante empresarial.

Em relação às licenças, esse uso corporativo mais avançado requer Windows Enterprise E3/E5 ou Windows Education A3/A5Se sua organização trabalha apenas com a versão Pro, sem assinaturas Enterprise, você ficará limitado ao modo Edge independente.

Pré-requisitos e compatibilidade do sistema

Além da edição para Windows, para que o Application Guard funcione de forma estável, você precisa atender aos seguintes requisitos: uma série de requisitos técnicos relacionado à versão, hardware e suporte à virtualização.

Em relação ao sistema operacional, é obrigatório o uso de [nome do sistema operacional]. Windows 10 1809 ou posterior (Atualização de outubro de 2018) ou uma versão equivalente do Windows 11. Não se destina a servidores ou variantes com recursos muito reduzidos; é claramente voltada para computadores cliente.

Em termos de hardware, o equipamento deve ter virtualização baseada em hardware habilitada (Suporte a Intel VT-x/AMD-V e tradução de endereços de segundo nível, como SLAT), visto que o Hyper-V é o componente essencial para a criação do contêiner isolado. Sem essa camada, o MDAG não conseguirá configurar seu ambiente seguro.

Também é essencial ter mecanismos de administração compatíveis Se você for utilizá-lo de forma centralizada (por exemplo, Microsoft Intune ou Configuration Manager), siga as instruções detalhadas nos requisitos de software corporativo. Para implantações simples, a própria interface de Segurança do Windows será suficiente.

Por último, note que O Application Guard está em processo de descontinuação. Para o Microsoft Edge para empresas, algumas APIs associadas a aplicativos independentes não serão mais atualizadas. Mesmo assim, ele continua sendo muito comum em ambientes onde é necessário conter riscos a curto e médio prazo.

Caso de uso: segurança versus produtividade

Um dos problemas clássicos em cibersegurança é encontrar o equilíbrio certo entre Proteger de verdade, e não bloquear o usuário.Se você permitir apenas alguns sites "aprovados", reduzirá o risco, mas acabará com a produtividade. Se afrouxar as restrições, o nível de exposição aumentará drasticamente.

O navegador é um dos principais superfícies de ataque do trabalho, porque seu objetivo é abrir conteúdo não confiável de uma ampla variedade de fontes: sites desconhecidos, downloads, scripts de terceiros, publicidade agressiva, etc. Não importa o quanto você aprimore o mecanismo, sempre haverá novas vulnerabilidades que alguém tentará explorar.

Nesse modelo, o administrador define com precisão quais domínios, intervalos de IP e recursos de nuvem ele considera confiáveis. Tudo que não estiver nessa lista vai automaticamente para o contêiner.Ali, o usuário pode navegar sem receio de que uma falha no navegador comprometa o restante dos sistemas internos.

O resultado é uma navegação relativamente flexível para o funcionário, mas com um fronteira fortemente vigiada entre um mundo externo imprevisível e um ambiente corporativo que deve ser protegido a todo custo.

Funcionalidades e atualizações recentes do Application Guard no Microsoft Edge

Ao longo das diversas versões do Microsoft Edge baseadas no Chromium, a Microsoft vem adicionando Melhorias específicas para o Application Guard Com o objetivo de aprimorar a experiência do usuário e dar ao administrador mais controle.

Uma das novas funcionalidades importantes é a bloqueando o envio de arquivos do contêinerDesde o Edge 96, as organizações podem impedir que os usuários carreguem documentos de seus dispositivos locais para um formulário ou serviço da Web em uma sessão isolada, usando a política. ApplicationGuardUploadBlockingEnabledIsso reduz o risco de vazamento de informações.

Outra melhoria muito útil é a modo passivo, disponível desde o Edge 94. Quando ativado pela política ApplicationGuardPassiveModeEnabledO Application Guard impede que a lista de sites seja exibida à força e permite que o usuário navegue no Edge "normalmente", mesmo que o recurso permaneça instalado. É uma maneira prática de ter a tecnologia pronta sem precisar redirecionar o tráfego ainda.

Também foi adicionada a possibilidade de Sincronizar favoritos do host com o contêinerIsso era algo que muitos clientes solicitavam para evitar duas experiências de navegação completamente desconectadas. Desde o Edge 91, a política ApplicationGuardFavoritesSyncEnabled Isso permite que novos marcadores apareçam igualmente dentro do ambiente isolado.

