- Microsoft Defender Application Guard изолује непоуздане локације и документе у Hyper-V контејнеру како би заштитио систем и корпоративне податке.
- Његово распоређивање захтева одређена издања и лиценце оперативног система Windows, као и усклађеност са захтевима за виртуелизацију и конфигурацију мреже.
- Безбедност и корисничко искуство се контролишу путем групних политика које регулишу међуспремник, преузимања, штампање, екстензије и приступ ресурсима.
- Алати за дијагностику, ревизију и подршку омогућавају идентификацију сукоба, оптимизацију перформанси и одржавање равнотеже између заштите и продуктивности.
Ако радите са осетљивим информацијама или свакодневно прегледате сумњиве веб странице, Microsoft Defender Application Guard (MDAG) То је једна од оних Windows функција које могу направити разлику између страха и катастрофе. То није само још један антивирусни програм, већ додатни слој који изолује претње од вашег система и података.
У следећим редовима ћете јасно видети Шта је тачно Application Guard, како функционише интерно, на којим уређајима можете да га користите и како га конфигуришете? Обрадићемо и једноставна и пословна имплементирања. Такође ћемо прегледати захтеве, групне политике, уобичајене грешке и разна често постављана питања која се јављају када се почне са радом са овом технологијом.
Шта је Microsoft Defender Application Guard и како функционише?
Microsoft Defender Application Guard је напредна безбедносна функција дизајнирана да Изолујте непоуздане веб странице и документе у виртуелном контејнеру Засновано на Hyper-V-у. Уместо да покушава да блокира сваки напад један по један, креира мали „рачунар за једнократну употребу“ где ставља сумњиви материјал.
Тај контејнер ради у одвојено од главног оперативног системаса сопственом заштићеном инстанцом оперативног система Windows и без директног приступа датотекама, акредитивима или интерним ресурсима компаније. Чак и ако злонамерни сајт успе да искористи рањивост прегледача или система Office, штета остаје унутар тог изолованог окружења.
У случају Microsoft Edge-а, Application Guard осигурава да било који домен који није означен као поуздан Аутоматски се отвара унутар тог контејнера. За Office, исто ради са Word, Excel и PowerPoint документима који долазе из извора које организација не сматра безбедним.
Кључно је да је ова изолација хардверског типа: Hyper-V ствара независно окружење од хоста, што драстично смањује могућност да нападач пређе са изоловане сесије на стварни систем, украде податке компаније или искористи сачуване акредитиве.
Штавише, контејнер се третира као анонимно окружење: Не наслеђује колачиће, лозинке или сесије корисника.Ово знатно отежава живот нападачима који се ослањају на технике лажног представљања или крађе сесије.
Препоручени типови уређаја за коришћење Application Guard-а
Иако Application Guard технички може да ради у различитим сценаријима, посебно је дизајниран за корпоративна окружења и управљани уређајиМајкрософт разликује неколико врста опреме где MDAG има највише смисла.
Пре свега ту су пословни десктоп рачунар придружен доменуЊима се обично управља помоћу Configuration Manager-а или Intune-а. То су традиционални канцеларијски рачунари, са стандардним корисницима и повезани на жичану корпоративну мрежу, где ризик углавном долази од свакодневног прегледања интернета.
Онда имамо корпоративни лаптоповиОво су такође уређаји повезани са доменом и централно управљани, али се повезују на интерне или екстерне Wi-Fi мреже. Овде се ризик повећава јер уређај напушта контролисану мрежу и изложен је Wi-Fi-ју у хотелима, на аеродромима или у кућним мрежама.
Друга група су лаптопови које сами користите (BYOD - Bring Your Own Device), лична опрема која не припада компанији, али се њоме управља путем решења попут Intune-а. Обично су у рукама корисника са локалним администраторским привилегијама, што повећава површину за напад и чини коришћење изолације за приступ корпоративним ресурсима примамљивијим.
