- Microsoft Defender Application Guard isolerar otillförlitliga webbplatser och dokument i en Hyper-V-container för att skydda systemet och företagsdata.
- Dess distribution kräver specifika utgåvor och licenser av Windows, samt efterlevnad av krav för virtualisering och nätverkskonfiguration.
- Säkerhet och användarupplevelse styrs genom grupprinciper som reglerar urklipp, nedladdningar, utskrifter, tillägg och åtkomst till resurser.
- Diagnostik-, gransknings- och supportverktyg möjliggör identifiering av konflikter, optimering av prestanda och upprätthållande av en balans mellan skydd och produktivitet.
Om du arbetar med känslig information eller surfar på misstänkta webbplatser dagligen, Microsoft Defender Application Guard (MDAG) Det är en av de där Windows-funktionerna som kan göra skillnaden mellan en skrämsel och en katastrof. Det är inte bara ytterligare ett antivirusprogram, utan ett extra lager som isolerar hot från ditt system och dina data.
I följande rader ser du tydligt Vad exakt är Application Guard, hur fungerar det internt, på vilka enheter kan man använda det och hur konfigurerar man det? Vi kommer att täcka både enkla och företagsdrivna implementeringar. Vi kommer också att granska krav, gruppolicyer, vanliga fel och diverse vanliga frågor som uppstår när man börjar arbeta med den här tekniken.
Vad är Microsoft Defender Application Guard och hur fungerar det?
Microsoft Defender Application Guard är en avancerad säkerhetsfunktion som är utformad för att Isolera otillförlitliga webbplatser och dokument i en virtuell container Baserat på Hyper-V. Istället för att försöka blockera varje attack en efter en skapar den en liten "engångsdator" där den placerar det misstänkta materialet.
Den containern körs i en separat från det huvudsakliga operativsystemetmed en egen härdad instans av Windows och ingen direkt åtkomst till filer, inloggningsuppgifter eller interna företagsresurser. Även om en skadlig webbplats lyckas utnyttja en sårbarhet i en webbläsare eller Office, kvarstår skadan inom den isolerade miljön.
När det gäller Microsoft Edge säkerställer Application Guard att alla domäner som inte markerats som betrodda Den öppnas automatiskt i den behållaren. För Office gör den samma sak med Word-, Excel- och PowerPoint-dokument som kommer från källor som organisationen inte anser vara säkra.
Nyckeln är att denna isolering är av hårdvarutyp: Hyper-V skapar en oberoende miljö från värden, vilket drastiskt minskar risken för att en angripare hoppar från den isolerade sessionen till det verkliga systemet, stjäl företagsdata eller utnyttjar lagrade inloggningsuppgifter.
Dessutom behandlas containern som en anonym miljö: Den ärver inte användarens cookies, lösenord eller sessioner.Detta gör livet mycket svårare för angripare som förlitar sig på förfalskning eller sessionsstöldtekniker.
Rekommenderade enhetstyper för att använda Application Guard
Även om Application Guard tekniskt sett kan köras i olika scenarier, är det speciellt utformat för företagsmiljöer och hanterade enheterMicrosoft skiljer mellan flera typer av utrustning där MDAG är mest meningsfullt.
Först och främst finns det domänansluten företagsskrivbordDessa hanteras vanligtvis med Configuration Manager eller Intune. De är traditionella kontorsdatorer med standardanvändare och anslutna till det trådbundna företagsnätverket, där risken främst kommer från daglig internetsurfning.
Då har vi företagsbärbara datorerDessa är också domänanslutna och centralt hanterade enheter, men de ansluter till interna eller externa Wi-Fi-nätverk. Här ökar risken eftersom enheten lämnar det kontrollerade nätverket och exponeras för Wi-Fi på hotell, flygplatser eller hemmanätverk.
En annan grupp är BYOD (Bring Your Own Device) bärbara datorer, personlig utrustning som inte tillhör företaget men som hanteras genom lösningar som Intune. De är vanligtvis i händerna på användare med lokala administratörsbehörigheter, vilket ökar attackytan och gör det mer attraktivt att använda isolering för åtkomst till företagsresurser.