Na área de redes, o Edge 91 incorporou suporte para Identifique o tráfego que sai do contêiner. graças à diretiva ApplicationGuardTrafficIdentificationEnabledIsso permite que as empresas identifiquem e filtrem esse tráfego por meio de um proxy, por exemplo, para restringir o acesso a um conjunto muito pequeno de sites ao navegar a partir do MDAG.

Proxy duplo, extensões e outros cenários avançados.

Algumas organizações usam o Application Guard em implantações mais complexas, onde precisam de maior segurança. Acompanhe de perto o tráfego de contêineres e as capacidades do navegador dentro desse ambiente isolado.

Para esses casos, o Edge oferece suporte a proxy duplo A partir da versão estável 84, configurável através da diretiva ApplicationGuardContainerProxyA ideia é que o tráfego originado do contêiner seja roteado por meio de um proxy específico, diferente daquele usado pelo host, o que facilita a aplicação de regras independentes e uma inspeção mais rigorosa.

Outro pedido recorrente dos clientes era a possibilidade de usar extensões dentro do contêinerDesde o Edge 81, isso é possível, permitindo a execução de bloqueadores de anúncios, extensões corporativas internas ou outras ferramentas, desde que estejam em conformidade com as políticas definidas. É necessário declarar o updateURL da extensão nas políticas de isolamento de rede, de forma que seja considerado um recurso neutro acessível a partir do Application Guard.

Os cenários aceitos incluem: instalação forçada de extensões no host Essas extensões aparecem então no contêiner, permitindo a remoção de extensões específicas ou o bloqueio de outras consideradas indesejáveis ​​por motivos de segurança. No entanto, isso não se aplica a extensões que dependem de componentes nativos de tratamento de mensagens. Eles não são compatíveis dentro do MDAG.

Para ajudar a diagnosticar problemas de configuração ou comportamento, um página de diagnóstico específica en edge://application-guard-internalsA partir daí, você pode verificar, entre outras coisas, se um determinado URL é considerado confiável ou não, de acordo com as políticas efetivamente aplicadas ao usuário.

Por fim, em relação às atualizações, o novo Microsoft Edge irá Ele também se atualiza dentro do contêiner.Segue o mesmo canal e versão do navegador principal. Não depende mais do ciclo de atualização do sistema operacional, como acontecia com a versão antiga do Edge, o que simplifica bastante a manutenção.

Como ativar o Microsoft Defender Application Guard no Windows

Se você deseja executá-lo em um dispositivo compatível, o primeiro passo é ativar o recurso do Windows correspondente. O processo, em um nível básico, é bastante simples.

A maneira mais rápida é abrir a caixa de diálogo Executar com Win + R, escrever appwiz.cpl Pressione Enter para acessar diretamente o painel "Programas e Recursos". Lá, no lado esquerdo, você encontrará o link "Ativar ou desativar recursos do Windows".

Na lista de componentes disponíveis, você precisará localizar a entrada. “Microsoft Defender Application Guard” e selecione-o. Ao aceitar, o Windows fará o download ou habilitará os binários necessários e solicitará que você reinicie o computador para aplicar as alterações.

Após reiniciar, em dispositivos compatíveis com as versões corretas do Edge, você deverá conseguir: Abrir novas janelas ou abas isoladas por meio das opções do navegador ou, em ambientes gerenciados, automaticamente, de acordo com a configuração da lista de sites não confiáveis.

Se você não vir opções como "Nova janela do Application Guard" ou se o contêiner não abrir, é possível que... As instruções que você está seguindo podem estar desatualizadas.Isso pode ocorrer porque sua edição do Windows não é compatível, você não tem o Hyper-V habilitado ou a política da sua organização desativou o recurso.

Configurando o Application Guard com a Política de Grupo

Em ambientes empresariais, cada equipamento não é configurado manualmente; em vez disso, utiliza-se um sistema predefinido. política de grupo (GPO) ou perfis de configuração no Intune para definir políticas de forma centralizada. O Application Guard depende de dois blocos de configuração principais: isolamento de rede e parâmetros específicos da aplicação.

As configurações de isolamento de rede estão localizadas em Computer Configuration\Administrative Templates\Network\Network IsolationÉ aqui que, por exemplo, são definidos os seguintes termos: faixas de rede interna e domínios considerados domínios da empresaque definirá a fronteira entre o que é confiável e o que deve ser jogado no lixo.

Uma das políticas fundamentais é a de “Intervalos de rede privada para aplicações”Esta seção especifica, em uma lista separada por vírgulas, os intervalos de IP que pertencem à rede corporativa. Os endpoints nesses intervalos serão abertos no Edge normal e não serão acessíveis no ambiente do Application Guard.

