Kako uporabljati Microsoft Defender Application Guard korak za korakom

Če delate z občutljivimi podatki ali dnevno brskate po sumljivih spletnih mestih, Zaščita aplikacij Microsoft Defender (MDAG) To je ena tistih funkcij sistema Windows, ki lahko naredi razliko med strahom in katastrofo. Ni le še en protivirusni program, temveč dodatna plast, ki izolira grožnje iz vašega sistema in podatkov.

V naslednjih vrsticah boste jasno videli Kaj točno je Application Guard, kako deluje interno, na katerih napravah ga lahko uporabljate in kako ga konfigurirate? Obravnavali bomo tako preproste kot tudi poslovne uvedbe. Pregledali bomo tudi zahteve, skupinske pravilnike, pogoste napake in različna pogosto zastavljena vprašanja, ki se pojavijo ob začetku dela s to tehnologijo.

Kaj je Microsoft Defender Application Guard in kako deluje?

Microsoft Defender Application Guard je napredna varnostna funkcija, zasnovana za Izolirajte nezaupanja vredna spletna mesta in dokumente v virtualnem vsebniku Temelji na Hyper-V. Namesto da bi poskušal blokirati vsak napad posebej, ustvari majhen "računalnik za enkratno uporabo", kamor shrani sumljivo vsebino.

Ta posoda deluje v ločeno od glavnega operacijskega sistemaz lastno utrjeno instanco sistema Windows in brez neposrednega dostopa do datotek, poverilnic ali notranjih virov podjetja. Tudi če zlonamernemu spletnemu mestu uspe izkoristiti ranljivost brskalnika ali sistema Office, škoda ostane v tem izoliranem okolju.

V primeru brskalnika Microsoft Edge zagotavlja Application Guard to katera koli domena, ki ni označena kot zaupanja vredna Samodejno se odpre znotraj tega vsebnika. Pri Officeu to stori enako z dokumenti Word, Excel in PowerPoint, ki prihajajo iz virov, ki jih organizacija ne smatra za varne.

Ključno je, da je ta izolacija strojne vrste: Hyper-V ustvarja neodvisno okolje od gostitelja, kar drastično zmanjša možnost, da bi napadalec skočil iz izolirane seje v resnični sistem, ukradel podatke podjetja ali izkoristil shranjene poverilnice.

Poleg tega se vsebnik obravnava kot anonimno okolje: Ne podeduje uporabnikovih piškotkov, gesel ali sej.To precej otežuje življenje napadalcem, ki se zanašajo na tehnike ponarejanja ali kraje sej.

Priporočene vrste naprav za uporabo programa Application Guard

Čeprav se Application Guard tehnično lahko izvaja v različnih scenarijih, je posebej zasnovan za poslovna okolja in upravljane napraveMicrosoft razlikuje več vrst opreme, pri katerih je MDAG najbolj smiseln.

Najprej so tu namizni računalnik podjetja, pridružen domeniTe se običajno upravljajo s programom Configuration Manager ali Intune. Gre za tradicionalne pisarniške računalnike s standardnimi uporabniki, povezane z žičnim poslovnim omrežjem, kjer tveganje izvira predvsem iz vsakodnevnega brskanja po internetu.

Potem imamo poslovni prenosnikiTudi te so naprave, povezane z domeno in centralno upravljane, vendar se povezujejo z notranjimi ali zunanjimi omrežji Wi-Fi. Tukaj se tveganje poveča, ker naprava zapusti nadzorovano omrežje in je izpostavljena omrežju Wi-Fi v hotelih, na letališčih ali v domačih omrežjih.

Druga skupina so prenosniki BYOD (Prinesi svojo napravo), osebna oprema, ki ni v lasti podjetja, ampak je v upravljanju prek rešitev, kot je Intune. Običajno so v rokah uporabnikov z lokalnimi skrbniškimi pravicami, kar poveča površino za napad in naredi izolacijo za dostop do poslovnih virov bolj privlačno.

