Ako krok za krokom používať Microsoft Defender Application Guard

Ak pracujete s citlivými informáciami alebo denne prehliadate podozrivé webové stránky, Ochrana aplikácií v programe Microsoft Defender (MDAG) Je to jedna z tých funkcií systému Windows, ktoré môžu znamenať rozdiel medzi strachom a katastrofou. Nie je to len ďalší antivírusový program, ale ďalšia vrstva, ktorá izoluje hrozby od vášho systému a údajov.

V nasledujúcich riadkoch jasne uvidíte Čo presne je Application Guard, ako funguje interne, na ktorých zariadeniach ho môžete používať a ako ho nakonfigurovať? Budeme sa venovať jednoduchým aj podnikovým nasadeniam. Taktiež si prejdeme požiadavky, skupinové politiky, bežné chyby a rôzne často kladené otázky, ktoré vznikajú pri začatí práce s touto technológiou.

Čo je ochrana aplikácií v programe Microsoft Defender a ako funguje?

Microsoft Defender Application Guard je pokročilá bezpečnostná funkcia navrhnutá tak, aby Izolujte nedôveryhodné webové stránky a dokumenty vo virtuálnom kontajneri Založené na Hyper-V. Namiesto toho, aby sa snažil blokovať každý útok jeden po druhom, vytvára malý „jednorazový počítač“, kam ukladá podozrivý materiál.

Tento kontajner beží v oddelené od hlavného operačného systémus vlastnou zosilnenou inštanciou systému Windows a bez priameho prístupu k súborom, povereniam alebo interným firemným zdrojom. Aj keď sa škodlivej stránke podarí zneužiť zraniteľnosť prehliadača alebo balíka Office, škoda zostane v tomto izolovanom prostredí.

V prípade prehliadača Microsoft Edge zabezpečuje funkcia Application Guard, aby akákoľvek doména, ktorá nie je označená ako dôveryhodná Otvorí sa automaticky v danom kontajneri. V prípade balíka Office to isté robí s dokumentmi programov Word, Excel a PowerPoint, ktoré pochádzajú zo zdrojov, ktoré organizácia nepovažuje za bezpečné.

Kľúčové je, že táto izolácia je hardvérového typu: Hyper-V vytvára nezávislé prostredie z hostiteľa, čo drasticky znižuje možnosť, že útočník prejde z izolovanej relácie do skutočného systému, ukradne firemné údaje alebo zneužije uložené prihlasovacie údaje.

Okrem toho sa s kontajnerom zaobchádza ako s anonymným prostredím: Nededí súbory cookie, heslá ani relácie používateľa.To výrazne sťažuje život útočníkom, ktorí sa spoliehajú na techniky spoofingu alebo krádeže relácií.

Odporúčané typy zariadení na používanie funkcie Application Guard

Hoci Application Guard môže technicky fungovať v rôznych scenároch, je špeciálne navrhnutý pre firemné prostredia a spravované zariadeniaSpoločnosť Microsoft rozlišuje niekoľko typov zariadení, kde MDAG dáva najväčší zmysel.

V prvom rade sú tu podnikový desktop pripojený k doméneTieto sa zvyčajne spravujú pomocou nástroja Configuration Manager alebo Intune. Sú to tradičné kancelárske počítače so štandardnými používateľmi pripojené ku káblovej firemnej sieti, kde riziko pochádza najmä z každodenného prehliadania internetu.

Potom máme firemné notebookyAj tieto zariadenia sú pripojené k doméne a centrálne spravované, ale pripájajú sa k interným alebo externým sieťam Wi-Fi. V tomto prípade sa riziko zvyšuje, pretože zariadenie opúšťa kontrolovanú sieť a je vystavené Wi-Fi v hoteloch, na letiskách alebo v domácich sieťach.

Ďalšou skupinou sú notebooky BYOD (Bring Your Own Device – Prineste si vlastné zariadenie), Osobné vybavenie, ktoré nepatrí spoločnosti, ale je spravované prostredníctvom riešení ako Intune. Zvyčajne sú v rukách používateľov s lokálnymi administrátorskými oprávneniami, čo zvyšuje plochu útoku a robí použitie izolácie pre prístup k firemným zdrojom atraktívnejším.

