วิธีใช้งาน Microsoft Defender Application Guard ทีละขั้นตอน

หากคุณทำงานกับข้อมูลที่ละเอียดอ่อนหรือเข้าชมเว็บไซต์ที่น่าสงสัยเป็นประจำ Microsoft Defender Application Guard (MDAG) นี่เป็นหนึ่งในคุณสมบัติของ Windows ที่สามารถสร้างความแตกต่างระหว่างความหวาดกลัวกับหายนะได้ มันไม่ใช่แค่โปรแกรมป้องกันไวรัสทั่วไป แต่เป็นชั้นป้องกันพิเศษที่แยกภัยคุกคามออกจากระบบและข้อมูลของคุณ

ในบรรทัดต่อไปนี้ คุณจะเห็นได้อย่างชัดเจน Application Guard คืออะไรกันแน่ ทำงานภายในอย่างไร สามารถใช้งานได้บนอุปกรณ์ใดบ้าง และจะตั้งค่าได้อย่างไร? เราจะครอบคลุมทั้งการติดตั้งใช้งานแบบง่ายและแบบองค์กร นอกจากนี้เราจะทบทวนข้อกำหนด นโยบายกลุ่ม ข้อผิดพลาดทั่วไป และคำถามที่พบบ่อยต่างๆ ที่เกิดขึ้นเมื่อเริ่มต้นใช้งานเทคโนโลยีนี้

Microsoft Defender Application Guard คืออะไร และทำงานอย่างไร?

Microsoft Defender Application Guard เป็นคุณสมบัติความปลอดภัยขั้นสูงที่ออกแบบมาเพื่อ แยกเว็บไซต์และเอกสารที่ไม่น่าเชื่อถือไว้ในคอนเทนเนอร์เสมือน อิงตาม Hyper-V แทนที่จะพยายามบล็อกการโจมตีแต่ละครั้งทีละครั้ง มันจะสร้าง "คอมพิวเตอร์แบบใช้แล้วทิ้ง" ขนาดเล็กขึ้นมาเพื่อเก็บข้อมูลที่น่าสงสัยไว้

คอนเทนเนอร์นั้นทำงานอยู่ใน แยกต่างหากจากระบบปฏิบัติการหลักด้วยระบบปฏิบัติการ Windows ที่ได้รับการรักษาความปลอดภัยอย่างเข้มงวด และไม่มีการเข้าถึงไฟล์ ข้อมูลประจำตัว หรือทรัพยากรภายในของบริษัทโดยตรง แม้ว่าเว็บไซต์ที่เป็นอันตรายจะสามารถใช้ประโยชน์จากช่องโหว่ของเบราว์เซอร์หรือ Office ได้ ความเสียหายก็จะยังคงอยู่ภายในสภาพแวดล้อมที่แยกออกมานั้น

ในกรณีของ Microsoft Edge นั้น Application Guard จะช่วยให้มั่นใจได้ว่า โดเมนใดๆ ที่ไม่ได้ถูกทำเครื่องหมายว่าเป็นโดเมนที่เชื่อถือได้ มันจะเปิดขึ้นโดยอัตโนมัติภายในคอนเทนเนอร์นั้น สำหรับโปรแกรม Office มันก็จะทำเช่นเดียวกันกับเอกสาร Word, Excel และ PowerPoint ที่มาจากแหล่งที่มาซึ่งองค์กรไม่ถือว่าปลอดภัย

ประเด็นสำคัญคือ การแยกส่วนนี้เป็นแบบฮาร์ดแวร์: Hyper-V สร้างสภาพแวดล้อมที่เป็นอิสระ จากฝั่งโฮสต์ ซึ่งช่วยลดโอกาสที่ผู้โจมตีจะกระโดดจากเซสชันที่แยกออกมาไปยังระบบจริง ขโมยข้อมูลของบริษัท หรือใช้ประโยชน์จากข้อมูลประจำตัวที่จัดเก็บไว้ได้อย่างมาก

นอกจากนี้ คอนเทนเนอร์ยังถูกมองว่าเป็นสภาพแวดล้อมที่ไม่ระบุตัวตน: มันไม่ได้สืบทอดคุกกี้ รหัสผ่าน หรือเซสชันของผู้ใช้สิ่งนี้ทำให้การโจมตีโดยใช้เทคนิคการปลอมแปลงหรือการขโมยเซสชันเป็นเรื่องยากขึ้นมาก

ประเภทอุปกรณ์ที่แนะนำให้ใช้ Application Guard

แม้ว่า Application Guard จะสามารถทำงานได้ในหลายสถานการณ์ แต่ก็ได้รับการออกแบบมาเป็นพิเศษสำหรับ สภาพแวดล้อมขององค์กรและอุปกรณ์ที่ได้รับการจัดการไมโครซอฟต์จำแนกอุปกรณ์หลายประเภทที่การใช้งาน MDAG เหมาะสมที่สุด

ก่อนอื่นมี เดสก์ท็อปองค์กรที่เข้าร่วมโดเมนโดยทั่วไปแล้ว คอมพิวเตอร์เหล่านี้จะได้รับการจัดการด้วย Configuration Manager หรือ Intune เป็นคอมพิวเตอร์สำนักงานทั่วไป มีผู้ใช้งานตามปกติ และเชื่อมต่อกับเครือข่ายองค์กรแบบใช้สาย ซึ่งความเสี่ยงส่วนใหญ่มาจากการท่องอินเทอร์เน็ตในชีวิตประจำวัน

จากนั้นเราก็มี แล็ปท็อปสำหรับองค์กรอุปกรณ์เหล่านี้ก็เข้าร่วมโดเมนและได้รับการจัดการจากส่วนกลางเช่นกัน แต่เชื่อมต่อกับเครือข่าย Wi-Fi ภายในหรือภายนอก ซึ่งในกรณีนี้ ความเสี่ยงจะเพิ่มขึ้น เนื่องจากอุปกรณ์ออกจากเครือข่ายที่ควบคุมและสัมผัสกับ Wi-Fi ในโรงแรม สนามบิน หรือเครือข่ายภายในบ้าน