Коначно, ту су и потпуно неуправљани лични уређајиТо су веб странице које не припадају ниједном домену и где корисник има апсолутну контролу. У тим случајевима, Application Guard се може користити у самосталном режиму (посебно за Edge) како би се обезбедио додатни слој заштите приликом посећивања потенцијално опасних веб страница.
Потребна издања и лиценцирање система Windows
Пре него што почнете са подешавањем било чега, важно је да ово буде јасно. У којим издањима оперативног система Windows можете користити Microsoft Defender Application Guard и са којим правима лиценцирања.
За Самостални режим на Edge-у (тј. коришћење Application Guard-а само као заштитног простора прегледача без напредног управљања предузећем), подржано је на Windows-у:
- Виндовс Про
- Виндовс Ентерприсе
- Windows Pro Education / SE
- Виндовс Едуцатион
У овом сценарију, права на лиценцу MDAG се додељују ако имате лиценце као што су Windows Pro / Pro Education / SE, Windows Enterprise E3 или E5 и Windows Education A3 или A5У пракси, на многим професионалним рачунарима са оперативним системом Windows Pro већ можете активирати ову функцију за основну употребу.
За режим на рубу предузећа и корпоративна администрација (где долазе до изражаја напредне директиве и сложенији сценарији), подршка је смањена:
- Виндовс Ентерприсе y Виндовс Едуцатион Заштита апликација је подржана у овом режиму.
- Windows Pro и Windows Pro Education/SE не Имају подршку за ову пословну варијанту.
Што се тиче лиценци, ова напреднија корпоративна употреба захтева Windows Enterprise E3/E5 или Windows Education A3/A5Ако ваша организација ради само са Pro претплатама без Enterprise претплата, бићете ограничени на самостални Edge режим.
Системски предуслови и компатибилност
Поред Windows издања, да би Application Guard стабилно радио, потребно је да испуните низ техничких захтева везано за верзију, хардвер и подршку за виртуелизацију.
Што се тиче оперативног система, обавезно је користити Windows 10 1809 или новији (ажурирање из октобра 2018.) или еквивалентна верзија система Windows 11. Није намењен за серверске SKU-ове или знатно умањене варијанте; јасно је усмерен на клијентске рачунаре.
На нивоу хардвера, опрема мора имати омогућена је виртуелизација заснована на хардверу (Подршка за Intel VT-x/AMD-V и превођење адреса другог нивоа, као што је SLAT), пошто је Hyper-V кључна компонента за креирање изолованог контејнера. Без овог слоја, MDAG неће моћи да подеси своје безбедно окружење.
Такође је неопходно имати компатибилни механизми администрације Ако ћете га користити централно (на пример, Microsoft Intune или Configuration Manager), као што је детаљно наведено у захтевима за пословни софтвер. За једноставна имплементирања, сам Windows безбедносни интерфејс ће бити довољан.
На крају, имајте на уму да Заштита апликација је у процесу застаревања. За Microsoft Edge за предузећа, и да се одређени API-ји повезани са самосталним апликацијама више неће ажурирати. Упркос томе, то остаје веома распрострањено у окружењима где је потребно краткорочно и средњорочно ограничавање ризика.
Случај употребе: безбедност наспрам продуктивности
Један од класичних проблема у сајбер безбедности је проналажење праве равнотеже између да заиста заштити, а не да блокира корисникаАко дозволите само неколико „благословених“ веб-сајтова, смањујете ризик, али убијате продуктивност. Ако ублажите ограничења, ниво изложености нагло расте.
Претраживач је један од главне површине за напад посла, јер му је сврха отварање непоузданог садржаја из широког спектра извора: непознатих веб локација, преузимања, скрипти трећих страна, агресивног оглашавања итд. Без обзира колико побољшавате претраживач, увек ће постојати нове рањивости које ће неко покушати да искористи.
У овом моделу, администратор прецизно дефинише које домене, IP опсеге и cloud ресурсе сматра поузданим. Све што није на тој листи аутоматски иде у контејнерТамо корисник може да прегледа веб-сајт без страха да ће квар прегледача угрозити остатак интерних система.