Outra política importante é a de “Domínios de recursos empresariais hospedados na nuvem”que usa uma lista separada pelo caractere | Para indicar domínios SaaS e serviços em nuvem da organização que devem ser tratados como internos. Estes também serão renderizados na borda, fora do contêiner.

Finalmente, a diretiva de “Domínios classificados como pessoais e profissionais” Permite declarar domínios que podem ser usados ​​tanto para fins pessoais quanto comerciais. Esses sites serão acessíveis tanto no ambiente Edge normal quanto no Application Guard, conforme apropriado.

Utilizando curingas em configurações de isolamento de rede

Para evitar ter que escrever cada subdomínio um por um, as listas de isolamento de rede oferecem suporte. caracteres curinga em nomes de domínioIsso permite um melhor controle do que é considerado confiável.

Se for simplesmente definido contoso.comO navegador confiará apenas nesse valor específico e não em outros domínios que o contenham. Em outras palavras, ele tratará apenas esse valor literal como pertencente a uma empresa. a raiz exata e não www.contoso.com nem variantes.

Se especificado www.contoso.comtão apenas esse hospedeiro específico serão considerados confiáveis. Outros subdomínios, como shop.contoso.com Eles ficariam de fora e poderiam acabar no lixo.

com o formato .contoso.com (um ponto antes) indica que Qualquer domínio que termine em “contoso.com” é confiável.. Isto inclui desde contoso.com até a www.contoso.com ou até mesmo cadeias como spearphishingcontoso.comPortanto, deve ser usado com cuidado.

Finalmente, se for usado ..contoso.com (dois pontos iniciais), todos os níveis da hierarquia localizados à esquerda do domínio são confiáveis, por exemplo shop.contoso.com o us.shop.contoso.comMas O domínio raiz “contoso.com” não é confiável. Em si mesma. É uma forma mais refinada de controlar o que é considerado um recurso corporativo.

Diretivas específicas do aplicativo principal Guard

O segundo conjunto principal de configurações está localizado em Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application GuardA partir daqui o país é governado. comportamento detalhado do contêiner e o que o usuário pode ou não fazer dentro dele.

Uma das políticas mais relevantes é a de “Configurações da área de transferência”Isso controla se é possível copiar e colar texto ou imagens entre o host e o Application Guard. No modo gerenciado, você pode permitir a cópia apenas do contêiner para fora, apenas na direção inversa ou até mesmo desativar completamente a área de transferência.

Da mesma forma, a diretiva de “Configurações de impressão” Ele decide se o conteúdo pode ser impresso a partir do contêiner e em quais formatos. Você pode habilitar a impressão em PDF, XPS, impressoras locais conectadas ou impressoras de rede predefinidas, ou bloquear todos os recursos de impressão no MDAG.

a opção “Reconhecer a persistência” Essa configuração determina se os dados do usuário (arquivos baixados, cookies, favoritos etc.) são mantidos entre as sessões do Application Guard ou apagados sempre que o ambiente é desligado. Habilitar essa opção no modo gerenciado permite que o contêiner retenha essas informações para sessões futuras; desabilitá-la resulta em um ambiente praticamente limpo a cada inicialização.

Se você decidir parar de permitir a persistência posteriormente, poderá usar a ferramenta. wdagtool.exe com os parâmetros cleanup o cleanup RESET_PERSISTENCE_LAYER Para reiniciar o contêiner e descartar as informações geradas pelo funcionário.

Outra política fundamental é “Ative o Application Guard no modo gerenciado”Esta seção especifica se o recurso se aplica ao Microsoft Edge, ao Microsoft Office ou a ambos. Esta política não entrará em vigor se o dispositivo não atender aos pré-requisitos ou se o isolamento de rede estiver configurado (exceto em algumas versões recentes do Windows, onde não é mais necessário para o Edge se atualizações específicas da Base de Conhecimento (KB) tiverem sido instaladas).

Compartilhamento de arquivos, certificados, câmera e auditoria.

Além das políticas mencionadas acima, existem outras diretrizes que afetam Como o contêiner se relaciona com o sistema hospedeiro e com os periféricos.

A política “Permitir que arquivos sejam baixados para o sistema operacional do host” Essa função decide se o usuário pode salvar arquivos baixados do ambiente isolado no host. Quando habilitada, cria um recurso compartilhado entre os dois ambientes, o que também permite certos uploads do host para o contêiner — muito útil, mas que deve ser avaliado sob a perspectiva de segurança.