Končno obstajajo še popolnoma neupravljane osebne napraveTo so spletna mesta, ki ne pripadajo nobeni domeni in kjer ima uporabnik popoln nadzor. V teh primerih se lahko Application Guard uporablja v samostojnem načinu (zlasti za Edge), da zagotovi dodatno plast zaščite pri obisku potencialno nevarnih spletnih mest.

Zahtevane izdaje sistema Windows in licenciranje

Preden začnete karkoli konfigurirati, je pomembno, da ste glede tega jasni. V katerih izdajah sistema Windows lahko uporabljate Microsoft Defender Application Guard in s kakšnimi licenčnimi pravicami.

Za Samostojni način Edge (tj. uporaba Application Guard samo kot peskovnika brskalnika brez naprednega upravljanja podjetja), je podprto v sistemu Windows:

• Windows pro
• Windows Enterprise
• Windows Pro Education / SE
• Windows Education

V tem primeru so licenčne pravice MDAG podeljene, če imate licence, kot so Windows Pro / Pro Education / SE, Windows Enterprise E3 ali E5 in Windows Education A3 ali A5V praksi lahko na mnogih profesionalnih osebnih računalnikih z operacijskim sistemom Windows Pro funkcijo že aktivirate za osnovno uporabo.

Za način delovanja na robu podjetja in korporativno upravljanje (kjer pridejo v poštev napredne direktive in bolj zapleteni scenariji), je podpora zmanjšana:

• Windows Enterprise y Windows Education V tem načinu je podprt Application Guard.
• Windows Pro in Windows Pro Education/SE št Za to različico za podjetja imajo podporo.

Kar zadeva licence, ta naprednejša uporaba v podjetjih zahteva Windows Enterprise E3/E5 ali Windows Education A3/A5Če vaša organizacija uporablja samo naročnino Pro brez naročnin Enterprise, boste omejeni na samostojni način Edge.

Sistemske zahteve in združljivost

Poleg izdaje za Windows morate za stabilno delovanje programa Application Guard izpolnjevati tudi vrsta tehničnih zahtev povezano z različico, strojno opremo in podporo za virtualizacijo.

Kar zadeva operacijski sistem, je obvezna uporaba Windows 10 1809 ali novejši (posodobitev oktobra 2018) ali enakovredna različica sistema Windows 11. Ni namenjena strežniškim SKU-jem ali močno pomanjšanim različicam; očitno je namenjena odjemalskim računalnikom.

Na ravni strojne opreme mora imeti omogočena virtualizacija na osnovi strojne opreme (Podpora za Intel VT-x/AMD-V in prevajanje naslovov druge ravni, kot je SLAT), saj je Hyper-V ključna komponenta za ustvarjanje izoliranega vsebnika. Brez te plasti MDAG ne bo mogel vzpostaviti svojega varnega okolja.

Prav tako je bistveno imeti združljivi mehanizmi upravljanja Če ga boste uporabljali centralno (na primer Microsoft Intune ali Configuration Manager), kot je podrobno opisano v zahtevah za poslovno programsko opremo. Za preproste uvedbe bo zadostoval sam vmesnik za varnost sistema Windows.

Nazadnje, upoštevajte to Application Guard je v postopku opuščanja. Za Microsoft Edge za podjetja in da nekateri API-ji, povezani s samostojnimi aplikacijami, ne bodo več posodobljeni. Kljub temu ostaja zelo razširjen v okoljih, kjer je potrebno kratkoročno in srednjeročno omejevanje tveganj.

Primer uporabe: varnost v primerjavi s produktivnostjo

Eden od klasičnih problemov kibernetske varnosti je najti pravo ravnovesje med resnično zaščititi uporabnika, ne pa ga blokiratiČe dovolite le peščico "blagoslovljenih" spletnih mest, zmanjšate tveganje, vendar zmanjšate produktivnost. Če omejitve sprostite, se raven izpostavljenosti močno poveča.