Nakoniec sú tu úplne nespravované osobné zariadeniaIde o webové stránky, ktoré nepatria do žiadnej domény a nad ktorými má používateľ absolútnu kontrolu. V týchto prípadoch je možné Application Guard použiť v samostatnom režime (najmä pre Edge), aby poskytol ďalšiu vrstvu ochrany pri návšteve potenciálne nebezpečných webových stránok.

Požadované edície a licencie systému Windows

Predtým, ako začnete s konfiguráciou čohokoľvek, je dôležité mať v tomto jasno. V ktorých vydaniach systému Windows môžete používať nástroj Microsoft Defender Application Guard a s akými licenčnými právami.

Pre Samostatný režim Edge (t. j. používanie funkcie Application Guard iba ako sandboxu prehliadača bez rozšírenej správy podniku), je podporované v systéme Windows:

• Windows pro
• Windows Enterprise
• Windows Pro Education / SE
• Windows Education

V tomto scenári sú licenčné práva MDAG udelené, ak máte licencie, ako napríklad Windows Pro / Pro Education / SE, Windows Enterprise E3 alebo E5 a Windows Education A3 alebo A5V praxi si na mnohých profesionálnych počítačoch so systémom Windows Pro už môžete túto funkciu aktivovať pre základné používanie.

Pre režim edge enterprise a podniková administrácia (ak sa uplatňujú pokročilé smernice a zložitejšie scenáre), podpora sa znižuje:

• Windows Enterprise y Windows Education V tomto režime je podporovaná funkcia Application Guard.
• Windows Pro a Windows Pro Education/SE žiadny Majú podporu pre tento podnikový variant.

Pokiaľ ide o licencie, toto pokročilejšie firemné použitie si vyžaduje Windows Enterprise E3/E5 alebo Windows Education A3/A5Ak vaša organizácia používa iba predplatné Pro bez predplatného Enterprise, budete obmedzení na samostatný režim Edge.

Systémové predpoklady a kompatibilita

Okrem edície pre Windows musíte pre stabilné fungovanie funkcie Application Guard spĺňať aj séria technických požiadaviek súvisiace s verziou, hardvérom a podporou virtualizácie.

Pokiaľ ide o operačný systém, je povinné ho používať Windows 10 1809 alebo novší (aktualizácia z októbra 2018) alebo ekvivalentná verzia systému Windows 11. Nie je určená pre serverové SKU ani pre výrazne zmenšené varianty; je jednoznačne zameraná na klientske počítače.

Na hardvérovej úrovni musí mať zariadenie povolená hardvérová virtualizácia (Podpora Intel VT-x/AMD-V a preklad adries druhej úrovne, ako napríklad SLAT), pretože Hyper-V je kľúčovým komponentom pre vytvorenie izolovaného kontajnera. Bez tejto vrstvy nebude MDAG schopný nastaviť svoje bezpečné prostredie.

Je tiež nevyhnutné mať kompatibilné mechanizmy správy Ak ho budete používať centrálne (napríklad Microsoft Intune alebo Configuration Manager), ako je podrobne uvedené v požiadavkách na podnikový softvér. Pre jednoduché nasadenia postačí samotné rozhranie zabezpečenia systému Windows.

Nakoniec si všimnite Ochrana aplikácií je v procese ukončovania podpory. Pre Microsoft Edge pre firmy a že niektoré rozhrania API spojené so samostatnými aplikáciami sa už nebudú aktualizovať. Napriek tomu zostáva veľmi rozšírený v prostrediach, kde je potrebné krátkodobé a strednodobé obmedzenie rizík.

Prípad použitia: bezpečnosť verzus produktivita

Jedným z klasických problémov v kybernetickej bezpečnosti je nájsť správnu rovnováhu medzi skutočne chrániť, nie blokovať používateľaAk povolíte iba hŕstku „požehnaných“ webových stránok, znížite riziko, ale znížite produktivitu. Ak obmedzenia uvoľníte, úroveň vystavenia sa prudko stúpne.