Резултат је релативно флексибилна навигација за запосленог, али са јако чувана граница између онога што је непоуздан спољашњи свет и онога што је корпоративно окружење које се мора заштитити по сваку цену.
Недавне функције и ажурирања за Application Guard у програму Microsoft Edge
Кроз различите верзије Microsoft Edge-а засноване на Chromium-у, Microsoft је додао Посебна побољшања за Application Guard са циљем побољшања корисничког искуства и давања веће контроле администратору.
Једна од важних нових карактеристика је блокирање отпремања датотека из контејнераОд верзије Edge 96, организације су могле да спрече кориснике да отпремају документе са свог локалног уређаја на образац или веб сервис у оквиру изоловане сесије, користећи политику ApplicationGuardUploadBlockingEnabledОво смањује ризик од цурења информација.
Још једно веома корисно побољшање је пасивни режим, доступно од Edge 94. Када се активира политиком ApplicationGuardPassiveModeEnabledЗаштита апликација престаје да форсира листу сајтова и омогућава кориснику да „нормално“ прегледа Edge, чак и ако је функција и даље инсталирана. То је згодан начин да технологија буде спремна без преусмеравања саобраћаја.
Такође је додата могућност синхронизујте омиљене хостове са контејнеромОво је нешто што су многи корисници тражили како би избегли два потпуно неповезана искуства прегледања. Од Edge 91, политика ApplicationGuardFavoritesSyncEnabled Омогућава новим маркерима да се појављују подједнако унутар изолованог окружења.
У области умрежавања, Edge 91 је укључио подршку за означите саобраћај који напушта контејнер захваљујући директиви ApplicationGuardTrafficIdentificationEnabledОво омогућава компанијама да идентификују и филтрирају тај саобраћај преко проксија, на пример да ограниче приступ веома малом скупу сајтова приликом прегледања са MDAG-а.
Дуални прокси, екстензије и други напредни сценарији
Неке организације користе Application Guard у сложенијим имплементацијама где им је потребно пажљиво пратити контејнерски саобраћај и могућности прегледача унутар тог изолованог окружења.
За ове случајеве, Edge има подршку за двоструки прокси Од стабилне верзије 84 па надаље, конфигурабилно преко директиве ApplicationGuardContainerProxyИдеја је да се саобраћај који потиче из контејнера усмерава преко одређеног проксија, различитог од оног који користи хост, што олакшава примену независних правила и строжу инспекцију.
Још један стално понављани захтев купаца био је могућност користите екстензије унутар контејнераОд верзије Edge 81, ово је могуће, тако да блокатори огласа, интерна корпоративна проширења или други алати могу да се покрећу све док су у складу са дефинисаним политикама. Потребно је декларисати updateURL екстензије у политикама мрежне изолације тако да се сматра неутралним ресурсом доступним из Application Guard-а.
Прихваћени сценарији укључују присилна инсталација екстензија на хосту Ова проширења се затим појављују у контејнеру, омогућавајући уклањање одређених проширења или блокирање других која се сматрају непожељним из безбедносних разлога. Међутим, ово се не односи на проширења која се ослањају на изворне компоненте за обраду порука. Нису компатибилни у оквиру MDAG-а.
Да би се помогло у дијагностиковању проблема са конфигурацијом или понашањем, одређена дијагностичка страница en edge://application-guard-internalsОдатле можете проверити, између осталог, да ли се дати URL сматра поузданим или не у складу са политикама које се заправо примењују на корисника.
Коначно, што се тиче ажурирања, нови Microsoft Edge ће Такође се ажурира унутар контејнераПрати исти канал и верзију као и главни прегледач. Више не зависи од циклуса ажурирања оперативног система, као што је био случај са старом верзијом Edge-а, што знатно поједностављује одржавање.
Како омогућити Microsoft Defender Application Guard у оперативном систему Windows
Ако желите да га покренете на компатибилном уређају, први корак је активирајте Windows функцију одговарајуће. Процес је, на основном нивоу, прилично једноставан.
