Cum se utilizează Microsoft Defender Application Guard pas cu pas

Dacă lucrați cu informații sensibile sau navigați zilnic pe site-uri web suspecte, Protecția aplicațiilor Microsoft Defender (MDAG) Este una dintre acele caracteristici Windows care pot face diferența dintre o sperietură și un dezastru. Nu este doar un alt program antivirus, ci un strat suplimentar care izolează amenințările din sistemul și datele tale.

În rândurile următoare veți vedea clar Ce este mai exact Application Guard, cum funcționează intern, pe ce dispozitive îl poți utiliza și cum îl configurezi? Vom acoperi atât implementări simple, cât și implementări la nivel de întreprindere. De asemenea, vom analiza cerințele, politicile de grup, erorile comune și diverse întrebări frecvente care apar atunci când începeți să lucrați cu această tehnologie.

Ce este Microsoft Defender Application Guard și cum funcționează?

Microsoft Defender Application Guard este o caracteristică avansată de securitate concepută pentru a Izolați site-urile web și documentele neîncrezătoare într-un container virtual Bazat pe Hyper-V. În loc să încerce să blocheze fiecare atac unul câte unul, creează un mic „computer de unică folosință” unde plasează materialul suspect.

Acel container rulează într-un separat de sistemul de operare principalcu propria instanță securizată de Windows și fără acces direct la fișiere, acreditări sau resurse interne ale companiei. Chiar dacă un site rău intenționat reușește să exploateze o vulnerabilitate a browserului sau a Office, daunele rămân în acel mediu izolat.

În cazul Microsoft Edge, Application Guard asigură că orice domeniu care nu este marcat ca fiind de încredere Se deschide automat în acel container. Pentru Office, face același lucru și cu documentele Word, Excel și PowerPoint care provin din surse pe care organizația nu le consideră sigure.

Cheia este că această izolare este de tip hardware: Hyper-V creează un mediu independent de la gazdă, ceea ce reduce drastic posibilitatea ca un atacator să sară de la sesiunea izolată la sistemul real, să fure datele companiei sau să exploateze acreditările stocate.

În plus, containerul este tratat ca un mediu anonim: Nu moștenește cookie-urile, parolele sau sesiunile utilizatorului.Acest lucru îngreunează mult viața atacatorilor care se bazează pe tehnici de spoofing sau furt de sesiune.

Tipuri de dispozitive recomandate pentru utilizarea Application Guard

Deși Application Guard poate rula din punct de vedere tehnic în diverse scenarii, este special conceput pentru medii corporative și dispozitive gestionateMicrosoft distinge mai multe tipuri de echipamente în care MDAG are cel mai mult sens.

În primul rând există desktop de întreprindere asociat la domeniuAcestea sunt de obicei gestionate cu Configuration Manager sau Intune. Sunt computere de birou tradiționale, cu utilizatori standard și conectate la rețeaua corporativă cu fir, unde riscul provine în principal din navigarea zilnică pe internet.

Apoi avem laptopuri corporativeAcestea sunt, de asemenea, dispozitive conectate la domenii și gestionate central, dar se conectează la rețele Wi-Fi interne sau externe. În acest caz, riscul crește deoarece dispozitivul părăsește rețeaua controlată și este expus la Wi-Fi în hoteluri, aeroporturi sau rețele de domiciliu.

Un alt grup este cel al laptopurilor BYOD (Bring Your Own Device - Adu-ți propriul dispozitiv), echipament personal care nu aparține companiei, dar este gestionat prin soluții precum Intune. Acestea sunt de obicei în mâinile utilizatorilor cu privilegii de administrator local, ceea ce crește suprafața de atac și face ca utilizarea izolării pentru accesul la resursele corporative să fie mai atractivă.

În cele din urmă, există dispozitive personale complet negestionateAcestea sunt site-uri web care nu aparțin niciunui domeniu și unde utilizatorul are control absolut. În aceste cazuri, Application Guard poate fi utilizat în mod independent (în special pentru Edge) pentru a oferi un nivel suplimentar de protecție la vizitarea site-urilor web potențial periculoase.