Prehliadač je jedným z hlavné útočné plochy tejto práce, pretože jej účelom je otvárať nedôveryhodný obsah zo širokej škály zdrojov: neznáme webové stránky, súbory na stiahnutie, skripty tretích strán, agresívna reklama atď. Bez ohľadu na to, ako veľmi vylepšíte engine, vždy sa objavia nové zraniteľnosti, ktoré sa niekto pokúsi zneužiť.

V tomto modeli správca presne definuje, ktoré domény, rozsahy IP adries a cloudové zdroje považujú za dôveryhodné. Všetko, čo nie je na tomto zozname, sa automaticky presunie do kontajnera.Tam môže používateľ prehliadať bez obáv, že zlyhanie prehliadača ohrozí ostatné interné systémy.

Výsledkom je relatívne flexibilná navigácia pre zamestnanca, ale s prísne strážená hranica medzi tým, čo je nespoľahlivý vonkajší svet a čo je firemné prostredie, ktoré treba za každú cenu chrániť.

Najnovšie funkcie a aktualizácie funkcie Application Guard v prehliadači Microsoft Edge

V rôznych verziách prehliadača Microsoft Edge založených na prehliadači Chromium spoločnosť Microsoft pridávala Konkrétne vylepšenia pre Application Guard s cieľom vylepšiť používateľskú skúsenosť a poskytnúť administrátorovi väčšiu kontrolu.

Jednou z dôležitých nových funkcií je blokovanie nahrávania súborov z kontajneraOd verzie Edge 96 môžu organizácie zabrániť používateľom v nahrávaní dokumentov z ich lokálneho zariadenia do formulára alebo webovej služby v rámci izolovanej relácie pomocou politiky ApplicationGuardUploadBlockingEnabledTým sa znižuje riziko úniku informácií.

Ďalším veľmi užitočným vylepšením je pasívny režim, dostupné od Edge 94. Po aktivácii politikou ApplicationGuardPassiveModeEnabledOchrana aplikácií prestane vynucovať zoznam stránok a umožní používateľovi prehliadať Edge „normálne“, aj keď táto funkcia zostáva nainštalovaná. Je to pohodlný spôsob, ako mať technológiu pripravenú bez presmerovania prevádzky.

Bola pridaná aj možnosť synchronizovať obľúbené položky hostiteľa s kontajneromToto bolo niečo, čo mnohí zákazníci požadovali, aby sa predišlo dvom úplne oddeleným zážitkom z prehliadania. Od verzie Edge 91 táto politika ApplicationGuardFavoritesSyncEnabled Umožňuje, aby sa nové značky objavili rovnomerne v izolovanom prostredí.

V oblasti sietí Edge 91 zahŕňal podporu pre označte premávku opúšťajúcu kontajner vďaka smernici ApplicationGuardTrafficIdentificationEnabledTo umožňuje spoločnostiam identifikovať a filtrovať túto prevádzku cez proxy, napríklad obmedziť prístup na veľmi malú skupinu stránok pri prehliadaní z MDAG.

Duálny proxy, rozšírenia a ďalšie pokročilé scenáre

Niektoré organizácie používajú Application Guard v zložitejších nasadeniach, kde potrebujú pozorne sledovať kontajnerovú dopravu a možnosti prehliadača v tomto izolovanom prostredí.

V týchto prípadoch má Edge podporu pre dvojitý proxy Od stabilnej verzie 84 vyššie, konfigurovateľné pomocou direktívy ApplicationGuardContainerProxyMyšlienka je taká, že prevádzka pochádzajúca z kontajnera je smerovaná cez špecifický proxy server, odlišný od toho, ktorý používa hostiteľ, čo uľahčuje uplatňovanie nezávislých pravidiel a prísnejšiu kontrolu.

Ďalšou opakujúcou sa požiadavkou zákazníkov bola možnosť používať rozšírenia v rámci kontajneraOd verzie Edge 81 je to možné, takže blokovače reklám, interné firemné rozšírenia alebo iné nástroje je možné spúšťať, pokiaľ spĺňajú definované pravidlá. Je potrebné deklarovať updateURL rozšírenia v politikách izolácie siete, aby sa považovalo za neutrálny zdroj prístupný z funkcie Application Guard.