Brskalnik je eden izmed glavne napadalne površine dela, saj je njegov namen odpiranje nezanesljive vsebine iz najrazličnejših virov: neznanih spletnih mest, prenosov, skriptov tretjih oseb, agresivnega oglaševanja itd. Ne glede na to, koliko izboljšate iskalnik, bodo vedno obstajale nove ranljivosti, ki jih bo nekdo poskušal izkoristiti.

V tem modelu skrbnik natančno določi, katere domene, obsege IP-naslovov in vire v oblaku šteje za zaupanja vredne. Vse, kar ni na tem seznamu, gre samodejno v vsebnikTam lahko uporabnik brska brez strahu, da bi napaka brskalnika ogrozila preostale notranje sisteme.

Rezultat je relativno prilagodljiva navigacija za zaposlenega, vendar z močno varovana meja med tem, kaj je nezanesljiv zunanji svet, in tem, kaj je korporativno okolje, ki ga je treba za vsako ceno zaščititi.

Nedavne funkcije in posodobitve za Application Guard v brskalniku Microsoft Edge

V različnih različicah brskalnika Microsoft Edge, ki temeljijo na Chromiumu, je Microsoft dodajal Posebne izboljšave za Application Guard s ciljem izboljšanja uporabniške izkušnje in zagotavljanja večjega nadzora skrbniku.

Ena od pomembnih novih funkcij je blokiranje nalaganja datotek iz vsebnikaOd različice Edge 96 naprej lahko organizacije s pravilnikom preprečijo uporabnikom nalaganje dokumentov iz lokalne naprave v obrazec ali spletno storitev znotraj izolirane seje. ApplicationGuardUploadBlockingEnabledTo zmanjšuje tveganje uhajanja informacij.

Druga zelo uporabna izboljšava je pasivni način, na voljo od Edge 94. Ko ga aktivira pravilnik ApplicationGuardPassiveModeEnabledApplication Guard preneha vsiljevati seznam spletnih mest in uporabniku omogoča »normalno« brskanje po Edgeu, čeprav je funkcija še vedno nameščena. To je priročen način, da je tehnologija pripravljena, ne da bi pri tem še preusmerjali promet.

Dodana je bila tudi možnost sinhronizirajte priljubljene gostitelja z vsebnikomTo je zahtevalo veliko strank, da bi se izognile dvema popolnoma nepovezanima izkušnjama brskanja. Od Edge 91 naprej je politika ApplicationGuardFavoritesSyncEnabled Omogoča, da se novi označevalci enakomerno pojavljajo znotraj izoliranega okolja.

Na področju mreženja je Edge 91 vključil podporo za označite promet, ki zapušča kontejner zahvaljujoč direktivi ApplicationGuardTrafficIdentificationEnabledTo podjetjem omogoča, da prepoznajo in filtrirajo ta promet prek posredniškega strežnika, na primer za omejitev dostopa do zelo majhnega nabora spletnih mest pri brskanju iz MDAG.

Dvojni proxy, razširitve in drugi napredni scenariji

Nekatere organizacije uporabljajo Application Guard v bolj kompleksnih uvedbah, kjer potrebujejo pozorno spremlja promet kontejnerjev in zmogljivosti brskalnika znotraj tega izoliranega okolja.

Za te primere ima Edge podporo za dvojni posrednik Od stabilne različice 84 naprej, nastavljivo prek direktive ApplicationGuardContainerProxyIdeja je, da se promet, ki izvira iz vsebnika, usmeri prek posebnega posredniškega strežnika, ki se razlikuje od tistega, ki ga uporablja gostitelj, kar olajša uporabo neodvisnih pravil in strožji pregled.

Druga ponavljajoča se zahteva strank je bila možnost uporabite razširitve znotraj vsebnikaOd različice Edge 81 je to mogoče, zato se lahko blokatorji oglasov, interne razširitve podjetja ali druga orodja izvajajo, če so skladna z določenimi pravilniki. Deklarira se mora updateURL razširitve v pravilnikih omrežne izolacije, tako da se šteje za nevtralen vir, do katerega lahko dostopa Application Guard.