อีกกลุ่มหนึ่งคือแล็ปท็อป BYOD (Bring Your Own Device) อุปกรณ์ส่วนบุคคลที่ไม่ใช่ของบริษัท แต่ได้รับการจัดการโดยบริษัท ผ่านโซลูชันต่างๆ เช่น Intune โดยปกติแล้วผู้ใช้ที่ได้รับสิทธิ์ผู้ดูแลระบบในเครื่องจะเป็นผู้เข้าถึงโซลูชันเหล่านี้ ซึ่งจะเพิ่มความเสี่ยงต่อการโจมตีและทำให้การใช้การแยกสิทธิ์การเข้าถึงทรัพยากรขององค์กรเป็นสิ่งที่น่าสนใจยิ่งขึ้น

ในที่สุดก็มีไฟล์ อุปกรณ์ส่วนบุคคลที่ไม่ได้รับการจัดการอย่างสมบูรณ์เว็บไซต์เหล่านี้เป็นเว็บไซต์ที่ไม่ขึ้นกับโดเมนใดๆ และผู้ใช้มีอำนาจควบคุมอย่างสมบูรณ์ ในกรณีเหล่านี้ สามารถใช้ Application Guard ในโหมดสแตนด์อโลน (โดยเฉพาะสำหรับ Edge) เพื่อเพิ่มระดับการป้องกันอีกชั้นหนึ่งเมื่อเข้าชมเว็บไซต์ที่อาจเป็นอันตราย

ระบบปฏิบัติการ Windows ที่ต้องการและข้อกำหนดด้านลิขสิทธิ์

ก่อนที่คุณจะเริ่มตั้งค่าอะไรก็ตาม สิ่งสำคัญคือต้องทำความเข้าใจเรื่องนี้ให้ชัดเจน Microsoft Defender Application Guard สามารถใช้งานใน Windows เวอร์ชันใดได้บ้าง และด้วยสิทธิ์การใช้งานแบบใด

สำหรับ โหมดสแตนด์อโลนของ Edge (กล่าวคือ การใช้ Application Guard เป็นเพียงแซนด์บ็อกซ์ของเบราว์เซอร์โดยไม่มีการจัดการระดับองค์กรขั้นสูง) รองรับบน Windows:

• วินโดวส์โปร
• Windows Enterprise
• Windows Pro Education / SE
• Windows Education

ในสถานการณ์นี้ สิทธิ์การใช้งาน MDAG จะได้รับหากคุณมีใบอนุญาตต่างๆ เช่น Windows Pro / Pro Education / SE, Windows Enterprise E3 หรือ E5 และ Windows Education A3 หรือ A5ในทางปฏิบัติ บนพีซีระดับมืออาชีพหลายเครื่องที่ใช้ Windows Pro คุณสามารถเปิดใช้งานคุณสมบัตินี้สำหรับการใช้งานขั้นพื้นฐานได้แล้ว

สำหรับ โหมดองค์กรแบบ Edge และการบริหารจัดการองค์กร (ในกรณีที่มีคำสั่งล่วงหน้าและสถานการณ์ที่ซับซ้อนกว่านั้น) การสนับสนุนจะลดลง:

• Windows Enterprise y Windows Education Application Guard รองรับโหมดนี้
• Windows Pro และ Windows Pro Education/SE ไม่ พวกเขาให้การสนับสนุนสำหรับเวอร์ชันสำหรับองค์กรนี้

ในส่วนของใบอนุญาต การใช้งานระดับองค์กรขั้นสูงนี้จำเป็นต้องมีข้อกำหนดบางประการ Windows Enterprise E3/E5 หรือ Windows Education A3/A5หากองค์กรของคุณใช้เฉพาะเวอร์ชัน Pro โดยไม่มีการสมัครใช้งานแบบ Enterprise คุณจะถูกจำกัดให้ใช้งานได้เฉพาะโหมดสแตนด์อโลนของ Edge เท่านั้น

ข้อกำหนดเบื้องต้นและความเข้ากันได้ของระบบ

นอกเหนือจากเวอร์ชัน Windows แล้ว เพื่อให้ Application Guard ทำงานได้อย่างเสถียร คุณต้องมีคุณสมบัติตรงตามข้อกำหนดต่อไปนี้ด้วย ข้อกำหนดทางเทคนิคหลายประการ เกี่ยวข้องกับเวอร์ชัน ฮาร์ดแวร์ และการรองรับเวอร์ชวลไลเซชัน

ในส่วนของระบบปฏิบัติการนั้น จำเป็นต้องใช้ Windows 10 1809 หรือใหม่กว่า (อัปเดตตุลาคม 2018) หรือเวอร์ชันที่เทียบเท่าของ Windows 11 ไม่ได้มีไว้สำหรับเซิร์ฟเวอร์หรือรุ่นที่ลดขนาดลงอย่างมาก แต่มีเป้าหมายชัดเจนสำหรับคอมพิวเตอร์ไคลเอ็นต์

ในระดับฮาร์ดแวร์ อุปกรณ์จะต้องมี เปิดใช้งานเวอร์ชวลไลเซชันแบบฮาร์ดแวร์ (การรองรับ Intel VT-x/AMD-V และการแปลงที่อยู่ระดับที่สอง เช่น SLAT) เนื่องจาก Hyper-V เป็นส่วนประกอบสำคัญในการสร้างคอนเทนเนอร์ที่แยกต่างหาก หากไม่มีเลเยอร์นี้ MDAG จะไม่สามารถตั้งค่าสภาพแวดล้อมที่ปลอดภัยได้

นอกจากนี้ยังจำเป็นอย่างยิ่งที่จะต้องมี กลไกการบริหารที่เข้ากันได้ หากคุณจะใช้งานแบบรวมศูนย์ (เช่น Microsoft Intune หรือ Configuration Manager) ให้ปฏิบัติตามรายละเอียดในข้อกำหนดซอฟต์แวร์ระดับองค์กร สำหรับการติดตั้งแบบง่ายๆ อินเทอร์เฟซความปลอดภัยของ Windows เองก็เพียงพอแล้ว

สุดท้ายนี้ โปรดทราบว่า Application Guard กำลังอยู่ในขั้นตอนการเลิกใช้งาน สำหรับ Microsoft Edge สำหรับธุรกิจ และ API บางส่วนที่เกี่ยวข้องกับแอปพลิเคชันแบบสแตนด์อโลนจะไม่ได้รับการอัปเดตอีกต่อไป ถึงกระนั้นก็ยังคงแพร่หลายมากในสภาพแวดล้อมที่ต้องการการควบคุมความเสี่ยงในระยะสั้นและระยะกลาง