Medzi akceptované scenáre patria vynútená inštalácia rozšírení na hostiteľovi Tieto rozšírenia sa potom zobrazia v kontajneri, čo umožňuje odstránenie konkrétnych rozšírení alebo blokovanie iných, ktoré sa z bezpečnostných dôvodov považujú za nežiaduce. Toto sa však nevzťahuje na rozšírenia, ktoré sa spoliehajú na natívne komponenty na spracovanie správ. Nie sú kompatibilné v rámci MDAG.

Na pomoc pri diagnostike problémov s konfiguráciou alebo správaním, a konkrétna diagnostická stránka en edge://application-guard-internalsOdtiaľ môžete okrem iného skontrolovať, či sa daná URL adresa považuje za dôveryhodnú alebo nie podľa politík, ktoré sa na používateľa skutočne vzťahujú.

Nakoniec, pokiaľ ide o aktualizácie, nový Microsoft Edge bude Taktiež sa aktualizuje v rámci kontajnera.Používa rovnaký kanál a verziu ako hostiteľský prehliadač. Už nie je závislý od cyklu aktualizácií operačného systému, ako to bolo v prípade staršej verzie Edge, čo výrazne zjednodušuje údržbu.

Ako povoliť ochranu aplikácií v programe Microsoft Defender v systéme Windows

Ak ho chcete spustiť na kompatibilnom zariadení, prvým krokom je aktivovať funkciu systému Windows zodpovedajúce. Proces je v základnej rovine pomerne jednoduchý.

Najrýchlejší spôsob je otvoriť dialógové okno Spustiť pomocou Win + R, písať appwiz.cpl a stlačením klávesu Enter prejdite priamo na panel „Programy a funkcie“. Na ľavej strane nájdete odkaz „Zapnúť alebo vypnúť funkcie systému Windows“.

V zozname dostupných komponentov budete musieť nájsť položku „Ochrana aplikácií v programe Microsoft Defender“ a vyberte ho. Po prijatí systém Windows stiahne alebo povolí potrebné binárne súbory a vyzve vás na reštartovanie počítača, aby sa zmeny prejavili.

Po reštarte by ste mali byť na kompatibilných zariadeniach so správnymi verziami Edge schopní Otvorenie nových okien alebo izolovaných kariet prostredníctvom možností prehliadača alebo v spravovaných prostrediach automaticky podľa konfigurácie zoznamu nedôveryhodných stránok.

Ak sa nezobrazujú možnosti ako „Nové okno Application Guard“ alebo sa kontajner neotvorí, je možné, že Pokyny, ktoré dodržiavate, môžu byť zastarané.Môže to byť spôsobené tým, že vaša edícia systému Windows nie je podporovaná, nemáte povolenú technológiu Hyper-V alebo je táto funkcia zakázaná v pravidlách vašej organizácie.

Konfigurácia ochrany aplikácií pomocou skupinovej politiky

V obchodnom prostredí sa každé zariadenie nekonfiguruje manuálne; namiesto toho sa používa preddefinovaný systém. skupinová politika (GPO) alebo konfiguračné profily v Intune na centrálne definovanie politík. Application Guard sa spolieha na dva hlavné konfiguračné bloky: izoláciu siete a parametre špecifické pre aplikáciu.

Nastavenia izolácie siete sa nachádzajú v Computer Configuration\Administrative Templates\Network\Network IsolationTu sú definované napríklad nasledujúce: interné sieťové rozsahy a domény považované za firemné doményktorá bude vyznačovať hranicu medzi tým, čo je spoľahlivé, a tým, čo by sa malo vyhodiť do koša.

Jednou z kľúčových politík je tá, „Intervaly súkromnej siete pre aplikácie“Táto časť špecifikuje v zozname oddelenom čiarkou rozsahy IP adries, ktoré patria do podnikovej siete. Koncové body v týchto rozsahoch sa otvoria v normálnom režime Edge a nebudú prístupné z prostredia Application Guard.