A configuração de “Ativar renderização acelerada por hardware” Habilita o uso da GPU via vGPU para melhorar o desempenho gráfico, especialmente na reprodução de vídeos e conteúdo pesado. Se nenhum hardware compatível estiver disponível, o Application Guard recorrerá à renderização pela CPU. No entanto, habilitar essa opção em dispositivos com drivers instáveis ​​pode aumentar o risco para o host.

Existe também uma diretiva para Permitir acesso à câmera e ao microfone. dentro do contêiner. Habilitá-lo permite que aplicativos executados sob o MDAG usem esses dispositivos, facilitando chamadas de vídeo ou videoconferências de ambientes isolados, embora também abra a possibilidade de burlar as permissões padrão caso o contêiner seja comprometido.

Outra política permite o Application Guard. usar autoridades de certificação raiz de host específicasIsso transfere para o contêiner os certificados cuja impressão digital foi especificada. Se essa opção estiver desativada, o contêiner não herdará esses certificados, o que pode bloquear conexões com determinados serviços internos caso eles dependam de autoridades privadas.

Finalmente, a opção de “Permitir eventos de auditoria” Isso faz com que os eventos do sistema gerados no contêiner sejam registrados e as políticas de auditoria do dispositivo sejam herdadas, para que a equipe de segurança possa rastrear o que acontece dentro do Application Guard a partir dos logs do host.

Integração com estruturas de suporte e personalização

Quando algo dá errado no Application Guard, o usuário vê uma caixa de diálogo de erro Por padrão, isso inclui apenas uma descrição do problema e um botão para relatá-lo à Microsoft por meio do Hub de Feedback. No entanto, essa experiência pode ser personalizada para facilitar o suporte interno.

No percurso Administrative Templates\Windows Components\Windows Security\Enterprise Customization Existe uma política que o administrador pode usar. Adicionar informações de contato do serviço de suporteLinks internos ou instruções breves. Dessa forma, quando um funcionário se deparar com o erro, saberá imediatamente quem contatar ou quais medidas tomar.

Perguntas frequentes e problemas comuns com o Application Guard

O uso do Application Guard gera uma boa quantidade de perguntas recorrentes Em implantações no mundo real, especialmente no que diz respeito a desempenho, compatibilidade e comportamento da rede.

Uma das primeiras perguntas é se isso pode ser ativado em dispositivos com apenas 4 GB de RAMEmbora existam cenários em que isso possa funcionar, na prática o desempenho geralmente sofre consideravelmente, já que o contêiner é praticamente outro sistema operacional rodando em paralelo.

Outro ponto sensível é a integração com proxies de rede e scripts PACMensagens como “Não foi possível resolver URLs externas do MDAG Browser: ERR_CONNECTION_REFUSED” ou “ERR_NAME_NOT_RESOLVED” ao acessar o arquivo PAC geralmente indicam problemas de configuração entre o contêiner, o proxy e as regras de isolamento.

Existem também questões relacionadas a Editores de método de entrada (IMEs) não são suportados. Em certas versões do Windows, conflitos com drivers de criptografia de disco ou soluções de controle de dispositivos impedem que o contêiner termine de carregar.

Alguns administradores encontram erros como: “ERRO_LIMITAÇÃO_DE_DISCO_VIRTUAL” Se houver limitações relacionadas a discos virtuais ou falhas na desativação de tecnologias como o hyperthreading que afetam indiretamente o Hyper-V e, por extensão, o MDAG.

Também surgem dúvidas sobre como Confiar apenas em determinados subdomínios, em relação aos limites de tamanho da lista de domínios ou como desativar o comportamento em que a guia de hosts fecha automaticamente ao navegar para um site que abre no contêiner.

Proteção de Aplicativos, modo IE, Chrome e Office

Em ambientes onde o Modo IE no Microsoft EdgeO Application Guard é compatível, mas a Microsoft não prevê um uso generalizado do recurso neste modo. Recomenda-se reservar o modo IE para [aplicações/usos específicos]. sites internos confiáveis e utilize o MDAG apenas para sites considerados externos e não confiáveis.

É importante certificar-se de que todos os sites configurados no modo IEA rede, juntamente com seus endereços IP associados, também deve ser incluída nas políticas de isolamento de rede como recursos confiáveis. Caso contrário, comportamentos inesperados podem ocorrer ao combinar ambas as funções.

Em relação ao Chrome, muitos usuários perguntam se é necessário. Instale uma extensão do Application Guard.A resposta é não: a funcionalidade está integrada nativamente ao Microsoft Edge, e a antiga extensão do Chrome não é uma configuração compatível com o Edge.