Edițiile și licențele Windows necesare

Înainte de a începe să configurați orice, este important să fiți clar în acest sens. În ce ediții de Windows puteți utiliza Microsoft Defender Application Guard și cu ce drepturi de licențiere.

Pentru Mod independent Edge (adică, utilizarea Application Guard doar ca sandbox de browser fără gestionare avansată a întreprinderii), este acceptată pe Windows:

• Windows pro
• Windows Enterprise
• Windows Pro Education / SE
• Windows Education

În acest scenariu, drepturile de licență MDAG sunt acordate dacă aveți licențe precum Windows Pro / Pro Education / SE, Windows Enterprise E3 sau E5 și Windows Education A3 sau A5În practică, pe multe PC-uri profesionale cu Windows Pro puteți deja activa funcția pentru utilizare de bază.

Pentru mod enterprise edge și administrare corporativă (unde intră în joc directive avansate și scenarii mai complexe), suportul este redus:

• Windows Enterprise y Windows Education Application Guard este acceptat în acest mod.
• Windows Pro și Windows Pro Education/SE Nu. Au suport pentru această variantă enterprise.

În ceea ce privește licențele, această utilizare corporativă mai avansată necesită Windows Enterprise E3/E5 sau Windows Education A3/A5Dacă organizația dvs. folosește doar abonamente Pro fără Enterprise, veți fi limitat la modul autonom Edge.

Cerințe preliminare și compatibilitate a sistemului

Pe lângă ediția Windows, pentru ca Application Guard să funcționeze stabil, trebuie să îndepliniți o serie de cerințe tehnice legate de versiune, hardware și suport pentru virtualizare.

În ceea ce privește sistemul de operare, este obligatorie utilizarea Windows 10 1809 sau o versiune ulterioară (actualizare octombrie 2018) sau o versiune echivalentă de Windows 11. Nu este destinată SKU-urilor de server sau variantelor cu scalare puternic redusă; este în mod clar destinată computerelor client.

La nivel hardware, echipamentul trebuie să aibă virtualizare bazată pe hardware activată (Suport Intel VT-x/AMD-V și traducere de adrese de nivel secundar, cum ar fi SLAT), deoarece Hyper-V este componenta cheie pentru crearea containerului izolat. Fără acest strat, MDAG nu va putea configura mediul său securizat.

De asemenea, este esențial să aveți mecanisme de administrare compatibile Dacă intenționați să îl utilizați centralizat (de exemplu, Microsoft Intune sau Configuration Manager), așa cum este detaliat în cerințele software pentru întreprinderi. Pentru implementări simple, interfața de securitate Windows în sine va fi suficientă.

În cele din urmă, rețineți că Application Guard este în curs de depreciere. Pentru Microsoft Edge pentru afaceri și că anumite API-uri asociate cu aplicațiile independente nu vor mai fi actualizate. Chiar și așa, rămâne foarte răspândit în mediile în care este necesară limitarea riscurilor pe termen scurt și mediu.

Caz de utilizare: siguranță versus productivitate

Una dintre problemele clasice în securitatea cibernetică este găsirea echilibrului potrivit între pentru a proteja cu adevărat utilizatorul, nu pentru a-l blocaDacă permiți accesul doar la câteva site-uri web „binecuvântate”, reduci riscul, dar distrugi productivitatea. Dacă relaxezi restricțiile, nivelul de expunere crește vertiginos.

Browserul este unul dintre suprafețele principale de atac al jobului, deoarece scopul său este de a deschide conținut neîncrezător dintr-o varietate largă de surse: site-uri web necunoscute, descărcări, scripturi terțe, publicitate agresivă etc. Indiferent cât de mult îmbunătățiți motorul, vor exista întotdeauna noi vulnerabilități pe care cineva va încerca să le exploateze.

În acest model, administratorul definește cu precizie domeniile, intervalele IP și resursele cloud pe care le consideră de încredere. Orice nu se află pe acea listă ajunge automat în containerAcolo, utilizatorul poate naviga fără teama că o eroare a browserului va pune în pericol restul sistemelor interne.

Rezultatul este o navigare relativ flexibilă pentru angajat, dar cu o graniță puternic păzită între o lume exterioară nesigură și un mediu corporativ care trebuie protejat cu orice preț.