Ďalšou dôležitou politikou je politika „Domény podnikových zdrojov hostované v cloude“ktorý používa zoznam oddelený znakom | Na označenie domén SaaS a cloudových služieb organizácie, ktoré by sa mali považovať za interné. Tieto budú tiež vykresľované na Edge mimo kontajnera.

Nakoniec, smernica „Domény klasifikované ako osobné a pracovné“ Umožňuje vám deklarovať domény, ktoré je možné používať na osobné aj obchodné účely. Tieto stránky budú prístupné z bežného prostredia Edge aj z prostredia Application Guard, podľa potreby.

Používanie zástupných znakov v nastaveniach izolácie siete

Aby sa predišlo nutnosti zapisovať každú subdoménu samostatne, zoznamy izolácie siete podporujú zástupné znaky v názvoch doménTo umožňuje lepšiu kontrolu nad tým, čo sa považuje za spoľahlivé.

Ak je to jednoducho definované contoso.comPrehliadač bude dôverovať iba tejto konkrétnej hodnote a nie iným doménam, ktoré ju obsahujú. Inými slovami, bude považovať iba túto doslovnú hodnotu za patriacu firme. presný koreň a nie www.contoso.com ani varianty.

Ak je uvedené www.contoso.com, tak iba daný konkrétny hostiteľ budú považované za dôveryhodné. Ďalšie subdomény, ako napríklad shop.contoso.com Zostali by vynechané a mohli by skončiť v kontajneri.

S formátom .contoso.com (bodka predtým) naznačuje, že Dôveryhodná je každá doména končiaca na „contoso.com“.. To zahŕňa od contoso.com hore www.contoso.com alebo dokonca reťaze ako spearphishingcontoso.comTakže sa musí používať s opatrnosťou.

Nakoniec, ak sa použije ..contoso.com (počiatočná dvojbodka), všetky úrovne hierarchie nachádzajúce sa naľavo od domény sú dôveryhodné, napríklad shop.contoso.com o us.shop.contoso.comAle Koreňový adresár „contoso.com“ nie je dôveryhodný samo o sebe. Je to jemnejší spôsob kontroly toho, čo sa považuje za firemný zdroj.

Hlavné direktívy špecifické pre Application Guard

Druhá hlavná sada nastavení sa nachádza v Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application GuardOdtiaľto sa riadi krajina podrobné správanie kontajnera a čo v ňom používateľ môže alebo nemôže robiť.

Jednou z najrelevantnejších politík je politika „Nastavenia schránky“Toto určuje, či je možné kopírovať a vkladať text alebo obrázky medzi hostiteľom a ochranou aplikácií. V spravovanom režime môžete povoliť kopírovanie iba z kontajnera smerom von, iba v opačnom smere alebo dokonca úplne zakázať schránku.

Podobne aj smernica „Nastavenia tlače“ Rozhoduje o tom, či je možné obsah z kontajnera tlačiť a v akých formátoch. Môžete povoliť tlač do formátu PDF, XPS, pripojených lokálnych tlačiarní alebo preddefinovaných sieťových tlačiarní, alebo zablokovať všetky možnosti tlače v rámci MDAG.

Možnosť „Uznajte vytrvalosť“ Toto nastavenie určuje, či sa používateľské údaje (stiahnuté súbory, súbory cookie, obľúbené položky atď.) uchovávajú medzi reláciami Application Guard alebo sa vymažú pri každom vypnutí prostredia. Povolenie tejto funkcie v spravovanom režime umožňuje kontajneru uchovávať tieto informácie pre budúce relácie; jej zakázanie má za následok prakticky čisté prostredie pri každom spustení.

Ak sa neskôr rozhodnete zastaviť povolenie perzistencie, môžete použiť nástroj wdagtool.exe s parametrami cleanup o cleanup RESET_PERSISTENCE_LAYER resetovať kontajner a zahodiť informácie vygenerované zamestnancom.