Para documentos do Office, o Application Guard permite Abra arquivos do Word, Excel e PowerPoint em um contêiner isolado. Quando os arquivos são considerados não confiáveis, isso impede que macros maliciosas ou outros vetores de ataque cheguem ao host. Essa proteção pode ser combinada com outros recursos do Defender e políticas de confiança de arquivos.

Existe até uma opção de política de grupo que permite aos usuários "confiar" em determinados arquivos abertos no Application Guard, para que sejam tratados como seguros e saiam do contêiner. Essa funcionalidade deve ser gerenciada com cuidado para evitar a perda dos benefícios do isolamento.

Downloads, área de transferência, favoritos e extensões: experiência do usuário

Do ponto de vista do usuário, algumas das questões mais práticas giram em torno de... O que pode e o que não pode ser feito dentro do contêinerespecialmente com downloads, copiar/colar e extensões.

No Windows 10 Enterprise 1803 e versões posteriores (com nuances dependendo da edição), é possível permitir o download de documentos do contêiner para o host Essa opção não estava disponível em versões anteriores ou em certas compilações de edições como a Pro, embora fosse possível imprimir em PDF ou XPS e salvar o resultado no dispositivo host.

Com relação à prancheta, a política da empresa pode permitir que... Imagens em formato BMP e texto são copiados. de e para o ambiente isolado. Se os funcionários reclamarem que não conseguem copiar conteúdo, essas políticas geralmente precisarão ser revisadas.

Muitos usuários também perguntam por quê. Eles não veem seus favoritos nem suas extensões. na sessão Edge sob o Application Guard. Isso geralmente ocorre devido à sincronização de favoritos estar desativada ou à política de extensões no MDAG não estar habilitada. Depois que essas opções forem ajustadas, o navegador no contêiner poderá herdar favoritos e certas extensões, sempre com as limitações mencionadas anteriormente.

Existem até casos em que uma extensão aparece, mas "não funciona". Se ela depende de componentes nativos de manipulação de mensagens, essa funcionalidade não estará disponível no contêiner, e a extensão apresentará comportamento limitado ou completamente inoperante.

Desempenho gráfico, HDR e aceleração de hardware

Outro tópico que surge frequentemente é o de Reprodução de vídeo e recursos avançados como HDR Dentro do Application Guard. Ao executar no Hyper-V, o contêiner nem sempre tem acesso direto aos recursos da GPU.

Para que a reprodução HDR funcione corretamente em um ambiente isolado, é necessário que o A aceleração de hardware vGPU está ativada. por meio da política de renderização acelerada. Caso contrário, o sistema dependerá da CPU e certas opções, como HDR, não aparecerão nas configurações do reprodutor ou do site.

Mesmo com a aceleração ativada, se o hardware gráfico não for considerado suficientemente seguro ou compatível, o Application Guard poderá... retornar automaticamente à renderização por softwareO que afeta a fluidez e o consumo de bateria em laptops.

Algumas implementações apresentaram problemas com fragmentação TCP e conflitos com VPNs que parecem nunca entrar em funcionamento. Quando o tráfego passa pelo contêiner, geralmente é necessário revisar as políticas de rede, o MTU, a configuração do proxy e, às vezes, ajustar a forma como o MDAG se integra a outros componentes de segurança já instalados.

Suporte, diagnóstico e notificação de incidentes

Quando, apesar de tudo, surgirem problemas que não podem ser resolvidos internamente, a Microsoft recomenda Abra um ticket de suporte específico Para o Microsoft Defender Application Guard, é importante coletar informações previamente na página de diagnóstico, nos registros de eventos relacionados e nos detalhes da configuração aplicada ao dispositivo.

O uso da página edge://application-guard-internals, combinado com o eventos de auditoria ativados e o lançamento de ferramentas como wdagtool.exeGeralmente, fornece à equipe de suporte dados suficientes para localizar a origem do problema, seja uma política mal definida, um conflito com outro produto de segurança ou uma limitação de hardware.

Além disso, os usuários podem personalizar as mensagens de erro e as informações de contato na caixa de diálogo de suporte técnico do Windows Security, facilitando a busca pela solução adequada. Não fique sem saber a quem recorrer. Quando o contêiner não inicia ou não abre como esperado.

Em resumo, o Microsoft Defender Application Guard oferece uma poderosa combinação de isolamento de hardware, controle granular de políticas e ferramentas de diagnóstico que, quando utilizadas corretamente, podem reduzir significativamente o risco associado à navegação em sites não confiáveis ​​ou à abertura de documentos de fontes duvidosas, sem comprometer a produtividade diária.