กรณีศึกษา: ความปลอดภัยกับประสิทธิภาพการทำงาน

หนึ่งในปัญหาคลาสสิกของความปลอดภัยทางไซเบอร์คือการหาจุดสมดุลที่เหมาะสมระหว่าง เพื่อปกป้องอย่างแท้จริง ไม่ใช่เพื่อปิดกั้นผู้ใช้หากคุณอนุญาตเฉพาะเว็บไซต์ที่ "ได้รับอนุญาต" เพียงไม่กี่แห่ง คุณจะลดความเสี่ยงลงได้ แต่จะทำให้ประสิทธิภาพการทำงานลดลง หากคุณผ่อนปรนข้อจำกัด ระดับความเสี่ยงก็จะพุ่งสูงขึ้นอย่างรวดเร็ว

เบราว์เซอร์เป็นหนึ่งในนั้น พื้นผิวโจมตีหลัก งานนี้มีความสำคัญ เพราะจุดประสงค์ของมันคือการเปิดเผยเนื้อหาที่ไม่น่าเชื่อถือจากแหล่งต่างๆ มากมาย เช่น เว็บไซต์ที่ไม่รู้จัก การดาวน์โหลด สคริปต์จากบุคคลที่สาม โฆษณาที่รุกล้ำ ฯลฯ ไม่ว่าคุณจะปรับปรุงกลไกให้ดียิ่งขึ้นแค่ไหน ก็จะมีช่องโหว่ใหม่ๆ ที่ใครบางคนจะพยายามใช้ประโยชน์อยู่เสมอ

ในโมเดลนี้ ผู้ดูแลระบบจะกำหนดอย่างแม่นยำว่าโดเมน ช่วง IP และทรัพยากรคลาวด์ใดบ้างที่ตนเองพิจารณาว่าน่าเชื่อถือ สิ่งใดก็ตามที่ไม่อยู่ในรายการนั้นจะถูกส่งไปยังคอนเทนเนอร์โดยอัตโนมัติที่นั่น ผู้ใช้สามารถท่องเว็บได้โดยไม่ต้องกังวลว่าความผิดพลาดของเบราว์เซอร์จะส่งผลกระทบต่อระบบภายในส่วนอื่นๆ

ผลลัพธ์ที่ได้คือระบบนำทางที่ค่อนข้างยืดหยุ่นสำหรับพนักงาน แต่มีข้อเสียอยู่บ้าง ชายแดนที่มีการรักษาความปลอดภัยอย่างเข้มงวด ระหว่างโลกภายนอกที่ไม่น่าเชื่อถือกับสภาพแวดล้อมภายในองค์กรที่ต้องได้รับการปกป้องอย่างถึงที่สุด

คุณสมบัติและการอัปเดตล่าสุดของ Application Guard ใน Microsoft Edge

ตลอดเวอร์ชันต่างๆ ของ Microsoft Edge ที่ใช้ Chromium เป็นพื้นฐาน Microsoft ได้เพิ่มฟีเจอร์ต่างๆ เข้าไปเรื่อยๆ การปรับปรุงเฉพาะสำหรับ Application Guard โดยมีเป้าหมายเพื่อปรับปรุงประสบการณ์การใช้งานของผู้ใช้และเพิ่มอำนาจการควบคุมให้กับผู้ดูแลระบบ

หนึ่งในคุณสมบัติใหม่ที่สำคัญคือ การบล็อกการอัปโหลดไฟล์จากคอนเทนเนอร์ตั้งแต่ Edge 96 เป็นต้นมา องค์กรต่างๆ สามารถป้องกันไม่ให้ผู้ใช้ทำการอัปโหลดเอกสารจากอุปกรณ์ของตนเองไปยังแบบฟอร์มหรือบริการเว็บภายในเซสชันที่แยกต่างหากได้ โดยใช้ นโยบายดังกล่าว ApplicationGuardUploadBlockingEnabledวิธีนี้ช่วยลดความเสี่ยงของการรั่วไหลของข้อมูล

การปรับปรุงที่มีประโยชน์อีกอย่างหนึ่งคือ โหมดพาสซีฟมีให้ใช้งานตั้งแต่ Edge 94 เมื่อเปิดใช้งานตามนโยบาย ApplicationGuardPassiveModeEnabledApplication Guard จะหยุดการบังคับให้แสดงรายการเว็บไซต์และอนุญาตให้ผู้ใช้เรียกดู Edge ได้ "ตามปกติ" แม้ว่าฟีเจอร์ดังกล่าวจะยังคงติดตั้งอยู่ก็ตาม นี่เป็นวิธีที่สะดวกในการเตรียมเทคโนโลยีให้พร้อมใช้งานโดยไม่ต้องเปลี่ยนเส้นทางการรับส่งข้อมูลในขณะนี้

ความเป็นไปได้ก็ถูกเพิ่มเข้ามาด้วย ซิงโครไนซ์รายการโปรดของโฮสต์กับคอนเทนเนอร์นี่เป็นสิ่งที่ลูกค้าหลายรายร้องขอเพื่อหลีกเลี่ยงประสบการณ์การท่องเว็บที่ไม่เชื่อมต่อกันอย่างสิ้นเชิงสองแบบ ตั้งแต่ Edge 91 เป็นต้นมา นโยบายนี้จึงถูกนำมาใช้ ApplicationGuardFavoritesSyncEnabled สิ่งนี้ช่วยให้เครื่องหมายใหม่ปรากฏขึ้นอย่างเท่าเทียมกันภายในสภาพแวดล้อมที่แยกออกมา

ในด้านการเชื่อมต่อเครือข่าย Edge 91 ได้รวมการสนับสนุนสำหรับ ติดป้ายกำกับปริมาณการจราจรที่ออกจากคอนเทนเนอร์ ขอบคุณคำสั่งดังกล่าว ApplicationGuardTrafficIdentificationEnabledวิธีนี้ช่วยให้บริษัทต่างๆ สามารถระบุและกรองปริมาณการรับส่งข้อมูลผ่านพร็อกซีได้ เช่น เพื่อจำกัดการเข้าถึงเว็บไซต์จำนวนน้อยมากเมื่อเรียกดูจาก MDAG