Ďalšou kľúčovou politikou je „Aktivovať ochranu aplikácií v spravovanom režime“Táto časť určuje, či sa funkcia vzťahuje na Microsoft Edge, Microsoft Office alebo oba. Táto politika nenadobudne účinnosť, ak zariadenie nespĺňa požiadavky alebo má nakonfigurovanú izoláciu siete (s výnimkou niektorých novších verzií systému Windows, kde už nie je pre Edge potrebná, ak boli nainštalované špecifické aktualizácie KB).

Zdieľanie súborov, certifikáty, kamera a audit

Okrem vyššie uvedených politík existujú aj ďalšie smernice, ktoré ovplyvňujú ako sa kontajner vzťahuje k hostiteľskému systému a s perifériami.

politika „Povoliť sťahovanie súborov do hostiteľského operačného systému“ Rozhoduje, či môže používateľ ukladať súbory stiahnuté z izolovaného prostredia na hostiteľa. Keď je povolená, vytvorí zdieľaný zdroj medzi oboma prostrediami, ktorý tiež umožňuje určité nahrávania z hostiteľa do kontajnera – čo je veľmi užitočné, ale malo by sa to vyhodnotiť z bezpečnostného hľadiska.

Konfigurácia „Povoliť hardvérovo akcelerované vykresľovanie“ Umožňuje využitie GPU prostredníctvom vGPU na zlepšenie grafického výkonu, najmä pri prehrávaní videa a náročného obsahu. Ak nie je k dispozícii kompatibilný hardvér, funkcia Application Guard sa vráti k vykresľovaniu pomocou CPU. Povolenie tejto možnosti na zariadeniach s nespoľahlivými ovládačmi však môže zvýšiť riziko pre hostiteľa.

Existuje aj smernica pre povoliť prístup k fotoaparátu a mikrofónu v rámci kontajnera. Jeho povolenie umožňuje aplikáciám spusteným pod MDAG používať tieto zariadenia, čo uľahčuje videohovory alebo konferencie z izolovaných prostredí, hoci zároveň otvára dvere k obídeniu štandardných povolení, ak je kontajner napadnutý.

Ďalšia politika povoľuje ochranu aplikácií používať špecifické certifikačné autority koreňového hostiteľaToto prenesie do kontajnera certifikáty, ktorých odtlačok bol zadaný. Ak je táto možnosť zakázaná, kontajner tieto certifikáty nezdedí, čo môže blokovať pripojenia k určitým interným službám, ak sa spoliehajú na súkromné ​​autorizácie.

Nakoniec, možnosť „Povoliť udalosti auditu“ Spôsobuje to zaznamenávanie systémových udalostí generovaných v kontajneri a dedenie politík auditu zariadení, aby bezpečnostný tím mohol sledovať, čo sa deje vo vnútri Application Guard, z protokolov hostiteľa.

Integrácia s podpornými a prispôsobovacími rámcami

Keď sa v aplikácii Application Guard niečo pokazí, používateľ uvidí dialógové okno s chybou Predvolene to obsahuje iba popis problému a tlačidlo na jeho nahlásenie spoločnosti Microsoft prostredníctvom Centra spätnej väzby. Túto funkciu je však možné prispôsobiť tak, aby uľahčila internú podporu.

Na trase Administrative Templates\Windows Components\Windows Security\Enterprise Customization Existuje politika, ktorú môže správca použiť Pridajte kontaktné informácie na podporuInterné odkazy alebo stručné pokyny. Takto, keď zamestnanec uvidí chybu, okamžite bude vedieť, na koho sa má obrátiť alebo aké kroky má podniknúť.

Často kladené otázky a bežné problémy s aplikáciou Application Guard

Použitie funkcie Application Guard generuje značnú časť opakujúce sa otázky v reálnych nasadeniach, najmä pokiaľ ide o výkon, kompatibilitu a správanie siete.

Jednou z prvých otázok je, či sa to dá povoliť v zariadenia s iba 4 GB RAMHoci existujú scenáre, kde by to mohlo fungovať, v praxi výkon zvyčajne značne trpí, pretože kontajner je prakticky ďalší operačný systém bežiaci paralelne.