Најбржи начин је да отворите дијалог прозор „Покрени“ помоћу Вин + Р, писати appwiz.cpl и притисните Ентер да бисте директно отишли на панел „Програми и функције“. Одатле ћете, са леве стране, пронаћи везу до „Укључивање или искључивање функција система Windows“.
На листи доступних компоненти, мораћете да пронађете унос „Microsoft Defender Application Guard“ и изаберите га. Након прихватања, Windows ће преузети или омогућити потребне бинарне датотеке и затражити од вас да поново покренете рачунар да би се промене примениле.
Након поновног покретања, на компатибилним уређајима са исправним верзијама програма Edge, требало би да будете у могућности да Отварање нових прозора или изоловане картице путем опција прегледача или, у управљаним окружењима, аутоматски према конфигурацији листе непоузданих сајтова.
Ако не видите опције попут „Нови прозор Заштитника апликација“ или се контејнер не отвара, могуће је да Упутства која пратите могу бити застарела.То може бити зато што ваше издање оперативног система Windows није подржано, немате омогућен Hyper-V или је политика ваше организације онемогућила ову функцију.
Конфигурисање Application Guard-а помоћу групних смерница
У пословним окружењима, сваки комад опреме се не конфигурише ручно; уместо тога, користи се унапред дефинисани систем. групна политика (GPO) или конфигурационе профиле у Intune-у за централно дефинисање смерница. Application Guard се ослања на два главна конфигурациона блока: изолацију мреже и параметре специфичне за апликацију.
Подешавања мрежне изолације налазе се у Computer Configuration\Administrative Templates\Network\Network IsolationОвде су, на пример, дефинисани следећи појмови: интерни мрежни опсези и домени који се сматрају доменима компанијекоји ће означити границу између онога што је поуздано и онога што треба бацити у канту за смеће.
Једна од кључних политика је она која „Интервали приватне мреже за апликације“Овај одељак наводи, у листи одвојеној зарезима, IP опсеге који припадају корпоративној мрежи. Крајње тачке у овим опсезима ће се отварати у нормалном Edge-у и неће бити доступне из окружења Application Guard.
Још једна важна политика је она која „Домени пословних ресурса хостовани у облаку“која користи листу одвојену карактером | Да би се назначили SaaS домени и cloud сервиси организације који треба да се третирају као интерни. Они ће се такође приказивати на Edge-у ван контејнера.
Коначно, директива од „Домени класификовани као лични и пословни“ Омогућава вам да декларишете домене који се могу користити и за личне и за пословне сврхе. Овим сајтовима ће бити доступно и из нормалног Edge окружења и из Application Guard-а, према потреби.
Коришћење џокер знакова у подешавањима мрежне изолације
Да би се избегло писање сваког поддомена појединачно, листе мрежне изолације подржавају џокер знакови у именима доменаОво омогућава бољу контролу онога што се сматра поузданим.
Ако је једноставно дефинисано contoso.comПретраживач ће веровати само тој одређеној вредности, а не другим доменима који је садрже. Другим речима, третираће само ту дословну вредност као да припада предузећу. тачан корен и не www.contoso.com нити варијанте.
Ако је наведено www.contoso.com, тако само тај одређени домаћин сматраће се поузданим. Други поддомени као што су shop.contoso.com Били би изостављени и могли би завршити у контејнеру.
Са форматом .contoso.com (тачка пре) указује на то Сваки домен који се завршава на „contoso.com“ је поуздан. Ово укључује од contoso.com горе www.contoso.com или чак ланци попут spearphishingcontoso.comДакле, мора се користити са пажњом.
Коначно, ако се користи ..contoso.com (почетна двотачка), сви нивои хијерархије који се налазе лево од домена су поуздани, на пример shop.contoso.com o us.shop.contoso.comали Корен „contoso.com“ није поуздан само по себи. То је финији начин контроле онога што се сматра корпоративним ресурсом.