พร็อกซีคู่, ส่วนขยาย และสถานการณ์ขั้นสูงอื่นๆ

บางองค์กรใช้ Application Guard ในการติดตั้งใช้งานที่ซับซ้อนกว่า ซึ่งจำเป็นต้องใช้ระบบที่มีความซับซ้อนกว่า ติดตามการขนส่งตู้คอนเทนเนอร์อย่างใกล้ชิด และขีดความสามารถของเบราว์เซอร์ภายในสภาพแวดล้อมที่แยกออกมานั้น

สำหรับกรณีเหล่านี้ Edge มีการรองรับ พร็อกซีคู่ ตั้งแต่เวอร์ชันเสถียร 84 เป็นต้นไป สามารถกำหนดค่าได้ผ่านคำสั่ง ApplicationGuardContainerProxyแนวคิดคือ การรับส่งข้อมูลที่มาจากคอนเทนเนอร์จะถูกส่งผ่านพร็อกซีเฉพาะ ซึ่งแตกต่างจากพร็อกซีที่ใช้โดยโฮสต์ ทำให้ง่ายต่อการใช้กฎที่เป็นอิสระและการตรวจสอบที่เข้มงวดมากขึ้น

อีกหนึ่งคำขอที่ลูกค้าร้องขอซ้ำๆ คือความเป็นไปได้ในการ ใช้ส่วนขยายภายในคอนเทนเนอร์ตั้งแต่ Edge เวอร์ชัน 81 เป็นต้นมา สามารถทำได้แล้ว ดังนั้นโปรแกรมบล็อกโฆษณา ส่วนขยายภายในองค์กร หรือเครื่องมืออื่นๆ สามารถทำงานได้ตราบใดที่ปฏิบัติตามนโยบายที่กำหนดไว้ จำเป็นต้องประกาศนโยบายเหล่านั้น updateURL ของส่วนขยายในนโยบายการแยกเครือข่าย เพื่อให้ถือว่าเป็นทรัพยากรที่เป็นกลางซึ่งสามารถเข้าถึงได้จาก Application Guard

สถานการณ์ที่ยอมรับได้ ได้แก่ การติดตั้งส่วนขยายแบบบังคับบนโฮสต์ ส่วนขยายเหล่านี้จะปรากฏในคอนเทนเนอร์ ทำให้สามารถลบส่วนขยายเฉพาะ หรือบล็อกส่วนขยายอื่นๆ ที่ถือว่าไม่พึงประสงค์ด้วยเหตุผลด้านความปลอดภัยได้ อย่างไรก็ตาม วิธีการนี้ใช้ไม่ได้กับส่วนขยายที่อาศัยส่วนประกอบการจัดการข้อความดั้งเดิม พวกเขาเข้ากันไม่ได้ ภายใน MDAG

เพื่อช่วยวินิจฉัยปัญหาเกี่ยวกับการกำหนดค่าหรือพฤติกรรม หน้าการวินิจฉัยเฉพาะ en edge://application-guard-internalsจากตรงนั้น คุณสามารถตรวจสอบได้ว่า URL ที่กำหนดนั้นถือว่าน่าเชื่อถือหรือไม่ ตามนโยบายที่ใช้กับผู้ใช้จริง

สุดท้ายนี้ ในส่วนของการอัปเดต Microsoft Edge เวอร์ชันใหม่จะ... นอกจากนี้ ระบบยังอัปเดตตัวเองภายในคอนเทนเนอร์ด้วยมันใช้ช่องทางและเวอร์ชันเดียวกับเบราว์เซอร์หลัก ไม่ขึ้นอยู่กับรอบการอัปเดตของระบบปฏิบัติการอีกต่อไป เหมือนกับ Edge เวอร์ชันเก่า ซึ่งทำให้การบำรุงรักษาทำได้ง่ายขึ้นมาก

วิธีเปิดใช้งาน Microsoft Defender Application Guard ใน Windows

หากคุณต้องการใช้งานบนอุปกรณ์ที่รองรับ ขั้นตอนแรกคือ เปิดใช้งานคุณสมบัติของ Windows สอดคล้องกัน กระบวนการในระดับพื้นฐานนั้นค่อนข้างตรงไปตรงมา

วิธีที่เร็วที่สุดคือการเปิดกล่องโต้ตอบ Run ด้วย Win + R, เขียน appwiz.cpl จากนั้นกด Enter เพื่อไปยังแผง "โปรแกรมและคุณสมบัติ" โดยตรง จากตรงนั้น ทางด้านซ้าย คุณจะพบลิงก์ "เปิดหรือปิดคุณสมบัติของ Windows"

ในรายการส่วนประกอบที่มีอยู่ คุณจะต้องค้นหารายการนั้น “Microsoft Defender Application Guard” แล้วเลือกตัวเลือกนั้น เมื่อยอมรับแล้ว Windows จะดาวน์โหลดหรือเปิดใช้งานไฟล์ไบนารีที่จำเป็น และแจ้งให้คุณรีสตาร์ทคอมพิวเตอร์เพื่อใช้การเปลี่ยนแปลง

หลังจากรีสตาร์ทแล้ว บนอุปกรณ์ที่รองรับและใช้ Edge เวอร์ชันที่ถูกต้อง คุณควรจะสามารถใช้งานได้ เปิดหน้าต่างใหม่หรือแท็บแยกต่างหาก ผ่านตัวเลือกในเบราว์เซอร์ หรือในสภาพแวดล้อมที่มีการจัดการ จะดำเนินการโดยอัตโนมัติตามการกำหนดค่าของรายการเว็บไซต์ที่ไม่น่าเชื่อถือ

หากคุณไม่เห็นตัวเลือกเช่น "หน้าต่าง Application Guard ใหม่" หรือคอนเทนเนอร์ไม่เปิดขึ้น อาจเป็นไปได้ว่า... คำแนะนำที่คุณกำลังปฏิบัติตามอาจล้าสมัยแล้วสาเหตุอาจเป็นเพราะ Windows เวอร์ชันที่คุณใช้ไม่ได้รับการสนับสนุน คุณไม่ได้เปิดใช้งาน Hyper-V หรือนโยบายขององค์กรของคุณได้ปิดใช้งานคุณสมบัตินี้ไว้