Ďalším citlivým bodom je integrácia s sieťové proxy a PAC skriptySprávy ako „Nie je možné vyriešiť externé adresy URL z prehliadača MDAG: ERR_CONNECTION_REFUSED“ alebo „ERR_NAME_NOT_RESOLVED“ pri zlyhaní prístupu k súboru PAC zvyčajne naznačujú problémy s konfiguráciou medzi kontajnerom, proxy a pravidlami izolácie.

Existujú aj problémy súvisiace s Editory IME (vstupné metódy) nie sú podporované V niektorých verziách systému Windows konflikty s ovládačmi šifrovania disku alebo riešeniami ovládania zariadení bránia dokončeniu načítania kontajnera.

Niektorí administrátori sa stretávajú s chybami, ako napríklad „CHYBA_OBMEDZENIA_VIRTUÁLNEHO_DISKU“ Ak existujú obmedzenia týkajúce sa virtuálnych diskov alebo zlyhania pri zakázaní technológií, ako je hyperthreading, ktoré nepriamo ovplyvňujú Hyper-V a v širšom zmysle aj MDAG.

Taktiež sa vynárajú otázky o tom, ako dôverovať iba určitým subdoménam, týkajúce sa obmedzení veľkosti zoznamu domén alebo toho, ako zakázať správanie, pri ktorom sa karta hostiteľa automaticky zatvorí pri prechode na stránku, ktorá sa otvorí v kontajneri.

Ochrana aplikácií, režim IE, Chrome a Office

V prostrediach, kde Režim IE v prehliadači Microsoft EdgeFunkcia Application Guard je podporovaná, ale spoločnosť Microsoft neočakáva rozsiahle používanie tejto funkcie v tomto režime. Odporúča sa rezervovať režim prehliadača IE pre [konkrétne aplikácie/použitia]. dôveryhodné interné stránky a MDAG používajte iba pre webové stránky, ktoré sa považujú za externé a nedôveryhodné.

Je dôležité sa o tom uistiť všetky stránky nakonfigurované v režime IESieť spolu s priradenými IP adresami musí byť zahrnutá aj v politikách izolácie siete ako dôveryhodné zdroje. V opačnom prípade môže pri kombinácii oboch funkcií dôjsť k neočakávanému správaniu.

Čo sa týka prehliadača Chrome, mnohí používatelia sa pýtajú, či je potrebný nainštalujte rozšírenie Application GuardOdpoveď znie nie: táto funkcia je natívne integrovaná do prehliadača Microsoft Edge a staré rozšírenie pre Chrome nie je pri práci s prehliadačom Edge podporovanou konfiguráciou.

V prípade dokumentov balíka Office umožňuje funkcia Application Guard Otváranie súborov programov Word, Excel a PowerPoint v izolovanom kontajneri keď sú súbory považované za nedôveryhodné, čím sa zabráni škodlivým makrám alebo iným útočným vektorom v dosiahnutí hostiteľa. Túto ochranu je možné kombinovať s ďalšími funkciami Defenderu a politikami dôveryhodnosti súborov.

Dokonca existuje možnosť skupinovej politiky, ktorá umožňuje používateľom „dôverovať“ určitým súborom otvoreným v aplikácii Application Guard, aby sa s nimi zaobchádzalo ako s bezpečnými a opustili kontajner. Táto funkcia by sa mala spravovať starostlivo, aby sa predišlo strate výhod izolácie.

Stiahnuté súbory, schránka, obľúbené položky a rozšírenia: používateľská skúsenosť

Z pohľadu používateľa sa niektoré z najpraktickejších otázok točia okolo čo sa môže a nemôže robiť vo vnútri kontajneranajmä pri sťahovaní, kopírovaní/vkladaní a rozšíreniach.

Vo Windowse 10 Enterprise 1803 a novších verziách (s nuansami v závislosti od vydania) je možné povoliť sťahovanie dokumentov z kontajnera do hostiteľa Táto možnosť nebola dostupná v predchádzajúcich verziách alebo v niektorých zostavách edícií, ako napríklad Pro, hoci bolo možné tlačiť do PDF alebo XPS a výsledok uložiť do hostiteľského zariadenia.