Главне директиве специфичне за Application Guard
Други главни скуп подешавања налази се у Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application GuardОдавде се управља земљом детаљно понашање контејнера и шта корисник може или не може да уради унутар њега.
Једна од најрелевантнијих политика је она о „Подешавања међуспремника“Ово контролише да ли је могуће копирање и лепљење текста или слика између хоста и Application Guard-а. У управљаном режиму можете дозволити копирање само из контејнера напоље, само у обрнутом смеру или чак потпуно онемогућити међуспремник.
Слично томе, директива од „Подешавања штампања“ Одлучује да ли се садржај може штампати из контејнера и у којим форматима. Можете омогућити штампање у PDF, XPS, повезане локалне штампаче или унапред дефинисане мрежне штампаче или блокирати све могућности штампања унутар MDAG-а.
Опција „Признајте упорност“ Ово подешавање одређује да ли се кориснички подаци (преузете датотеке, колачићи, омиљене ставке итд.) задржавају између сесија Application Guard-а или се бришу сваки пут када се окружење искључи. Омогућавање ове опције у управљаном режиму омогућава контејнеру да задржи ове информације за будуће сесије; онемогућавање ове опције резултира практично чистим окружењем при сваком покретању.
Ако касније одлучите да зауставите дозвољавање перзистентности, можете користити алатку wdagtool.exe са параметрима cleanup o cleanup RESET_PERSISTENCE_LAYER да ресетујете контејнер и одбаците информације које је генерисао запослени.
Још једна кључна политика је „Активирајте Application Guard у управљаном режиму“Овај одељак одређује да ли се функција примењује на Microsoft Edge, Microsoft Office или оба. Ова политика неће ступити на снагу ако уређај не испуњава предуслове или има конфигурисану мрежну изолацију (осим у одређеним новијим верзијама Windows-а где више није потребна за Edge ако су инсталирана одређена ажурирања базе знања).
Дељење датотека, сертификати, камера и ревизија
Поред горе поменутих политика, постоје и друге директиве које утичу како се контејнер односи на хост систем и са периферним уређајима.
politika „Дозволи преузимање датотека на главни оперативни систем“ Одлучује да ли корисник може да сачува датотеке преузете из изолованог окружења на хост. Када је омогућен, креира дељени ресурс између оба окружења, што такође омогућава одређена отпремања са хоста на контејнер — веома корисно, али то треба проценити са безбедносне тачке гледишта.
Конфигурација „Омогући хардверски убрзано рендеровање“ Омогућава коришћење графичке картице (GPU) путем vGPU-а ради побољшања графичких перформанси, посебно приликом репродукције видеа и садржаја са великим обимом садржаја. Ако није доступан компатибилан хардвер, Application Guard ће се вратити на рендеровање преко процесора. Међутим, омогућавање ове опције на уређајима са непоузданим драјверима може повећати ризик за хоста.
Такође постоји директива за дозволи приступ камери и микрофону унутар контејнера. Омогућавањем ове опције дозвољава се апликацијама које раде под MDAG-ом да користе ове уређаје, олакшавајући видео позиве или конференције из изолованих окружења, иако се такође отвара могућност заобилажења стандардних дозвола ако је контејнер угрожен.
Друга политика дозвољава заштиту апликација користите одређене ауторитете за сертификацију коренског хостаОво преноси у контејнер сертификате чији је отисак прста наведен. Ако је ово онемогућено, контејнер неће наследити те сертификате, што може блокирати везе са одређеним интерним сервисима ако се они ослањају на приватна овлашћења.
Коначно, опција за „Дозволи догађаје ревизије“ То узрокује евидентирање системских догађаја генерисаних у контејнеру и наслеђивање политика ревизије уређаја, тако да безбедносни тим може да прати шта се дешава унутар Application Guard-а из логова хоста.
Интеграција са оквирима за подршку и прилагођавање
Када нешто крене наопако у функцији Application Guard, корисник види дијалог прозор са грешком Подразумевано, ово укључује само опис проблема и дугме за његово пријављивање компанији Microsoft путем центра за повратне информације. Међутим, ово искуство се може прилагодити како би се олакшала интерна подршка.