การกำหนดค่า Application Guard ด้วย Group Policy

ในสภาพแวดล้อมทางธุรกิจ อุปกรณ์แต่ละชิ้นจะไม่ถูกตั้งค่าด้วยตนเอง แต่จะใช้ระบบที่กำหนดไว้ล่วงหน้าแทน นโยบายกลุ่ม (GPO) หรือโปรไฟล์การกำหนดค่าใน Intune เพื่อกำหนดนโยบายจากส่วนกลาง Application Guard อาศัยส่วนประกอบการกำหนดค่าหลักสองส่วน ได้แก่ การแยกเครือข่ายและพารามิเตอร์เฉพาะแอปพลิเคชัน

การตั้งค่าการแยกเครือข่ายจะอยู่ที่... Computer Configuration\Administrative Templates\Network\Network Isolationตัวอย่างเช่น สิ่งต่อไปนี้จะถูกกำหนดไว้ที่นี่: ขอบเขตและโดเมนของเครือข่ายภายในถือเป็นโดเมนของบริษัทซึ่งจะเป็นตัวกำหนดขอบเขตระหว่างสิ่งที่เชื่อถือได้และสิ่งที่ควรทิ้งลงถังขยะ

หนึ่งในนโยบายสำคัญคือนโยบายดังต่อไปนี้ “ช่วงเวลาเครือข่ายส่วนตัวสำหรับแอปพลิเคชัน”ส่วนนี้ระบุช่วง IP ที่อยู่ในเครือข่ายขององค์กร โดยคั่นด้วยเครื่องหมายจุลภาค อุปกรณ์ปลายทางในช่วง IP เหล่านี้จะเปิดใช้งานได้ใน Edge ตามปกติ และจะไม่สามารถเข้าถึงได้จากสภาพแวดล้อม Application Guard

นโยบายสำคัญอีกประการหนึ่งคือนโยบายของ “โดเมนทรัพยากรองค์กรที่โฮสต์บนคลาวด์”ซึ่งใช้รายการที่คั่นด้วยอักขระ | เพื่อระบุโดเมน SaaS และบริการคลาวด์ขององค์กรที่ควรได้รับการจัดการภายใน โดเมนและบริการเหล่านี้จะแสดงผลที่ Edge ภายนอกคอนเทนเนอร์ด้วย

สุดท้ายนี้ คำสั่งของ “โดเมนถูกจัดประเภทเป็นส่วนตัวและงาน” ฟังก์ชันนี้ช่วยให้คุณสามารถกำหนดโดเมนที่สามารถใช้ได้ทั้งเพื่อวัตถุประสงค์ส่วนตัวและธุรกิจ เว็บไซต์เหล่านี้จะสามารถเข้าถึงได้จากทั้งสภาพแวดล้อม Edge ปกติและ Application Guard ตามความเหมาะสม

การใช้สัญลักษณ์ตัวแทน (wildcards) ในการตั้งค่าการแยกเครือข่าย

เพื่อหลีกเลี่ยงการเขียนซับโดเมนแต่ละรายการทีละรายการ รายการแยกเครือข่ายจึงรองรับการทำงานดังกล่าว อักขระตัวแทนในชื่อโดเมนวิธีนี้ช่วยให้ควบคุมสิ่งที่ถือว่าเชื่อถือได้ดียิ่งขึ้น

หากนิยามอย่างง่ายๆ contoso.comเบราว์เซอร์จะเชื่อถือเฉพาะค่าที่ระบุไว้เท่านั้น และจะไม่เชื่อถือโดเมนอื่นที่มีค่าเดียวกันนั้น กล่าวอีกนัยหนึ่งคือ เบราว์เซอร์จะถือว่าเฉพาะค่าที่ระบุไว้อย่างชัดเจนนั้นเป็นของธุรกิจนั้นๆ รากที่แท้จริง และไม่ www.contoso.com หรือรูปแบบต่างๆ

หากระบุไว้ www.contoso.comดังนั้น เฉพาะโฮสต์นั้นเท่านั้น จะถือว่าน่าเชื่อถือ โดเมนย่อยอื่นๆ เช่น shop.contoso.com พวกมันจะถูกทิ้งไว้ข้างนอกและอาจลงเอยด้วยการถูกทิ้งในถังขยะ

ด้วยรูปแบบ .contoso.com (จุดนำหน้า) แสดงว่า โดเมนใดๆ ที่ลงท้ายด้วย “contoso.com” ถือว่าน่าเชื่อถือ- ซึ่งรวมถึงจาก contoso.com ขึ้น www.contoso.com หรือแม้แต่โซ่ตรวนเช่น spearphishingcontoso.comดังนั้นจึงต้องใช้ด้วยความระมัดระวัง

สุดท้าย หากมีการใช้งาน ..contoso.com (เครื่องหมายโคลอนตัวแรก) ทุกระดับของลำดับชั้นที่อยู่ทางด้านซ้ายของโดเมนนั้นถือว่าเชื่อถือได้ ตัวอย่างเช่น shop.contoso.com o us.shop.contoso.comแต่ โดเมน “contoso.com” ไม่ได้รับความไว้วางใจ ในตัวมันเองแล้ว นี่เป็นวิธีที่ละเอียดอ่อนกว่าในการควบคุมสิ่งที่ถือว่าเป็นทรัพยากรขององค์กร

คำสั่งเฉพาะของหน่วยรักษาความปลอดภัยแอปพลิเคชันหลัก

ชุดการตั้งค่าหลักชุดที่สองตั้งอยู่ใน Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application Guardประเทศนี้ถูกปกครองจากที่นี่ พฤติกรรมคอนเทนเนอร์โดยละเอียด และสิ่งที่ผู้ใช้สามารถหรือไม่สามารถทำได้ภายในนั้น

หนึ่งในนโยบายที่เกี่ยวข้องมากที่สุดคือนโยบายของ “การตั้งค่าคลิปบอร์ด”การตั้งค่านี้จะควบคุมว่าการคัดลอกและวางข้อความหรือรูปภาพระหว่างโฮสต์และ Application Guard สามารถทำได้หรือไม่ ในโหมดจัดการ คุณสามารถอนุญาตให้คัดลอกได้เฉพาะจากคอนเทนเนอร์ออกไป เฉพาะในทิศทางตรงกันข้าม หรือแม้แต่ปิดใช้งานคลิปบอร์ดโดยสมบูรณ์