Caracteristici și actualizări recente pentru Application Guard în Microsoft Edge

De-a lungul diferitelor versiuni de Microsoft Edge bazate pe Chromium, Microsoft a adăugat Îmbunătățiri specifice pentru Application Guard cu scopul de a rafina experiența utilizatorului și de a oferi administratorului mai mult control.

Una dintre noile caracteristici importante este blocarea încărcării fișierelor din containerÎncepând cu Edge 96, organizațiile au putut împiedica utilizatorii să încarce documente de pe dispozitivul lor local într-un formular sau serviciu web în cadrul unei sesiuni izolate, utilizând politica ApplicationGuardUploadBlockingEnabledAcest lucru reduce riscul scurgerilor de informații.

O altă îmbunătățire foarte utilă este modul pasiv, disponibil începând cu Edge 94. Când este activat de politică ApplicationGuardPassiveModeEnabledApplication Guard nu mai forțează lista de site-uri și permite utilizatorului să navigheze pe Edge „normal”, chiar dacă funcția rămâne instalată. Este o modalitate convenabilă de a avea tehnologia pregătită fără a redirecționa încă traficul.

A fost adăugată și posibilitatea de sincronizați favoritele gazdei cu containerulAcesta a fost un lucru solicitat de mulți clienți pentru a evita două experiențe de navigare complet deconectate. Începând cu Edge 91, politica ApplicationGuardFavoritesSyncEnabled Permite apariția unor noi markeri în mod egal în mediul izolat.

În domeniul rețelelor, Edge 91 a încorporat suport pentru etichetați traficul care părăsește containerul datorită directivei ApplicationGuardTrafficIdentificationEnabledAcest lucru permite companiilor să identifice și să filtreze traficul respectiv printr-un proxy, de exemplu pentru a restricționa accesul la un set foarte mic de site-uri atunci când se navighează din MDAG.

Proxy dual, extensii și alte scenarii avansate

Unele organizații utilizează Application Guard în implementări mai complexe, unde au nevoie monitorizați îndeaproape traficul de containere și capacitățile browserului în acel mediu izolat.

Pentru aceste cazuri, Edge oferă suport pentru dublu proxy De la versiunea stabilă 84 încolo, configurabil prin directiva ApplicationGuardContainerProxyIdeea este că traficul provenit din container este rutat printr-un proxy specific, diferit de cel utilizat de gazdă, ceea ce facilitează aplicarea unor reguli independente și o inspecție mai strictă.

O altă solicitare recurentă din partea clienților a fost posibilitatea ca utilizați extensii în cadrul containeruluiÎncă de la Edge 81, acest lucru a fost posibil, astfel încât blocanții de reclame, extensiile interne ale companiei sau alte instrumente pot fi rulate atâta timp cât respectă politicile definite. Este necesar să se declare updateURL a extensiei în politicile de izolare a rețelei, astfel încât să fie considerată o resursă neutră accesibilă din Application Guard.

Scenariile acceptate includ instalarea forțată a extensiilor pe gazdă Aceste extensii apar apoi în container, permițând eliminarea anumitor extensii sau blocarea altora considerate nedorite din motive de securitate. Totuși, acest lucru nu se aplică extensiilor care se bazează pe componente native de gestionare a mesajelor. Nu sunt compatibile în cadrul MDAG.

Pentru a ajuta la diagnosticarea problemelor de configurare sau de comportament, un pagină de diagnosticare specifică en edge://application-guard-internalsDe acolo, puteți verifica, printre altele, dacă o anumită adresă URL este considerată de încredere sau nu, conform politicilor aplicate efectiv utilizatorului.

În cele din urmă, în ceea ce privește actualizările, noul Microsoft Edge va De asemenea, se actualizează singur în cadrul containeruluiUrmează același canal și aceeași versiune ca și browserul gazdă. Nu mai depinde de ciclul de actualizare al sistemului de operare, așa cum era cazul versiunii Legacy de Edge, ceea ce simplifică foarte mult întreținerea.

Cum se activează Microsoft Defender Application Guard în Windows

Dacă doriți să îl rulați pe un dispozitiv compatibil, primul pas este activați funcția Windows corespunzător. Procesul, la nivel de bază, este destul de simplu.