На путу Administrative Templates\Windows Components\Windows Security\Enterprise Customization Постоји политика коју администратор може да користи Додајте контакт информације службе за подршкуИнтерни линкови или кратка упутства. На овај начин, када запослени види грешку, одмах ће знати кога да контактира или које кораке да предузме.
Често постављана питања и уобичајени проблеми са Application Guard-ом
Употреба Application Guard-а генерише добар део понављајућа питања у стварним применама, посебно у погледу перформанси, компатибилности и понашања мреже.
Једно од првих питања је да ли се то може омогућити у уређаји са само 4 ГБ РАМ-аИако постоје сценарији у којима би то могло да функционише, у пракси перформансе обично знатно пате, јер је контејнер практично други оперативни систем који ради паралелно.
Још једна осетљива тачка је интеграција са мрежни проксији и PAC скриптеПоруке попут „Није могуће разрешити екстерне URL-ове из MDAG прегледача: ERR_CONNECTION_REFUSED“ или „ERR_NAME_NOT_RESOLVED“ када приступ PAC датотеци не успе обично указују на проблеме са конфигурацијом између контејнера, проксија и правила изолације.
Такође постоје проблеми везани за IME-ови (уређивачи метода уноса) нису подржани У одређеним верзијама оперативног система Windows, сукоби са драјверима за шифровање диска или решењима за контролу уређаја спречавају контејнер да заврши учитавање.
Неки администратори наилазе на грешке као што су „ГРЕШКА_ОГРАНИЧЕЊЕ_ВИРТУЕЛНОГ_ДИСКА“ Ако постоје ограничења везана за виртуелне дискове или неуспеси у онемогућавању технологија као што је хипернитност које индиректно утичу на Hyper-V и, самим тим, на MDAG.
Такође се постављају питања о томе како веруј само одређеним поддоменима, у вези са ограничењима величине листе домена или како онемогућити понашање где се картица хоста аутоматски затвара приликом навигације до сајта који се отвара у контејнеру.
Заштита апликација, IE режим, Chrome и Office
У срединама где се IE режим у Microsoft Edge-уФункција Application Guard је подржана, али Microsoft не очекује широку употребу ове функције у овом режиму. Препоручује се да се IE режим резервише за [одређене апликације/употребе]. поуздани интерни сајтови и користите MDAG само за веб странице које се сматрају спољним и непоузданим.
Важно је да се у то уверимо сви сајтови конфигурисани у IE режимуМрежа, заједно са својим придруженим IP адресама, такође мора бити укључена у политике изолације мреже као поуздани ресурси. У супротном, може доћи до неочекиваног понашања приликом комбиновања обе функције.
Што се тиче Chrome-а, многи корисници питају да ли је то неопходно инсталирајте екстензију Application GuardОдговор је не: функционалност је изворно интегрисана у Microsoft Edge, а старо Chrome проширење није подржана конфигурација при раду са Edge-ом.
За Office документе, Application Guard дозвољава Отварање Word, Excel и PowerPoint датотека у изолованом контејнеру када се датотеке сматрају непоузданим, чиме се спречава да злонамерни макрои или други вектори напада дођу до хоста. Ова заштита се може комбиновати са другим функцијама Дефендера и политикама поверења датотека.
Постоји чак и опција групних смерница која омогућава корисницима да „верују“ одређеним датотекама отвореним у Application Guard-у, тако да се третирају као безбедне и излазе из контејнера. Овом могућношћу треба пажљиво управљати како би се избегло губљење предности изолације.
Преузимања, међуспремник, омиљени и екстензије: корисничко искуство
Са становишта корисника, нека од најпрактичнијих питања се врте око Шта се може, а шта не може радити унутар контејнерапосебно код преузимања, копирања/лепљења и екстензија.