Slutligen finns det helt ohanterade personliga enheterDet här är webbplatser som inte tillhör någon domän och där användaren har absolut kontroll. I dessa fall kan Application Guard användas i fristående läge (särskilt för Edge) för att ge ett extra skyddslager vid besök av potentiellt farliga webbplatser.
Nödvändiga Windows-utgåvor och licenser
Innan du börjar konfigurera något är det viktigt att vara tydlig med detta. I vilka versioner av Windows kan du använda Microsoft Defender Application Guard och med vilka licensrättigheter.
För Edge fristående läge (dvs. att endast använda Application Guard som en webbläsarsandlåda utan avancerad företagshantering), stöds på Windows:
- Windows pro
- Windows Enterprise
- Windows Pro Education / SE
- Windows Utbildning
I det här scenariot beviljas MDAG-licensrättigheter om du har licenser som Windows Pro/Pro Education/SE, Windows Enterprise E3 eller E5 och Windows Education A3 eller A5I praktiken kan du på många professionella datorer med Windows Pro redan aktivera funktionen för grundläggande användning.
För Edge Enterprise-läge och företagsadministration (där avancerade direktiv och mer komplexa scenarier kommer in i bilden) minskas stödet:
- Windows Enterprise y Windows Utbildning Application Guard stöds i det här läget.
- Windows Pro och Windows Pro Education/SE Nej De har stöd för denna företagsvariant.
När det gäller licenser kräver denna mer avancerade företagsanvändning Windows Enterprise E3/E5 eller Windows Education A3/A5Om din organisation bara använder Pro utan Enterprise-prenumerationer kommer du att vara begränsad till fristående läge i Edge.
Systemkrav och kompatibilitet
Utöver Windows-utgåvan måste du uppfylla kraven för att Application Guard ska fungera stabilt. en rad tekniska krav relaterat till version, hårdvara och virtualiseringssupport.
När det gäller operativsystemet är det obligatoriskt att använda Windows 10 1809 eller senare (Oktober 2018-uppdateringen) eller en motsvarande version av Windows 11. Den är inte avsedd för server-SKU:er eller kraftigt nedskalade varianter; den är tydligt riktad mot klientdatorer.
På hårdvarunivå måste utrustningen ha hårdvarubaserad virtualisering aktiverad (Intel VT-x/AMD-V-stöd och adressöversättning på andra nivån, såsom SLAT), eftersom Hyper-V är nyckelkomponenten för att skapa den isolerade containern. Utan detta lager kommer MDAG inte att kunna konfigurera sin säkra miljö.
Det är också viktigt att ha kompatibla administrationsmekanismer Om du ska använda det centralt (till exempel Microsoft Intune eller Configuration Manager), enligt beskrivningen i kraven för företagsprogramvaran. För enkla distributioner räcker själva Windows-säkerhetsgränssnittet.
Slutligen, notera det Application Guard håller på att bli föråldrad. För Microsoft Edge för företag, och att vissa API:er som är kopplade till fristående applikationer inte längre kommer att uppdateras. Trots detta är det fortfarande mycket vanligt förekommande i miljöer där riskhantering på kort och medellång sikt behövs.
Användningsfall: säkerhet kontra produktivitet
Ett av de klassiska problemen inom cybersäkerhet är att hitta rätt balans mellan att verkligen skydda, inte blockera användarenOm du bara tillåter en handfull "välsignade" webbplatser minskar du risken, men du dödar produktiviteten. Om du lättar på restriktionerna skjuter exponeringsnivån i höjden.
Webbläsaren är en av de huvudsakliga anfallsytor av jobbet, eftersom dess syfte är att öppna otillförlitligt innehåll från en mängd olika källor: okända webbplatser, nedladdningar, tredjepartsskript, aggressiv reklam, etc. Oavsett hur mycket du förbättrar motorn kommer det alltid att finnas nya sårbarheter som någon kommer att försöka utnyttja.
I den här modellen definierar administratören exakt vilka domäner, IP-intervall och molnresurser de anser vara pålitliga. Allt som inte finns med på listan hamnar automatiskt i behållarenDär kan användaren surfa utan rädsla för att ett webbläsarfel äventyrar resten av de interna systemen.