Pokiaľ ide o schránku, firemná politika to môže povoliť Obrázky vo formáte BMP a text sa skopírujú do a z izolovaného prostredia. Ak sa zamestnanci sťažujú, že nemôžu kopírovať obsah, tieto zásady bude zvyčajne potrebné prehodnotiť.

Mnoho používateľov sa tiež pýta prečo Nevidia svoje obľúbené položky ani rozšírenia v relácii Edge v časti Application Guard. Zvyčajne je to spôsobené vypnutou synchronizáciou záložiek alebo nepovolenou politikou rozšírení v MDAG. Po úprave týchto možností môže prehliadač v kontajneri dediť záložky a určité rozšírenia, vždy s obmedzeniami uvedenými vyššie.

Existujú dokonca prípady, keď sa rozšírenie zobrazí, ale „nefunguje“. Ak sa spolieha na natívne komponenty na spracovanie správ, táto funkcia nebude v kontajneri dostupná a rozšírenie bude vykazovať obmedzené alebo úplne nefunkčné správanie.

Grafický výkon, HDR a hardvérová akcelerácia

Ďalšou často sa objavujúcou témou je prehrávanie videa a pokročilé funkcie, ako napríklad HDR v rámci Application Guard. Pri spustení v prostredí Hyper-V nemá kontajner vždy priamy prístup k funkciám GPU.

Aby prehrávanie HDR fungovalo správne v izolovanom prostredí, je potrebné, aby Hardvérová akcelerácia vGPU je povolená prostredníctvom politiky zrýchleného vykresľovania. V opačnom prípade sa systém bude spoliehať na procesor a niektoré možnosti, ako napríklad HDR, sa nezobrazia v nastaveniach prehrávača ani webovej stránky.

Aj keď je akcelerácia povolená, ak grafický hardvér nie je považovaný za dostatočne bezpečný alebo kompatibilný, ochrana aplikácií môže automaticky sa vráti k softvérovému vykresľovaniučo ovplyvňuje plynulosť a spotrebu batérie v notebookoch.

Niektoré nasadenia vykazovali problémy s fragmentáciou TCP a konfliktmi s VPN, ktoré sa zdajú byť nikdy nefunkčné keď prevádzka prechádza cez kontajner. V takýchto prípadoch je zvyčajne potrebné skontrolovať sieťové politiky, MTU, konfiguráciu proxy a niekedy upraviť spôsob, akým sa MDAG integruje s inými už nainštalovanými bezpečnostnými komponentmi.

Podpora, diagnostika a hlásenie incidentov

Keď napriek všetkému vzniknú problémy, ktoré sa nedajú vyriešiť interne, spoločnosť Microsoft odporúča otvoriť konkrétny tiket podpory pre Microsoft Defender Application Guard. Je dôležité vopred zhromaždiť informácie zo stránky diagnostiky, súvisiacich denníkov udalostí a podrobností o konfigurácii použitej na zariadení.

Používanie stránky edge://application-guard-internals, v kombinácii s povolené udalosti auditu a vydanie nástrojov, ako napríklad wdagtool.exeZvyčajne poskytuje tímu podpory dostatok údajov na lokalizáciu zdroja problému, či už ide o zle definovanú politiku, konflikt s iným bezpečnostným produktom alebo hardvérové ​​obmedzenie.

Okrem toho všetkého si používatelia môžu prispôsobiť chybové hlásenia a kontaktné informácie v dialógovom okne technickej podpory zabezpečenia systému Windows, čo im uľahčí nájdenie správneho riešenia. Nenechajte sa uviaznuť v situácii, keď neviete, na koho sa obrátiť keď sa nádoba nespustí alebo sa neotvorí podľa očakávania.

Celkovo ponúka Microsoft Defender Application Guard výkonnú kombináciu izolácie hardvéru, podrobnej kontroly politík a diagnostických nástrojov, ktoré pri správnom použití môžu výrazne znížiť riziko spojené s prehliadaním nedôveryhodných stránok alebo otváraním dokumentov z pochybných zdrojov bez toho, aby to ohrozilo dennú produktivitu.