ในทำนองเดียวกัน คำสั่งของ “การตั้งค่าการพิมพ์” ฟังก์ชันนี้จะตัดสินว่าเนื้อหาจากคอนเทนเนอร์นั้นสามารถพิมพ์ได้หรือไม่ และในรูปแบบใด คุณสามารถเปิดใช้งานการพิมพ์เป็น PDF, XPS, เครื่องพิมพ์ในพื้นที่ที่เชื่อมต่อ หรือเครื่องพิมพ์เครือข่ายที่กำหนดไว้ล่วงหน้า หรือบล็อกความสามารถในการพิมพ์ทั้งหมดภายใน MDAG ได้

ตัวเลือก “ชื่นชมความพยายามอย่างต่อเนื่อง” การตั้งค่านี้จะกำหนดว่าข้อมูลผู้ใช้ (ไฟล์ที่ดาวน์โหลด คุกกี้ รายการโปรด ฯลฯ) จะถูกเก็บรักษาไว้ระหว่างเซสชันของ Application Guard หรือจะถูกล้างออกทุกครั้งที่ปิดระบบ การเปิดใช้งานในโหมดจัดการจะทำให้คอนเทนเนอร์เก็บรักษาข้อมูลนี้ไว้สำหรับเซสชันในอนาคต การปิดใช้งานจะส่งผลให้สภาพแวดล้อมสะอาดหมดจดทุกครั้งที่เริ่มต้น

หากคุณตัดสินใจที่จะหยุดการอนุญาตการบันทึกข้อมูลถาวรในภายหลัง คุณสามารถใช้เครื่องมือนี้ได้ wdagtool.exe ด้วยพารามิเตอร์ cleanup o cleanup RESET_PERSISTENCE_LAYER เพื่อรีเซ็ตคอนเทนเนอร์และลบข้อมูลที่พนักงานสร้างขึ้น

นโยบายสำคัญอีกประการหนึ่งคือ “เปิดใช้งาน Application Guard ในโหมดจัดการ”ส่วนนี้ระบุว่าคุณสมบัตินี้ใช้ได้กับ Microsoft Edge, Microsoft Office หรือทั้งสองอย่าง นโยบายนี้จะไม่มีผลบังคับใช้หากอุปกรณ์ไม่ตรงตามข้อกำหนดเบื้องต้นหรือมีการกำหนดค่าการแยกเครือข่าย (ยกเว้นใน Windows เวอร์ชันล่าสุดบางเวอร์ชันที่ไม่จำเป็นอีกต่อไปสำหรับ Edge หากมีการติดตั้งการอัปเดต KB เฉพาะแล้ว)

การแชร์ไฟล์ ใบรับรอง กล้อง และการตรวจสอบ

นอกเหนือจากนโยบายที่กล่าวมาข้างต้นแล้ว ยังมีคำสั่งอื่นๆ ที่ส่งผลกระทบอีกด้วย คอนเทนเนอร์มีความสัมพันธ์กับระบบโฮสต์อย่างไร และด้วยอุปกรณ์ต่อพ่วงต่างๆ

การเมือง “อนุญาตให้ดาวน์โหลดไฟล์ไปยังระบบปฏิบัติการโฮสต์” ฟังก์ชันนี้จะตัดสินว่าผู้ใช้สามารถบันทึกไฟล์ที่ดาวน์โหลดจากสภาพแวดล้อมที่แยกต่างหากไปยังโฮสต์ได้หรือไม่ เมื่อเปิดใช้งาน ฟังก์ชันนี้จะสร้างทรัพยากรที่ใช้ร่วมกันระหว่างทั้งสองสภาพแวดล้อม ซึ่งจะช่วยให้สามารถอัปโหลดบางอย่างจากโฮสต์ไปยังคอนเทนเนอร์ได้ด้วย—ซึ่งมีประโยชน์มาก แต่ควรได้รับการประเมินจากมุมมองด้านความปลอดภัยด้วย

การกำหนดค่าของ “เปิดใช้งานการเรนเดอร์แบบเร่งความเร็วด้วยฮาร์ดแวร์” เปิดใช้งานการใช้ GPU ผ่าน vGPU เพื่อปรับปรุงประสิทธิภาพกราฟิก โดยเฉพาะอย่างยิ่งเมื่อเล่นวิดีโอและเนื้อหาที่ใช้ทรัพยากรมาก หากไม่มีฮาร์ดแวร์ที่เข้ากันได้ Application Guard จะเปลี่ยนไปใช้การเรนเดอร์ด้วย CPU การเปิดใช้งานตัวเลือกนี้บนอุปกรณ์ที่มีไดรเวอร์ที่ไม่น่าเชื่อถืออาจเพิ่มความเสี่ยงให้กับเครื่องโฮสต์ได้

นอกจากนี้ยังมีคำสั่งสำหรับ อนุญาตให้เข้าถึงกล้องและไมโครโฟน ภายในคอนเทนเนอร์ การเปิดใช้งานฟังก์ชันนี้จะช่วยให้แอปพลิเคชันที่ทำงานภายใต้ MDAG สามารถใช้อุปกรณ์เหล่านี้ได้ ซึ่งอำนวยความสะดวกในการโทรหรือประชุมทางวิดีโอจากสภาพแวดล้อมที่แยกต่างหาก แม้ว่าหากคอนเทนเนอร์ถูกบุกรุก ฟังก์ชันนี้ก็อาจเปิดช่องทางให้มีการหลีกเลี่ยงสิทธิ์มาตรฐานได้เช่นกัน

นโยบายอีกข้อหนึ่งอนุญาตให้ใช้ Application Guard ใช้หน่วยงานรับรองรากโฮสต์เฉพาะฟังก์ชันนี้จะถ่ายโอนใบรับรองที่มีลายนิ้วมือที่ระบุไว้ไปยังคอนเทนเนอร์ หากปิดใช้งานฟังก์ชันนี้ คอนเทนเนอร์จะไม่ได้รับใบรับรองเหล่านั้น ซึ่งอาจขัดขวางการเชื่อมต่อกับบริการภายในบางอย่างหากบริการเหล่านั้นอาศัยหน่วยงานรับรองเอกชน

ในที่สุดตัวเลือกของ “อนุญาตให้ทำการตรวจสอบ” การตั้งค่านี้จะทำให้เหตุการณ์ระบบที่เกิดขึ้นภายในคอนเทนเนอร์ถูกบันทึกไว้ และนโยบายการตรวจสอบอุปกรณ์จะถูกส่งต่อ ทำให้ทีมรักษาความปลอดภัยสามารถติดตามสิ่งที่เกิดขึ้นภายใน Application Guard จากบันทึกของโฮสต์ได้