Resultatet är relativt flexibel navigering för medarbetaren, men med en hårt bevakade gränsen mellan vad som är en opålitlig omvärld och vad som är en företagsmiljö som måste skyddas till varje pris.
Senaste funktioner och uppdateringar av Application Guard i Microsoft Edge
Genom de olika versionerna av Microsoft Edge baserade på Chromium har Microsoft lagt till Specifika förbättringar för Application Guard med syftet att förfina användarupplevelsen och ge administratören mer kontroll.
En av de viktiga nya funktionerna är blockerar filuppladdningar från containernSedan Edge 96 har organisationer kunnat förhindra användare från att ladda upp dokument från sina lokala enheter till ett formulär eller en webbtjänst inom en isolerad session, med hjälp av policyn. ApplicationGuardUploadBlockingEnabledDetta minskar risken för informationsläckor.
En annan mycket användbar förbättring är passivt läge, tillgänglig sedan Edge 94. När den aktiveras av policyn ApplicationGuardPassiveModeEnabledApplication Guard slutar tvinga fram webbplatslistan och låter användaren surfa "normalt" i Edge, även om funktionen fortfarande är installerad. Det är ett bekvämt sätt att ha tekniken redo utan att omdirigera trafik ännu.
Möjligheten att har också lagts till synkronisera värdfavoriter med behållarenDetta var något som många kunder begärde för att undvika två helt osammanhängande webbupplevelser. Sedan Edge 91 har policyn ApplicationGuardFavoritesSyncEnabled Det gör att nya markörer kan visas lika inom den isolerade miljön.
Inom nätverksområdet har Edge 91 integrerat stöd för Märk ut trafiken som lämnar containern tack vare direktivet ApplicationGuardTrafficIdentificationEnabledDetta gör det möjligt för företag att identifiera och filtrera den trafiken via en proxy, till exempel för att begränsa åtkomsten till en mycket liten uppsättning webbplatser när de surfar från MDAG.
Dubbel proxy, tillägg och andra avancerade scenarier
Vissa organisationer använder Application Guard i mer komplexa implementeringar där de behöver noggrant övervaka containertrafiken och webbläsarens funktioner inom den isolerade miljön.
För dessa fall har Edge stöd för dubbel proxy Från och med stabil version 84, konfigurerbar via direktivet ApplicationGuardContainerProxyTanken är att trafik som kommer från containern dirigeras via en specifik proxy, som skiljer sig från den som används av värden, vilket gör det enklare att tillämpa oberoende regler och strängare inspektion.
En annan återkommande förfrågan från kunder var möjligheten att använd tillägg i behållarenSedan Edge 81 har detta varit möjligt, så annonsblockerare, interna företagstillägg eller andra verktyg kan köras så länge de följer de definierade policyerna. Det är nödvändigt att deklarera updateURL av tillägget i nätverksisoleringsprinciperna så att det betraktas som en neutral resurs som är åtkomlig från Application Guard.
De accepterade scenarierna inkluderar tvingande installation av tillägg på värden Dessa tillägg visas sedan i behållaren, vilket gör det möjligt att ta bort specifika tillägg eller blockera andra som anses oönskade av säkerhetsskäl. Detta gäller dock inte tillägg som är beroende av inbyggda komponenter för meddelandehantering. De är inte kompatibla inom MDAG.
För att hjälpa till att diagnostisera konfigurations- eller beteendeproblem, en specifik diagnostisk sida en edge://application-guard-internalsDärifrån kan du bland annat kontrollera om en given URL anses vara trovärdig eller inte enligt de policyer som faktiskt tillämpas på användaren.
Slutligen, angående uppdateringar, kommer den nya Microsoft Edge att Den uppdaterar sig också själv i containernDen följer samma kanal och version som värdwebbläsaren. Den är inte längre beroende av operativsystemets uppdateringscykel, vilket var fallet med Legacy-versionen av Edge, vilket förenklar underhållet avsevärt.