Sprejeti scenariji vključujejo vsiljena namestitev razširitev na gostitelju Te razširitve se nato prikažejo v vsebniku, kar omogoča odstranitev določenih razširitev ali blokiranje drugih, ki se zaradi varnostnih razlogov štejejo za nezaželene. Vendar to ne velja za razširitve, ki se zanašajo na izvorne komponente za obdelavo sporočil. Niso združljivi znotraj MDAG-a.

Za pomoč pri diagnosticiranju težav s konfiguracijo ali vedenjem, a specifična diagnostična stran en edge://application-guard-internalsOd tam lahko med drugim preverite, ali se določen URL šteje za zaupanja vrednega ali ne glede na pravilnike, ki dejansko veljajo za uporabnika.

Nazadnje, kar zadeva posodobitve, bo novi Microsoft Edge Prav tako se posodablja znotraj vsebnikaSledi istemu kanalu in različici kot gostiteljski brskalnik. Ni več odvisen od cikla posodabljanja operacijskega sistema, kot je bilo to pri starejši različici Edgea, kar močno poenostavi vzdrževanje.

Kako omogočiti Microsoft Defender Application Guard v sistemu Windows

Če ga želite zagnati na združljivi napravi, je prvi korak aktivirajte funkcijo sistema Windows ustrezno. Postopek je na osnovni ravni precej preprost.

Najhitrejši način je, da odprete pogovorno okno Zaženi z Win + R, pisati appwiz.cpl in pritisnite Enter, da odprete ploščo »Programi in funkcije«. Na levi strani boste našli povezavo »Vklop ali izklop funkcij sistema Windows«.

Na seznamu razpoložljivih komponent boste morali poiskati vnos »Zaščita aplikacij Microsoft Defender« in ga izberite. Po potrditvi bo Windows prenesel ali omogočil potrebne binarne datoteke in vas pozval, da znova zaženete računalnik, da se spremembe uporabijo.

Po ponovnem zagonu bi morali biti na združljivih napravah s pravilnimi različicami brskalnika Edge sposobni Odprite nova okna ali izolirane zavihke prek možnosti brskalnika ali, v upravljanih okoljih, samodejno glede na konfiguracijo seznama nezaupanja vrednih spletnih mest.

Če ne vidite možnosti, kot je »Novo okno zaščite aplikacij«, ali se vsebnik ne odpre, je možno, da Navodila, ki jim sledite, so morda zastarela.To je lahko zato, ker vaša izdaja sistema Windows ni podprta, nimate omogočenega Hyper-V ali pa je pravilnik vaše organizacije to funkcijo onemogočil.

Konfiguriranje zaščite aplikacij s pravilnikom skupine

V poslovnih okoljih se vsak kos opreme ne konfigurira ročno, temveč se uporablja vnaprej določen sistem. skupinska politika (GPO) ali konfiguracijske profile v Intuneu za centralno definiranje pravilnika. Application Guard se zanaša na dva glavna konfiguracijska bloka: izolacijo omrežja in parametre, specifične za aplikacijo.

Nastavitve izolacije omrežja se nahajajo v Computer Configuration\Administrative Templates\Network\Network IsolationTukaj so na primer opredeljeni naslednji izrazi: notranji omrežni obsegi in domene, ki se štejejo za domene podjetjaki bo označila mejo med tem, kaj je zanesljivo, in tem, kar bi morali vreči v koš.

Ena ključnih politik je tista, »Intervali zasebnega omrežja za aplikacije«V tem razdelku so z vejicami ločeni razponi IP-naslovov, ki pripadajo poslovnemu omrežju. Končne točke v teh razponih se bodo odprle v običajnem robu in ne bodo dostopne iz okolja Application Guard.