Cea mai rapidă metodă este să deschideți caseta de dialog Executare cu Win + R, a scrie appwiz.cpl și apăsați Enter pentru a accesa direct panoul „Programe și caracteristici”. De acolo, în partea stângă, veți găsi linkul către „Activarea sau dezactivarea caracteristicilor Windows”.

În lista de componente disponibile, va trebui să localizați intrarea „Protecția aplicațiilor Microsoft Defender” și selectați-l. După acceptare, Windows va descărca sau activa fișierele binare necesare și vă va solicita să reporniți computerul pentru a aplica modificările.

După repornire, pe dispozitivele compatibile cu versiunile corecte de Edge, ar trebui să puteți Deschideți ferestre noi sau file izolate prin opțiunile browserului sau, în mediile gestionate, automat, conform configurației listei de site-uri neîncrezătoare.

Dacă nu vedeți opțiuni precum „Fereastră nouă Application Guard” sau containerul nu se deschide, este posibil ca Instrucțiunile pe care le urmați pot fi învechite.Acest lucru se poate datora faptului că ediția dvs. de Windows nu este acceptată, nu aveți Hyper-V activat sau politica organizației dvs. a dezactivat funcția.

Configurarea Application Guard cu politica de grup

În mediile de afaceri, fiecare echipament nu este configurat manual; în schimb, se utilizează un sistem predefinit. politică de grup (GPO) sau profiluri de configurare în Intune pentru a defini centralizat politica. Application Guard se bazează pe două blocuri principale de configurare: izolarea rețelei și parametri specifici aplicației.

Setările de izolare a rețelei se află în Computer Configuration\Administrative Templates\Network\Network IsolationAici sunt definite, de exemplu, următoarele: intervale și domenii de rețea interne considerate domenii ale companieicare va marca granița dintre ceea ce este de încredere și ceea ce ar trebui aruncat la gunoi.

Una dintre politicile cheie este cea a „Intervale de rețea privată pentru aplicații”Această secțiune specifică, într-o listă separată prin virgulă, intervalele IP care aparțin rețelei corporative. Punctele finale din aceste intervale se vor deschide în Edge normal și nu vor fi accesibile din mediul Application Guard.

O altă politică importantă este cea a „Domenii de resurse pentru întreprinderi găzduite în cloud”care folosește o listă separată de caracter | Pentru a indica domeniile SaaS și serviciile cloud ale organizației care ar trebui tratate ca interne. Acestea vor fi, de asemenea, redate la Edge, în afara containerului.

În cele din urmă, directiva de la „Domenii clasificate ca personale și profesionale” Vă permite să declarați domenii care pot fi utilizate atât în ​​scopuri personale, cât și comerciale. Aceste site-uri vor fi accesibile atât din mediul Edge normal, cât și din Application Guard, după caz.

Utilizarea caracterelor wildcard în setările de izolare a rețelei

Pentru a evita scrierea fiecărui subdomeniu pe rând, listele de izolare a rețelei acceptă caractere wildcard în numele de domeniuAcest lucru permite un control mai bun asupra a ceea ce este considerat fiabil.

Dacă este definit simplu contoso.comBrowserul va avea încredere doar în acea valoare specifică și nu în alte domenii care o conțin. Cu alte cuvinte, va trata doar acea valoare literală ca aparținând unei afaceri. rădăcina exactă și nu www.contoso.com nici variante.

Dacă este specificat www.contoso.com, asa de doar gazda respectivă vor fi considerate de încredere. Alte subdomenii, cum ar fi shop.contoso.com Ar fi lăsate afară și ar putea ajunge la tomberon.

Cu formatul .contoso.com (o perioadă anterioară) indică faptul că Orice domeniu care se termină în „contoso.com” este considerat de încredere. Aceasta include de la contoso.com licitație www.contoso.com sau chiar lanțuri precum spearphishingcontoso.comDeci trebuie folosit cu grijă.

În cele din urmă, dacă este folosit ..contoso.com (două puncte inițiale), toate nivelurile ierarhiei situate la stânga domeniului sunt de încredere, de exemplu shop.contoso.com o us.shop.contoso.comDar Rădăcina „contoso.com” nu este de încredere în sine. Este o modalitate mai fină de a controla ceea ce este considerat o resursă corporativă.