Så här aktiverar du Microsoft Defender Application Guard i Windows
Om du vill köra det på en kompatibel enhet är det första steget att aktivera Windows-funktionen motsvarande. Processen är, på en grundläggande nivå, ganska enkel.
Det snabbaste sättet är att öppna dialogrutan Kör med Win + R, att skriva appwiz.cpl och tryck på Enter för att gå direkt till panelen "Program och funktioner". Därifrån, på vänster sida, hittar du länken till "Aktivera eller inaktivera Windows-funktioner".
I listan över tillgängliga komponenter måste du leta upp posten "Microsoft Defender Application Guard" och välj den. När du har accepterat kommer Windows att ladda ner eller aktivera de nödvändiga binärfilerna och uppmana dig att starta om datorn för att tillämpa ändringarna.
Efter omstart, på kompatibla enheter med rätt versioner av Edge, bör du kunna Öppna nya fönster eller isolerade flikar via webbläsaralternativ eller, i hanterade miljöer, automatiskt enligt konfigurationen av listan över otillförlitliga webbplatser.
Om du inte ser alternativ som "Nytt Application Guard-fönster" eller om behållaren inte öppnas är det möjligt att Instruktionerna du följer kan vara föråldrade.Det kan bero på att din version av Windows inte stöds, att du inte har Hyper-V aktiverat eller att din organisations policy har inaktiverat funktionen.
Konfigurera Application Guard med grupprincip
I affärsmiljöer konfigureras inte varje utrustningsdel manuellt; istället används ett fördefinierat system. grupppolicy (GPO) eller konfigurationsprofiler i Intune för att definiera policy centralt. Application Guard förlitar sig på två huvudsakliga konfigurationsblock: nätverksisolering och applikationsspecifika parametrar.
Inställningarna för nätverksisolering finns i Computer Configuration\Administrative Templates\Network\Network IsolationDet är här som till exempel följande definieras: interna nätverksintervall och domäner som betraktas som företagsdomänervilket kommer att markera gränsen mellan vad som är tillförlitligt och vad som bör kastas i papperskorgen.
En av de viktigaste politikområdena är att "Privata nätverksintervall för applikationer"Det här avsnittet anger, i en kommaseparerad lista, de IP-intervall som tillhör företagsnätverket. Slutpunkter i dessa intervall öppnas i normal Edge och kommer inte att vara åtkomliga från Application Guard-miljön.
En annan viktig politik är den som "Molnbaserade företagsresursdomäner"som använder en lista separerad med tecknet | För att indikera SaaS-domäner och molntjänster för organisationen som ska behandlas som interna. Dessa kommer också att renderas på Edge utanför containern.
Slutligen, direktivet från "Domäner klassificerade som personliga och arbetsrelaterade" Det låter dig deklarera domäner som kan användas för både personliga och affärsmässiga ändamål. Dessa webbplatser kommer att vara tillgängliga från både den vanliga Edge-miljön och Application Guard, beroende på vad som är lämpligt.
Använda jokertecken i nätverksisoleringsinställningar
För att undvika att behöva skriva varje underdomän en efter en stöder nätverksisoleringslistor jokertecken i domännamnDetta möjliggör bättre kontroll över vad som anses tillförlitligt.
Om det är enkelt definierat contoso.comWebbläsaren kommer bara att lita på det specifika värdet och inte andra domäner som innehåller det. Med andra ord kommer den bara att behandla det bokstavliga värdet som tillhörande ett företag. den exakta roten och inte www.contoso.com inte heller varianter.
Om angivet www.contoso.com, så bara den specifika värden kommer att anses vara betrodda. Andra underdomäner som shop.contoso.com De skulle bli lämnade utanför och kunde hamna i soptunnan.
Med formatet .contoso.com (en period före) indikerar att Alla domäner som slutar på "contoso.com" är betrodda.. Detta inkluderar från contoso.com upp www.contoso.com eller till och med kedjor som spearphishingcontoso.comSå den måste användas med försiktighet.
Slutligen, om den används ..contoso.com (initialt kolon), alla nivåer i hierarkin till vänster om domänen är betrodda, till exempel shop.contoso.com o us.shop.contoso.comMen Roten "contoso.com" är inte betrodd i sig själv. Det är ett bättre sätt att kontrollera vad som anses vara en företagsresurs.