Druga pomembna politika je tista, »Domene virov podjetja, gostovane v oblaku«ki uporablja seznam, ločen z znakom | Za označevanje domen SaaS in storitev v oblaku organizacije, ki jih je treba obravnavati kot interne. Te bodo prav tako upodobljene na robu zunaj vsebnika.

Končno, direktiva o »Domene, razvrščene kot osebne in službene« Omogoča vam, da deklarirate domene, ki jih je mogoče uporabljati tako za osebne kot poslovne namene. Do teh spletnih mest bo mogoče dostopati tako iz običajnega okolja Edge kot tudi prek Application Guard, kot je ustrezno.

Uporaba nadomestnih znakov v nastavitvah omrežne izolacije

Da se izognete pisanju vsake poddomene posebej, seznami omrežne izolacije podpirajo nadomestni znaki v domenskih imenihTo omogoča boljši nadzor nad tem, kaj se šteje za zanesljivo.

Če je preprosto definirano contoso.comBrskalnik bo zaupal le tej določeni vrednosti in ne drugim domenam, ki jo vsebujejo. Z drugimi besedami, bo obravnaval le to dobesedno vrednost kot pripadnost podjetju. natančen koren in ne www.contoso.com niti variant.

Če je določeno www.contoso.com, torej samo ta specifični gostitelj bodo veljale za zaupanja vredne. Druge poddomene, kot so shop.contoso.com Ostali bi zunaj in bi lahko končali v smetnjaku.

Z obliko .contoso.com (pika pred) pomeni, da Vsaka domena, ki se konča na »contoso.com«, je zaupanja vredna. To vključuje od contoso.com up www.contoso.com ali celo verige, kot so spearphishingcontoso.comTorej ga je treba uporabljati previdno.

Končno, če se uporablja ..contoso.com (začetno dvopičje), vse ravni hierarhije levo od domene so zaupanja vredne, na primer shop.contoso.com o us.shop.contoso.comVendar Korenski imenik »contoso.com« ni zaupanja vreden samo po sebi. To je boljši način nadzora nad tem, kar velja za korporativni vir.

Glavne direktive, specifične za Application Guard

Drugi večji sklop nastavitev se nahaja v Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application GuardOd tu se vlada državi podrobno vedenje vsebnika in kaj uporabnik lahko ali ne sme storiti v njem.

Ena najpomembnejših politik je tista, ki »Nastavitve odložišča«To nadzoruje, ali je kopiranje in lepljenje besedila ali slik med gostiteljem in programom Application Guard možno. V upravljanem načinu lahko dovolite kopiranje samo iz vsebnika navzven, samo v obratni smeri ali celo popolnoma onemogočite odložišče.

Podobno je direktiva o »Nastavitve tiskanja« Odloča o tem, ali je mogoče vsebino natisniti iz vsebnika in v kakšnih oblikah. Omogočite lahko tiskanje v PDF, XPS, povezane lokalne tiskalnike ali vnaprej določene omrežne tiskalnike ali pa blokirate vse možnosti tiskanja znotraj MDAG.

Možnost "Priznajte vztrajnost" Ta nastavitev določa, ali se uporabniški podatki (prenesene datoteke, piškotki, priljubljene itd.) ohranijo med sejami Application Guard ali se izbrišejo vsakič, ko se okolje zaustavi. Če to omogočite v upravljanem načinu, lahko vsebnik te podatke ohrani za prihodnje seje; če to onemogočite, je okolje ob vsakem zagonu praktično čisto.

Če se pozneje odločite, da ne boste več dovolili vztrajnosti, lahko uporabite orodje wdagtool.exe s parametri cleanup o cleanup RESET_PERSISTENCE_LAYER ponastaviti vsebnik in zavreči informacije, ki jih je ustvaril zaposleni.