Directivele principale specifice Application Guard

Al doilea set major de setări se află în Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application GuardDe aici, țara este guvernată comportamentul detaliat al containerului și ce poate sau nu poate face utilizatorul în cadrul acestuia.

Una dintre cele mai relevante politici este cea a „Setări clipboard”Aceasta controlează dacă este posibilă copierea și lipirea textului sau a imaginilor între gazdă și Application Guard. În modul gestionat, puteți permite copierea doar din container spre exterior, doar în direcția inversă sau chiar puteți dezactiva complet clipboard-ul.

În mod similar, directiva de la „Setări de imprimare” Acesta decide dacă conținutul poate fi imprimat din container și în ce formate. Puteți activa imprimarea în format PDF, XPS, imprimante locale conectate sau imprimante de rețea predefinite sau puteți bloca toate capacitățile de imprimare din MDAG.

Opțiunea „Recunoaște persistența” Această setare stabilește dacă datele utilizatorului (fișiere descărcate, cookie-uri, favorite etc.) sunt păstrate între sesiunile Application Guard sau eliminate de fiecare dată când mediul este închis. Activarea acestei opțiuni în modul gestionat permite containerului să păstreze aceste informații pentru sesiunile viitoare; dezactivarea acesteia are ca rezultat un mediu practic curat la fiecare pornire.

Dacă decideți să nu permiteți persistența mai târziu, puteți utiliza instrumentul wdagtool.exe cu parametrii cleanup o cleanup RESET_PERSISTENCE_LAYER pentru a reseta containerul și a elimina informațiile generate de angajat.

O altă politică cheie este „Activați Application Guard în modul gestionat”Această secțiune specifică dacă funcția se aplică la Microsoft Edge, Microsoft Office sau ambele. Această politică nu va intra în vigoare dacă dispozitivul nu îndeplinește cerințele preliminare sau are configurată izolarea rețelei (cu excepția anumitor versiuni recente de Windows, unde nu mai este necesară pentru Edge dacă au fost instalate actualizări specifice ale KB).

Partajarea fișierelor, certificatele, camera și auditarea

Pe lângă politicile menționate mai sus, există și alte directive care afectează modul în care containerul se raportează la sistemul gazdă și cu perifericele.

Politică „Permite descărcarea fișierelor în sistemul de operare gazdă” Decide dacă utilizatorul poate salva fișierele descărcate din mediul izolat pe gazdă. Când este activată, creează o resursă partajată între ambele medii, care permite și anumite încărcări de pe gazdă în container - foarte util, dar unul care ar trebui evaluat din perspectiva securității.

Configurarea „Activează randarea accelerată hardware” Activează utilizarea GPU prin intermediul vGPU pentru a îmbunătăți performanța grafică, în special la redarea videoclipurilor și a conținutului intens. Dacă nu este disponibil hardware compatibil, Application Guard va reveni la randarea CPU. Activarea acestei opțiuni pe dispozitive cu drivere nesigure poate, însă, crește riscul pentru gazdă.

Există, de asemenea, o directivă pentru permite accesul la cameră și microfon în cadrul containerului. Activarea acesteia permite aplicațiilor care rulează sub MDAG să utilizeze aceste dispozitive, facilitând apeluri video sau conferințe din medii izolate, deși deschide și ușa pentru ocolirea permisiunilor standard dacă containerul este compromis.

O altă politică permite Application Guard utilizați autorități de certificare rădăcină specifice gazdeiAceasta transferă către container certificatele a căror amprentă a fost specificată. Dacă această opțiune este dezactivată, containerul nu va moșteni acele certificate, ceea ce poate bloca conexiunile la anumite servicii interne dacă acestea se bazează pe autorități private.

În sfârșit, opțiunea de „Permite evenimente de audit” Aceasta face ca evenimentele de sistem generate în container să fie înregistrate în jurnal și politicile de auditare a dispozitivelor să fie moștenite, astfel încât echipa de securitate să poată urmări ce se întâmplă în Application Guard din jurnalele gazdei.