Huvudapplikationsspecifika direktiv för Guard
Den andra stora uppsättningen inställningar finns i Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application GuardHärifrån styrs landet detaljerat containerbeteende och vad användaren kan eller inte kan göra inom den.
En av de mest relevanta politikområdena är den som "Inställningar för Urklipp"Detta styr om det är möjligt att kopiera och klistra in text eller bilder mellan värden och Application Guard. I hanterat läge kan du tillåta kopiering endast från behållaren och ut, endast i omvänd riktning, eller till och med inaktivera urklippet helt.
På samma sätt gäller direktivet från "Utskriftsinställningar" Den avgör om innehåll kan skrivas ut från behållaren, och i vilka format. Du kan aktivera utskrift till PDF, XPS, anslutna lokala skrivare eller fördefinierade nätverksskrivare, eller blockera alla utskriftsmöjligheter inom MDAG.
Alternativet "Erkänn uthållighet" Den här inställningen avgör om användardata (nedladdade filer, cookies, favoriter etc.) sparas mellan Application Guard-sessioner eller rensas varje gång miljön stängs av. Om detta aktiveras i hanterat läge kan containern spara denna information för framtida sessioner; om det inaktiveras resulterar det i en praktiskt taget ren miljö varje start.
Om du senare väljer att sluta tillåta persistens kan du använda verktyget wdagtool.exe med parametrarna cleanup o cleanup RESET_PERSISTENCE_LAYER att återställa behållaren och kassera informationen som genererats av medarbetaren.
En annan viktig policy är "Aktivera Application Guard i hanterat läge"Det här avsnittet anger om funktionen gäller för Microsoft Edge, Microsoft Office eller båda. Denna policy träder inte i kraft om enheten inte uppfyller kraven eller har nätverksisolering konfigurerad (förutom i vissa nyare versioner av Windows där den inte längre krävs för Edge om specifika KB-uppdateringar har installerats).
Fildelning, certifikat, kamera och granskning
Utöver de ovan nämnda policyerna finns det andra direktiv som påverkar hur containern relaterar till värdsystemet och med kringutrustningen.
Politik "Tillåt att filer laddas ner till värdoperativsystemet" Den avgör om användaren kan spara filer som laddats ner från den isolerade miljön till värden. När den är aktiverad skapas en delad resurs mellan båda miljöerna, vilket också tillåter vissa uppladdningar från värden till containern – mycket användbart, men något som bör utvärderas ur ett säkerhetsperspektiv.
Konfigurationen av "Aktivera hårdvaruaccelererad rendering" Aktiverar GPU-användning via vGPU för att förbättra grafikprestanda, särskilt vid uppspelning av video och tungt innehåll. Om ingen kompatibel hårdvara finns tillgänglig återgår Application Guard till CPU-rendering. Att aktivera det här alternativet på enheter med otillförlitliga drivrutiner kan dock öka risken för värden.
Det finns också ett direktiv för tillåt åtkomst till kamera och mikrofon i containern. Genom att aktivera den kan applikationer som körs under MDAG använda dessa enheter, vilket underlättar videosamtal eller konferenser från isolerade miljöer, även om det också öppnar dörren för att kringgå standardbehörigheter om containern komprometteras.
En annan policy tillåter Application Guard använd specifika certifieringsutfärdare för värdrotDetta överför de certifikat vars fingeravtryck har angetts till containern. Om detta är inaktiverat ärver inte containern dessa certifikat, vilket kan blockera anslutningar till vissa interna tjänster om de förlitar sig på privata auktoriteter.
Slutligen, möjligheten att "Tillåt granskningshändelser" Det gör att systemhändelser som genereras i containern loggas och enhetsgranskningspolicyer ärvs, så att säkerhetsteamet kan spåra vad som händer i Application Guard från värdloggarna.
Integration med support- och anpassningsramverk
När något går fel i Application Guard ser användaren en feldialogruta Som standard inkluderar detta endast en beskrivning av problemet och en knapp för att rapportera det till Microsoft via Feedback Hub. Denna upplevelse kan dock anpassas för att underlätta intern support.