การบูรณาการกับเฟรมเวิร์กการสนับสนุนและการปรับแต่ง

เมื่อเกิดข้อผิดพลาดใน Application Guard ผู้ใช้จะเห็นข้อความแจ้งเตือน กล่องโต้ตอบข้อผิดพลาด โดยค่าเริ่มต้น ระบบจะแสดงเพียงคำอธิบายของปัญหาและปุ่มสำหรับรายงานปัญหาไปยัง Microsoft ผ่านทาง Feedback Hub เท่านั้น อย่างไรก็ตาม คุณสามารถปรับแต่งประสบการณ์การใช้งานนี้เพื่ออำนวยความสะดวกในการสนับสนุนภายในองค์กรได้

บนเส้นทาง Administrative Templates\Windows Components\Windows Security\Enterprise Customization มีนโยบายที่ผู้ดูแลระบบสามารถนำไปใช้ได้ เพิ่มข้อมูลติดต่อฝ่ายบริการสนับสนุนลิงก์ภายในหรือคำแนะนำสั้นๆ วิธีนี้จะช่วยให้พนักงานทราบได้ทันทีว่าควรติดต่อใครหรือต้องดำเนินการอย่างไรเมื่อพบข้อผิดพลาด

คำถามที่พบบ่อยและปัญหาทั่วไปเกี่ยวกับการใช้งาน Application Guard

การใช้งาน Application Guard ก่อให้เกิดผลลัพธ์ที่ดีจำนวนหนึ่ง คำถามที่เกิดขึ้นซ้ำๆ ในการใช้งานจริง โดยเฉพาะอย่างยิ่งในด้านประสิทธิภาพ ความเข้ากันได้ และพฤติกรรมของเครือข่าย

คำถามแรกๆ คือ สามารถเปิดใช้งานได้หรือไม่ อุปกรณ์ที่มี RAM เพียง 4 GBแม้ว่าจะมีบางสถานการณ์ที่อาจใช้งานได้ แต่ในทางปฏิบัติประสิทธิภาพมักจะลดลงอย่างมาก เนื่องจากคอนเทนเนอร์นั้นเปรียบเสมือนระบบปฏิบัติการอีกระบบหนึ่งที่ทำงานควบคู่กันไป

อีกประเด็นสำคัญคือการบูรณาการกับ พร็อกซีเครือข่ายและสคริปต์ PACข้อความต่างๆ เช่น “ไม่สามารถแก้ไข URL ภายนอกจาก MDAG Browser ได้: ERR_CONNECTION_REFUSED” หรือ “ERR_NAME_NOT_RESOLVED” เมื่อการเข้าถึงไฟล์ PAC ล้มเหลว มักบ่งชี้ถึงปัญหาการกำหนดค่าระหว่างคอนเทนเนอร์ พร็อกซี และกฎการแยกส่วน

นอกจากนี้ยังมีประเด็นที่เกี่ยวข้องกับเรื่องอื่นๆ อีกด้วย ไม่รองรับ IME (ตัวแก้ไขวิธีการป้อนข้อมูล) ใน Windows บางเวอร์ชัน ความขัดแย้งกับไดรเวอร์การเข้ารหัสดิสก์หรือโซลูชันการควบคุมอุปกรณ์อาจทำให้คอนเทนเนอร์โหลดไม่เสร็จสมบูรณ์

ผู้ดูแลระบบบางรายอาจพบข้อผิดพลาด เช่น “ข้อผิดพลาด_ข้อจำกัดดิสก์เสมือน” หากมีข้อจำกัดที่เกี่ยวข้องกับดิสก์เสมือน หรือความล้มเหลวในการปิดใช้งานเทคโนโลยีต่างๆ เช่น ไฮเปอร์เธรดดิ้ง ซึ่งส่งผลกระทบทางอ้อมต่อ Hyper-V และ MDAG ด้วย

นอกจากนี้ยังมีการตั้งคำถามเกี่ยวกับวิธีการต่างๆ อีกด้วย เชื่อถือเฉพาะโดเมนย่อยบางส่วนเท่านั้นเกี่ยวกับการจำกัดขนาดของรายการโดเมน หรือวิธีการปิดใช้งานพฤติกรรมที่แท็บโฮสต์จะปิดโดยอัตโนมัติเมื่อไปยังเว็บไซต์ที่เปิดในคอนเทนเนอร์

Application Guard, โหมด IE, Chrome และ Office

ในสภาพแวดล้อมที่ โหมด IE ใน Microsoft Edgeรองรับ Application Guard แต่ Microsoft ไม่คาดหวังว่าจะมีการใช้งานฟีเจอร์นี้อย่างแพร่หลายในโหมดนี้ ขอแนะนำให้สงวนโหมด IE ไว้สำหรับ [แอปพลิเคชัน/การใช้งานเฉพาะ] เท่านั้น เว็บไซต์ภายในที่เชื่อถือได้ และใช้ MDAG เฉพาะกับเว็บไซต์ภายนอกที่ไม่น่าเชื่อถือเท่านั้น

สิ่งสำคัญคือต้องแน่ใจว่า ทุกเว็บไซต์ถูกตั้งค่าในโหมด IEเครือข่าย รวมถึงที่อยู่ IP ที่เกี่ยวข้อง จะต้องถูกรวมอยู่ในนโยบายการแยกเครือข่ายในฐานะทรัพยากรที่เชื่อถือได้ด้วย มิเช่นนั้น อาจเกิดพฤติกรรมที่ไม่คาดคิดเมื่อรวมฟังก์ชันทั้งสองเข้าด้วยกัน

สำหรับ Chrome นั้น ผู้ใช้หลายคนตั้งคำถามว่าจำเป็นหรือไม่ ติดตั้งส่วนขยาย Application Guardคำตอบคือไม่: ฟังก์ชันนี้ถูกรวมเข้ากับ Microsoft Edge อยู่แล้ว และส่วนขยาย Chrome แบบเก่าไม่รองรับการใช้งานบน Edge