Integrare cu framework-uri de suport și personalizare

Când ceva nu merge bine în Application Guard, utilizatorul vede un casetă de dialog de eroare În mod implicit, aceasta include doar o descriere a problemei și un buton pentru a o raporta către Microsoft prin intermediul Centrului de feedback. Cu toate acestea, această experiență poate fi personalizată pentru a facilita asistența internă.

Pe traseu Administrative Templates\Windows Components\Windows Security\Enterprise Customization Există o politică pe care administratorul o poate folosi Adăugați informațiile de contact ale serviciului de asistențăLinkuri interne sau instrucțiuni scurte. În acest fel, atunci când un angajat vede eroarea, va ști imediat pe cine să contacteze sau ce pași să ia.

Întrebări frecvente și probleme comune cu Application Guard

Utilizarea Application Guard generează o bună parte din întrebări recurente în implementări din lumea reală, în special în ceea ce privește performanța, compatibilitatea și comportamentul rețelei.

Una dintre primele întrebări este dacă poate fi activată în dispozitive cu doar 4 GB de RAMDeși există scenarii în care ar putea funcționa, în practică performanța are de obicei de suferit considerabil, deoarece containerul este practic un alt sistem de operare care rulează în paralel.

Un alt punct sensibil este integrarea cu proxy-uri de rețea și scripturi PACMesaje precum „Nu se pot rezolva URL-uri externe din browserul MDAG: ERR_CONNECTION_REFUSED” sau „ERR_NAME_NOT_RESOLVED” la accesarea fișierului PAC eșuează, de obicei, indică probleme de configurare între container, proxy și regulile de izolare.

Există, de asemenea, probleme legate de IME-urile (editoarele de metode de introducere a datelor) nu sunt acceptate În anumite versiuni de Windows, conflictele cu driverele de criptare a discului sau cu soluțiile de control al dispozitivelor împiedică finalizarea încărcării containerului.

Unii administratori întâmpină erori precum „EROARE_LIMITARE_DISC_VIRTUAL” Dacă există limitări legate de discurile virtuale sau erori de dezactivare a tehnologiilor precum hyperthreading care afectează indirect Hyper-V și, prin extensie, MDAG.

Se ridică, de asemenea, întrebări cu privire la modul în care acordă încredere doar anumitor subdomenii, referitor la limitele de dimensiune ale listei de domenii sau la modul de dezactivare a comportamentului prin care fila gazdă se închide automat la navigarea către un site care se deschide în container.

Application Guard, modul IE, Chrome și Office

În medii în care Modul IE în Microsoft EdgeApplication Guard este acceptat, dar Microsoft nu se așteaptă la utilizarea pe scară largă a funcției în acest mod. Se recomandă rezervarea modului IE pentru [aplicații/utilizări specifice]. site-uri interne de încredere și utilizați MDAG doar pentru site-uri web considerate externe și neîncrezătoare.

Este important să vă asigurați că toate site-urile configurate în modul IERețeaua, împreună cu adresele IP asociate, trebuie incluse și în politicile de izolare a rețelei ca resurse de încredere. În caz contrar, poate apărea un comportament neașteptat la combinarea ambelor funcții.

În ceea ce privește Chrome, mulți utilizatori se întreabă dacă este necesar instalați o extensie Application GuardRăspunsul este nu: funcționalitatea este integrată nativ în Microsoft Edge, iar vechea extensie Chrome nu este o configurație acceptată atunci când se lucrează cu Edge.

Pentru documentele Office, Application Guard permite Deschiderea fișierelor Word, Excel și PowerPoint într-un container izolat atunci când fișierele sunt considerate neîncredere, împiedicând astfel macrocomenzile rău intenționate sau alți vectori de atac să ajungă la gazdă. Această protecție poate fi combinată cu alte caracteristici Defender și politici de încredere a fișierelor.

Există chiar și o opțiune de politică de grup care permite utilizatorilor să „aibe încredere” în anumite fișiere deschise în Application Guard, astfel încât acestea să fie tratate ca fiind sigure și să iasă din container. Această capacitate ar trebui gestionată cu atenție pentru a evita pierderea beneficiului izolării.