På rutten Administrative Templates\Windows Components\Windows Security\Enterprise Customization Det finns en policy som administratören kan använda Lägg till kontaktinformation för supporttjänstenInterna länkar eller korta instruktioner. På så sätt vet en anställd omedelbart vem de ska kontakta eller vilka åtgärder de ska vidta när de ser felet.
Vanliga frågor och problem med Application Guard
Användningen av Application Guard genererar en hel del återkommande frågor i verkliga implementeringar, särskilt vad gäller prestanda, kompatibilitet och nätverksbeteende.
En av de första frågorna är om det kan aktiveras i enheter med endast 4 GB RAMÄven om det finns scenarier där det kan fungera, lider prestandan vanligtvis avsevärt i praktiken, eftersom containern praktiskt taget är ett annat operativsystem som körs parallellt.
En annan känslig punkt är integration med nätverksproxyer och PAC-skriptMeddelanden som ”Kan inte lösa externa URL:er från MDAG-webbläsaren: ERR_CONNECTION_REFUSED” eller ”ERR_NAME_NOT_RESOLVED” när åtkomst till PAC-filen misslyckas indikerar vanligtvis konfigurationsproblem mellan behållaren, proxyn och isoleringsreglerna.
Det finns också problem relaterade till IME:er (inmatningsmetodredigerare) stöds inte I vissa versioner av Windows förhindrar konflikter med diskkrypteringsdrivrutiner eller enhetskontrolllösningar att containern laddas.
Vissa administratörer stöter på fel som t.ex. "FEL_VIRTUELL_DISK_BEGRÄNSNING" Om det finns begränsningar relaterade till virtuella diskar, eller misslyckanden med att inaktivera tekniker som hyperthreading som indirekt påverkar Hyper-V och, i förlängningen, MDAG.
Frågor väcks också om hur lita bara på vissa underdomäner, angående storleksgränser för domänlistor eller hur man inaktiverar beteendet där värdfliken stängs automatiskt när man navigerar till en webbplats som öppnas i containern.
Application Guard, IE-läge, Chrome och Office
I miljöer där IE-läge i Microsoft EdgeApplication Guard stöds, men Microsoft förväntar sig inte en utbredd användning av funktionen i det här läget. Det rekommenderas att reservera IE-läget för [specifika applikationer/användningar]. betrodda interna webbplatser och använd endast MDAG för webbplatser som anses vara externa och opålitliga.
Det är viktigt att se till att alla webbplatser konfigurerade i IE-lägeNätverket, tillsammans med dess tillhörande IP-adresser, måste också inkluderas i nätverksisoleringspolicyerna som betrodda resurser. Annars kan oväntat beteende uppstå när båda funktionerna kombineras.
Angående Chrome frågar många användare om det är nödvändigt installera ett Application Guard-tilläggSvaret är nej: funktionaliteten är integrerad i Microsoft Edge, och det gamla Chrome-tillägget stöds inte när man arbetar med Edge.
För Office-dokument tillåter Application Guard Öppna Word-, Excel- och PowerPoint-filer i en isolerad behållare när filer anses vara otillförlitliga, vilket förhindrar att skadliga makron eller andra attackvektorer når värden. Detta skydd kan kombineras med andra Defender-funktioner och filförtroendepolicyer.
Det finns till och med ett gruppolicyalternativ som låter användare "lita på" vissa filer som öppnats i Application Guard, så att de behandlas som säkra och lämnar containern. Denna funktion bör hanteras noggrant för att undvika att förlora fördelen med isolering.
Nedladdningar, urklipp, favoriter och tillägg: användarupplevelse
Ur användarens synvinkel kretsar några av de mest praktiska frågorna kring vad som får och inte får göras inuti containernsärskilt med nedladdningar, kopiera/klistra in och tillägg.
I Windows 10 Enterprise 1803 och senare versioner (med nyanser beroende på utgåva) är det möjligt tillåta nedladdning av dokument från containern till värden Det här alternativet var inte tillgängligt i tidigare versioner eller i vissa versioner av utgåvor som Pro, även om det var möjligt att skriva ut till PDF eller XPS och spara resultatet på värdenheten.