Druga ključna politika je »Aktiviraj zaščito aplikacij v upravljanem načinu«Ta razdelek določa, ali funkcija velja za Microsoft Edge, Microsoft Office ali oba. Ta pravilnik ne bo začel veljati, če naprava ne izpolnjuje predpogojev ali ima konfigurirano omrežno izolacijo (razen v nekaterih novejših različicah sistema Windows, kjer ni več potreben za Edge, če so bile nameščene določene posodobitve baze znanja).

Deljenje datotek, potrdila, kamera in nadzor

Poleg zgoraj omenjenih politik obstajajo še druge direktive, ki vplivajo kako je vsebnik povezan z gostiteljskim sistemom in s perifernimi napravami.

politika »Dovoli prenos datotek v gostiteljski operacijski sistem« Odloča, ali lahko uporabnik shrani datoteke, prenesene iz izoliranega okolja, na gostitelja. Ko je omogočen, ustvari skupni vir med obema okoljema, ki omogoča tudi določene nalaganja iz gostitelja v vsebnik – zelo uporabno, vendar bi ga bilo treba oceniti z varnostnega vidika.

Konfiguracija »Omogoči strojno pospešeno upodabljanje« Omogoča uporabo grafičnega procesorja prek vGPU za izboljšanje grafične zmogljivosti, zlasti pri predvajanju videoposnetkov in obsežne vsebine. Če ni na voljo združljive strojne opreme, se bo Application Guard vrnil na upodabljanje s strani CPE. Če pa to možnost omogočite v napravah z nezanesljivimi gonilniki, lahko to poveča tveganje za gostitelja.

Obstaja tudi direktiva za dovoli dostop do kamere in mikrofona znotraj vsebnika. Če ga omogočite, lahko aplikacije, ki se izvajajo pod okriljem MDAG, uporabljajo te naprave, kar omogoča video klice ali konference iz izoliranih okolij, hkrati pa odpira vrata zaobitju standardnih dovoljenj, če je vsebnik ogrožen.

Drug pravilnik dovoljuje zaščito aplikacij uporabite posebne overitelje korenskih potrdil gostiteljaS tem se v vsebnik prenesejo potrdila, katerih prstni odtis je bil določen. Če je ta možnost onemogočena, vsebnik ne bo podedoval teh potrdil, kar lahko blokira povezave z določenimi notranjimi storitvami, če se te zanašajo na zasebna pooblastila.

Končno, možnost za »Dovoli dogodke revizije« Povzroči beleženje sistemskih dogodkov, ustvarjenih v vsebniku, in dedovanje pravilnikov za nadzor naprav, tako da lahko varnostna ekipa iz dnevnikov gostitelja spremlja, kaj se dogaja znotraj Application Guarda.

Integracija z ogrodji za podporo in prilagajanje

Ko gre v programu Application Guard kaj narobe, uporabnik vidi pogovorno okno z napako Privzeto to vključuje le opis težave in gumb za prijavo Microsoftu prek središča za povratne informacije. Vendar pa je to izkušnjo mogoče prilagoditi za lažjo notranjo podporo.

Na poti Administrative Templates\Windows Components\Windows Security\Enterprise Customization Obstaja pravilnik, ki ga lahko skrbnik uporabi Dodajte kontaktne podatke za podporoNotranje povezave ali kratka navodila. Na ta način bo zaposleni, ko bo opazil napako, takoj vedel, na koga se mora obrniti ali katere ukrepe mora sprejeti.

Pogosto zastavljena vprašanja in pogoste težave z aplikacijo Application Guard

Uporaba programa Application Guard ustvari kar nekaj ponavljajoča se vprašanja v resničnih uvedbah, zlasti glede zmogljivosti, združljivosti in delovanja omrežja.

Eno prvih vprašanj je, ali ga je mogoče omogočiti v naprave s samo 4 GB RAM-aČeprav obstajajo scenariji, kjer bi to lahko delovalo, v praksi zmogljivost običajno precej trpi, saj je vsebnik praktično še en operacijski sistem, ki deluje vzporedno.