Descărcări, clipboard, favorite și extensii: experiența utilizatorului

Din punctul de vedere al utilizatorului, unele dintre cele mai practice întrebări se învârt în jurul Ce se poate și ce nu se poate face în interiorul containeruluimai ales cu descărcări, copiere/lipire și extensii.

În Windows 10 Enterprise 1803 și versiunile ulterioare (cu nuanțe în funcție de ediție), este posibil permite descărcarea documentelor din container în gazdă Această opțiune nu era disponibilă în versiunile anterioare sau în anumite versiuni ale unor ediții precum Pro, deși era posibilă imprimarea în format PDF sau XPS și salvarea rezultatului pe dispozitivul gazdă.

În ceea ce privește clipboardul, politica corporativă poate permite ca Imaginile în format BMP și textul sunt copiate către și dinspre mediul izolat. Dacă angajații se plâng că nu pot copia conținut, aceste politici vor trebui, de obicei, revizuite.

Mulți utilizatori întreabă și de ce Nu își văd favoritele sau extensiile în sesiunea Edge sub Application Guard. Acest lucru se datorează, de obicei, faptului că sincronizarea marcajelor este dezactivată sau politica de extensii din MDAG nu este activată. Odată ce aceste opțiuni sunt ajustate, browserul din container poate moșteni marcaje și anumite extensii, întotdeauna cu limitările menționate anterior.

Există chiar cazuri în care o extensie apare, dar „nu funcționează”. Dacă se bazează pe componente native de gestionare a mesajelor, funcționalitatea respectivă nu va fi disponibilă în container, iar extensia va prezenta un comportament limitat sau complet inoperabil.

Performanță grafică, HDR și accelerare hardware

Un alt subiect care apare frecvent este cel al redare video și funcții avansate precum HDR în cadrul Application Guard. Când rulează pe Hyper-V, containerul nu are întotdeauna acces direct la capacitățile GPU.

Pentru ca redarea HDR să funcționeze corect într-un mediu izolat, este necesar ca Accelerarea hardware vGPU este activată prin politica de randare accelerată. În caz contrar, sistemul se va baza pe procesor, iar anumite opțiuni, cum ar fi HDR, nu vor apărea în setările playerului sau ale site-ului web.

Chiar și cu accelerarea activată, dacă hardware-ul grafic nu este considerat suficient de sigur sau compatibil, Application Guard poate revenire automată la randarea softwareceea ce afectează fluiditatea și consumul bateriei la laptopuri.

Unele implementări au prezentat probleme cu fragmentarea TCP și conflicte cu VPN-uri care par să nu fie niciodată funcționale când traficul trece prin container. În aceste cazuri, este de obicei necesar să se revizuiască politicile de rețea, MTU, configurația proxy și uneori să se ajusteze modul în care MDAG se integrează cu alte componente de securitate deja instalate.

Suport, diagnosticare și raportare a incidentelor

Când, în ciuda tuturor lucrurilor, apar probleme care nu pot fi rezolvate intern, Microsoft recomandă deschideți un tichet de asistență specific pentru Microsoft Defender Application Guard. Este important să colectați informații în prealabil din pagina de diagnosticare, jurnalele de evenimente aferente și detaliile configurației aplicate dispozitivului.

Utilizarea paginii edge://application-guard-internals, combinat cu evenimente de audit activate și lansarea de instrumente precum wdagtool.exeDe obicei, oferă echipei de asistență suficiente date pentru a localiza sursa problemei, fie că este vorba de o politică prost definită, un conflict cu un alt produs de securitate sau o limitare hardware.

Pe lângă toate acestea, utilizatorii pot personaliza mesajele de eroare și informațiile de contact în caseta de dialog de asistență tehnică pentru Securitatea Windows, ceea ce le facilitează găsirea soluției potrivite. Nu te bloca fără să știi la cine să apelezi când recipientul nu pornește sau nu se deschide conform așteptărilor.

Per total, Microsoft Defender Application Guard oferă o combinație puternică de izolare hardware, control granular al politicilor și instrumente de diagnosticare care, atunci când sunt utilizate corect, pot reduce semnificativ riscul asociat cu navigarea pe site-uri neîncrezătoare sau deschiderea documentelor din surse dubioase, fără a compromite productivitatea zilnică.