Angående urklippet kan företagets policy tillåta det Bilder i BMP-format och text kopieras till och från den isolerade miljön. Om anställda klagar på att de inte kan kopiera innehåll behöver dessa policyer vanligtvis ses över.
Många användare frågar sig också varför De ser inte sina favoriter eller sina tillägg i Edge-sessionen under Application Guard. Detta beror vanligtvis på att bokmärkessynkronisering är inaktiverad eller att tilläggspolicyn i MDAG inte är aktiverad. När dessa alternativ har justerats kan webbläsaren i containern ärva bokmärken och vissa tillägg, alltid med de begränsningar som nämnts tidigare.
Det finns till och med fall där ett tillägg visas men "inte fungerar". Om det förlitar sig på inbyggda komponenter för meddelandehantering kommer den funktionen inte att vara tillgänglig i containern, och tillägget kommer att uppvisa begränsat eller helt inaktivt beteende.
Grafikprestanda, HDR och hårdvaruacceleration
Ett annat ämne som ofta dyker upp är videouppspelning och avancerade funktioner som HDR inom Application Guard. När containern körs på Hyper-V har den inte alltid direktåtkomst till GPU-funktioner.
För att HDR-uppspelning ska fungera korrekt i en isolerad miljö är det nödvändigt att vGPU-hårdvaruacceleration är aktiverad genom den accelererade renderingspolicyn. Annars kommer systemet att förlita sig på processorn, och vissa alternativ som HDR kommer inte att visas i spelaren eller webbplatsinställningarna.
Även med acceleration aktiverad, om grafikhårdvaran inte anses tillräckligt säker eller kompatibel, kan Application Guard återgå automatiskt till programvarurenderingvilket påverkar flytförmågan och batteriförbrukningen i bärbara datorer.
Vissa implementeringar har visat problem med TCP-fragmentering och konflikter med VPN-tjänster som aldrig verkar komma igång när trafik passerar genom containern. I dessa fall är det vanligtvis nödvändigt att granska nätverkspolicyer, MTU, proxykonfiguration och ibland justera hur MDAG integreras med andra redan installerade säkerhetskomponenter.
Support, diagnos och incidentrapportering
När det trots allt uppstår problem som inte kan lösas internt rekommenderar Microsoft öppna ett specifikt supportärende för Microsoft Defender Application Guard. Det är viktigt att samla in information i förväg från diagnostiksidan, relaterade händelseloggar och detaljer om den konfiguration som tillämpats på enheten.
Användningen av sidan edge://application-guard-internals, i kombination med aktiverade granskningshändelser och lanseringen av verktyg som t.ex. wdagtool.exeDet ger vanligtvis supportteamet tillräckligt med data för att lokalisera källan till problemet, oavsett om det är en dåligt definierad policy, en konflikt med en annan säkerhetsprodukt eller en hårdvarubegränsning.
Utöver allt detta kan användare anpassa felmeddelanden och kontaktinformation i dialogrutan för teknisk support i Windows Security, vilket gör det enklare för dem att hitta rätt lösning. Bli inte fast i att inte veta vem du ska vända dig till när behållaren inte startar eller inte öppnas som förväntat.
Sammantaget erbjuder Microsoft Defender Application Guard en kraftfull kombination av hårdvaruisolering, detaljerad policykontroll och diagnostiska verktyg som, när de används korrekt, avsevärt kan minska risken i samband med att surfa på otillförlitliga webbplatser eller öppna dokument från tvivelaktiga källor utan att kompromissa med den dagliga produktiviteten.
Passionerad författare om bytesvärlden och tekniken i allmänhet. Jag älskar att dela med mig av min kunskap genom att skriva, och det är vad jag kommer att göra i den här bloggen, visa dig alla de mest intressanta sakerna om prylar, mjukvara, hårdvara, tekniska trender och mer. Mitt mål är att hjälpa dig att navigera i den digitala världen på ett enkelt och underhållande sätt.