Druga občutljiva točka je integracija z omrežni posredniki in skripti PACSporočila, kot sta »Zunanjih URL-jev iz brskalnika MDAG ni mogoče razrešiti: ERR_CONNECTION_REFUSED« ali »ERR_NAME_NOT_RESOLVED«, ko dostop do datoteke PAC ne uspe, običajno kažejo na težave s konfiguracijo med vsebnikom, posredniškim strežnikom in pravili izolacije.

Obstajajo tudi težave, povezane z Urejevalniki vnosnih metod (IME) niso podprti V nekaterih različicah sistema Windows konflikti z gonilniki za šifriranje diska ali rešitvami za nadzor naprav preprečujejo dokončanje nalaganja vsebnika.

Nekateri administratorji naletijo na napake, kot so »NAPAKA_OMEJITVE_VIRTUALNEGA_DISKA« Če obstajajo omejitve, povezane z virtualnimi diski, ali če ni mogoče onemogoči tehnologij, kot je hipernitnost, ki posredno vplivajo na Hyper-V in posledično na MDAG.

Postavljajo se tudi vprašanja o tem, kako zaupaj le določenim poddomenam, glede omejitev velikosti seznama domen ali kako onemogočiti vedenje, pri katerem se zavihek gostitelja samodejno zapre, ko se pomaknete na spletno mesto, ki se odpre v vsebniku.

Zaščita aplikacij, način IE, Chrome in Office

V okoljih, kjer Način IE v brskalniku Microsoft EdgeFunkcija Application Guard je podprta, vendar Microsoft ne pričakuje široke uporabe te funkcije v tem načinu. Priporočljivo je, da način brskalnika IE rezervirate za [določene aplikacije/uporabe]. zaupanja vredna notranja spletna mesta in MDAG uporabljajte samo za spletna mesta, ki veljajo za zunanja in nezanesljiva.

Pomembno je zagotoviti, da vsa spletna mesta konfigurirana v načinu IEOmrežje mora biti skupaj s pripadajočimi naslovi IP vključeno tudi v pravilnike o izolaciji omrežja kot zaupanja vredni viri. V nasprotnem primeru lahko pri kombiniranju obeh funkcij pride do nepričakovanega vedenja.

Glede Chroma se mnogi uporabniki sprašujejo, ali je potreben namestite razširitev Application GuardOdgovor je ne: funkcionalnost je izvorno integrirana v Microsoft Edge, stara razširitev za Chrome pa ni podprta konfiguracija pri delu z Edgeom.

Za dokumente sistema Office Application Guard omogoča Odprite datoteke Worda, Excela in PowerPointa v izoliranem vsebniku ko se datoteke štejejo za nezaupanja vredne, s čimer se prepreči, da bi zlonamerni makroji ali drugi vektorji napadov dosegli gostitelja. To zaščito je mogoče kombinirati z drugimi funkcijami programa Defender in pravilniki o zaupanju datotek.

Obstaja celo možnost skupinske politike, ki uporabnikom omogoča, da »zaupajo« določenim datotekam, odprtim v Application Guardu, tako da so obravnavane kot varne in zapustijo vsebnik. To možnost je treba skrbno upravljati, da se ne izgubi prednost izolacije.

Prenosi, odložišče, priljubljene in razširitve: uporabniška izkušnja

Z vidika uporabnika se nekatera najbolj praktična vprašanja vrtijo okoli kaj se lahko in česa ne sme početi v posodiše posebej pri prenosi, kopiranju/lepljenju in razširitvah.

V sistemu Windows 10 Enterprise 1803 in novejših različicah (z niansami, odvisno od izdaje) je možno dovoli prenos dokumentov iz vsebnika na gostitelja Ta možnost ni bila na voljo v prejšnjih različicah ali v nekaterih različicah, kot je Pro, čeprav je bilo mogoče tiskati v PDF ali XPS in rezultat shraniti v gostiteljsko napravo.