У оперативном систему Windows 10 Enterprise 1803 и новијим верзијама (са нијансама у зависности од издања), могуће је дозволи преузимање докумената из контејнера на хост Ова опција није била доступна у претходним верзијама или у одређеним верзијама издања попут Pro, иако је било могуће штампати у PDF или XPS формату и сачувати резултат на главном уређају.
Што се тиче међуспремника, корпоративна политика може то дозволити Слике у BMP формату и текст се копирају до и из изолованог окружења. Ако се запослени жале да не могу да копирају садржај, ове политике ће обично морати да се преиспитају.
Многи корисници се такође питају зашто Не виде своје омиљене ставке нити своје екстензије у Edge сесији под Application Guard. Ово је обично због тога што је синхронизација обележивача онемогућена или што политика проширења у MDAG-у није омогућена. Када се ове опције подесе, прегледач у контејнеру може да наследи обележиваче и одређена проширења, увек уз ограничења поменута раније.
Постоје чак и случајеви где се екстензија појављује, али „не ради“. Ако се ослања на изворне компоненте за обраду порука, та функционалност неће бити доступна унутар контејнера, а екстензија ће показивати ограничено или потпуно неоперативно понашање.
Графичке перформансе, HDR и хардверско убрзање
Још једна тема која се често појављује јесте репродукција видеа и напредне функције као што је HDR унутар Application Guard-а. Када се покреће на Hyper-V-у, контејнер нема увек директан приступ могућностима GPU-а.
Да би HDR репродукција исправно функционисала у изолованом окружењу, неопходно је да vGPU хардверско убрзање је омогућено путем политике убрзаног рендеровања. У супротном, систем ће се ослањати на процесор, а одређене опције попут HDR-а се неће појавити у подешавањима плејера или веб странице.
Чак и са омогућеним убрзањем, ако се графички хардвер не сматра довољно безбедним или компатибилним, Application Guard може аутоматски се враћа на софтверско рендеровањешто утиче на флуидност и потрошњу батерије код лаптопова.
Неке имплементације су показале проблеме са фрагментацијом TCP-а и сукобима са VPN-ови који као да никада не почињу да раде када саобраћај пролази кроз контејнер. У тим случајевима је обично потребно прегледати мрежне политике, MTU, конфигурацију проксија, а понекад и прилагодити начин на који се MDAG интегрише са другим већ инсталираним безбедносним компонентама.
Подршка, дијагноза и извештавање о инцидентима
Када се, упркос свему, појаве проблеми који се не могу решити интерно, Мајкрософт препоручује отворите посебан тикет за подршку за Microsoft Defender Application Guard. Важно је претходно прикупити информације са странице за дијагностику, повезаних евиденција догађаја и детаља о конфигурацији примењеној на уређај.
Употреба странице edge://application-guard-internals, у комбинацији са омогућени догађаји ревизије и објављивање алата као што су wdagtool.exeОбично тиму за подршку пружа довољно података да лоцира извор проблема, било да је у питању лоше дефинисана политика, сукоб са другим безбедносним производом или хардверско ограничење.
Поред свега овога, корисници могу да прилагоде поруке о грешкама и контакт информације у дијалогу техничке подршке за безбедност система Windows, што им олакшава проналажење правог решења. Немојте се заглавити не знајући коме да се обратите када се контејнер не покрене или се не отвори како се очекује.
Генерално, Microsoft Defender Application Guard нуди моћну комбинацију изолације хардвера, детаљне контроле смерница и дијагностичких алата који, када се правилно користе, могу значајно смањити ризик повезан са прегледавањем непоузданих веб локација или отварањем докумената из сумњивих извора, а да притом не угрожавају свакодневну продуктивност.
Страствени писац о свету бајтова и технологије уопште. Волим да делим своје знање кроз писање, и то је оно што ћу радити на овом блогу, показивати вам све најзанимљивије ствари о гаџетима, софтверу, хардверу, технолошким трендовима и још много тога. Мој циљ је да вам помогнем да се крећете у дигиталном свету на једноставан и забаван начин.