Glede odložišča lahko politika podjetja to dovoljuje Slike v formatu BMP in besedilo se kopirajo v in iz izoliranega okolja. Če se zaposleni pritožujejo, da ne morejo kopirati vsebine, je običajno treba te pravilnike pregledati.

Mnogi uporabniki se tudi sprašujejo, zakaj Ne vidijo svojih priljubljenih ali razširitev v seji Edge pod Application Guard. To je običajno posledica onemogočene sinhronizacije zaznamkov ali neomogočenega pravilnika razširitev v MDAG. Ko so te možnosti prilagojene, lahko brskalnik v vsebniku podeduje zaznamke in določene razširitve, vedno z omejitvami, omenjenimi prej.

Obstajajo celo primeri, ko se razširitev prikaže, vendar »ne deluje«. Če se zanaša na izvorne komponente za obdelavo sporočil, ta funkcionalnost ne bo na voljo znotraj vsebnika in razširitev bo kazala omejeno ali popolnoma nedelujoče delovanje.

Grafična zmogljivost, HDR in strojno pospeševanje

Druga tema, ki se pogosto pojavlja, je predvajanje videoposnetkov in napredne funkcije, kot je HDR znotraj Application Guarda. Pri izvajanju v Hyper-V vsebnik nima vedno neposrednega dostopa do zmogljivosti grafičnega procesorja.

Za pravilno delovanje predvajanja HDR v izoliranem okolju je potrebno, da Strojno pospeševanje vGPU je omogočeno prek pravilnika pospešenega upodabljanja. V nasprotnem primeru se bo sistem zanašal na procesor in nekatere možnosti, kot je HDR, se ne bodo prikazale v nastavitvah predvajalnika ali spletnega mesta.

Tudi če je pospeševanje omogočeno, če grafična strojna oprema ni dovolj varna ali združljiva, lahko Application Guard samodejno vrne na programsko upodabljanjekar vpliva na tekočnost in porabo baterije v prenosnikih.

Nekatere uvedbe so pokazale težave s fragmentacijo TCP in konflikti z VPN-ji, ki se zdijo, da nikoli ne zaženejo ko promet poteka skozi vsebnik. V teh primerih je običajno treba pregledati omrežne pravilnike, MTU, konfiguracijo proxyja in včasih prilagoditi, kako se MDAG integrira z drugimi že nameščenimi varnostnimi komponentami.

Podpora, diagnostika in poročanje o incidentih

Kadar se kljub vsemu pojavijo težave, ki jih ni mogoče rešiti interno, Microsoft priporoča odprite posebno zahtevo za podporo za Microsoft Defender Application Guard. Pomembno je, da predhodno zberete informacije z diagnostične strani, povezanih dnevnikov dogodkov in podrobnosti o konfiguraciji, ki je bila uporabljena za napravo.

Uporaba strani edge://application-guard-internals, v kombinaciji z omogočeni dogodki revizije in izdajo orodij, kot so wdagtool.exeObičajno podporni ekipi zagotovi dovolj podatkov, da najde vir težave, pa naj gre za slabo definiran pravilnik, konflikt z drugim varnostnim izdelkom ali omejitev strojne opreme.

Poleg vsega tega lahko uporabniki v pogovornem oknu za tehnično podporo za varnost sistema Windows prilagodijo sporočila o napakah in kontaktne podatke, kar jim olajša iskanje prave rešitve. Ne zataknite se, če ne veste, na koga se obrniti ko se posoda ne zažene ali se ne odpre po pričakovanjih.

Microsoft Defender Application Guard na splošno ponuja zmogljivo kombinacijo izolacije strojne opreme, podrobnega nadzora pravilnikov in diagnostičnih orodij, ki lahko ob pravilni uporabi znatno zmanjšajo tveganje, povezano z brskanjem po nezaupanja vrednih spletnih mestih ali odpiranjem dokumentov iz dvomljivih virov, ne da bi pri tem ogrozili vsakodnevno produktivnost.