สำหรับเอกสาร Office นั้น Application Guard ช่วยให้สามารถใช้งานฟังก์ชันต่างๆ ได้ เปิดไฟล์ Word, Excel และ PowerPoint ในคอนเทนเนอร์ที่แยกต่างหาก เมื่อไฟล์ถูกพิจารณาว่าไม่น่าเชื่อถือ ระบบจะป้องกันไม่ให้มาโครที่เป็นอันตรายหรือช่องทางการโจมตีอื่นๆ เข้าถึงเครื่องโฮสต์ได้ การป้องกันนี้สามารถใช้ร่วมกับคุณสมบัติอื่นๆ ของ Defender และนโยบายความน่าเชื่อถือของไฟล์ได้

นอกจากนี้ยังมีตัวเลือกนโยบายกลุ่มที่อนุญาตให้ผู้ใช้ "เชื่อถือ" ไฟล์บางไฟล์ที่เปิดใน Application Guard เพื่อให้ไฟล์เหล่านั้นได้รับการปฏิบัติเหมือนปลอดภัยและออกจากคอนเทนเนอร์ ควรจัดการความสามารถนี้อย่างระมัดระวังเพื่อหลีกเลี่ยงการสูญเสียประโยชน์ของการแยกส่วน

การดาวน์โหลด, คลิปบอร์ด, รายการโปรด และส่วนขยาย: ประสบการณ์ผู้ใช้

จากมุมมองของผู้ใช้ คำถามที่สำคัญที่สุดบางส่วนเกี่ยวข้องกับเรื่องต่อไปนี้ สิ่งที่สามารถทำได้และทำไม่ได้ภายในตู้คอนเทนเนอร์โดยเฉพาะอย่างยิ่งกับการดาวน์โหลด การคัดลอก/วาง และส่วนขยายต่างๆ

ใน Windows 10 Enterprise เวอร์ชัน 1803 และเวอร์ชันที่ใหม่กว่า (โดยมีรายละเอียดปลีกย่อยขึ้นอยู่กับรุ่น) สามารถทำได้ อนุญาตให้ดาวน์โหลดเอกสารจากคอนเทนเนอร์ไปยังโฮสต์ ตัวเลือกนี้ไม่มีในเวอร์ชันก่อนหน้าหรือในบางรุ่น เช่น รุ่น Pro แม้ว่าจะสามารถพิมพ์เป็นไฟล์ PDF หรือ XPS และบันทึกผลลัพธ์ลงในอุปกรณ์โฮสต์ได้ก็ตาม

ส่วนเรื่องคลิปบอร์ดนั้น นโยบายของบริษัทอาจอนุญาตให้ทำได้ รูปภาพในรูปแบบ BMP และข้อความจะถูกคัดลอก เข้าและออกจากสภาพแวดล้อมที่แยกต่างหาก หากพนักงานร้องเรียนว่าไม่สามารถคัดลอกเนื้อหาได้ โดยปกติแล้วนโยบายเหล่านี้จะต้องได้รับการทบทวน

ผู้ใช้หลายคนก็ถามว่าทำไมเช่นกัน พวกเขาไม่เห็นสิ่งที่พวกเขาชื่นชอบหรือส่วนต่อขยายของพวกเขา ในเซสชัน Edge ภายใต้ Application Guard ปัญหานี้มักเกิดจากการปิดใช้งานการซิงโครไนซ์บุ๊กมาร์ก หรือนโยบายส่วนขยายใน MDAG ไม่ได้เปิดใช้งาน เมื่อปรับตัวเลือกเหล่านี้แล้ว เบราว์เซอร์ในคอนเทนเนอร์จะสามารถรับบุ๊กมาร์กและส่วนขยายบางอย่างได้ โดยอยู่ภายใต้ข้อจำกัดที่กล่าวไว้ก่อนหน้านี้เสมอ

ในบางกรณี ส่วนขยายอาจปรากฏขึ้นแต่ "ใช้งานไม่ได้" หากส่วนขยายนั้นอาศัยส่วนประกอบการจัดการข้อความดั้งเดิม ฟังก์ชันการทำงานนั้นจะไม่สามารถใช้งานได้ภายในคอนเทนเนอร์ และส่วนขยายจะแสดงพฤติกรรมที่จำกัดหรือไม่ทำงานเลย

ประสิทธิภาพกราฟิก, HDR และการเร่งความเร็วฮาร์ดแวร์

อีกหัวข้อหนึ่งที่ถูกหยิบยกขึ้นมาบ่อยครั้งคือเรื่องของ... การเล่นวิดีโอและคุณสมบัติขั้นสูง เช่น HDR ภายใน Application Guard เมื่อทำงานบน Hyper-V คอนเทนเนอร์จะไม่สามารถเข้าถึงความสามารถของ GPU ได้โดยตรงเสมอไป

เพื่อให้การเล่น HDR ทำงานได้อย่างถูกต้องในสภาพแวดล้อมที่แยกจากภายนอก จำเป็นต้อง... เปิดใช้งานการเร่งความเร็วฮาร์ดแวร์ vGPU แล้ว ผ่านนโยบายการเรนเดอร์แบบเร่งความเร็ว มิเช่นนั้น ระบบจะใช้ CPU เป็นหลัก และตัวเลือกบางอย่าง เช่น HDR จะไม่ปรากฏในหน้าการตั้งค่าของโปรแกรมเล่นหรือเว็บไซต์

แม้จะเปิดใช้งานการเร่งความเร็วแล้วก็ตาม หากฮาร์ดแวร์กราฟิกไม่ได้รับการพิจารณาว่ามีความปลอดภัยหรือเข้ากันได้เพียงพอ Application Guard อาจ... กลับไปที่การเรนเดอร์ซอฟต์แวร์โดยอัตโนมัติซึ่งส่งผลต่อความลื่นไหลและการใช้พลังงานแบตเตอรี่ในแล็ปท็อป

การใช้งานบางอย่างพบปัญหาเกี่ยวกับการแบ่งส่วนข้อมูล TCP และความขัดแย้งกับ VPN ที่ดูเหมือนจะไม่สามารถใช้งานได้สักที เมื่อมีการรับส่งข้อมูลผ่านคอนเทนเนอร์ ในกรณีเหล่านั้น โดยปกติแล้วจำเป็นต้องตรวจสอบนโยบายเครือข่าย MTU การกำหนดค่าพร็อกซี และบางครั้งอาจต้องปรับวิธีการทำงานร่วมกันของ MDAG กับส่วนประกอบด้านความปลอดภัยอื่นๆ ที่ติดตั้งไว้แล้ว

การสนับสนุน การวินิจฉัย และการรายงานเหตุการณ์

หากแม้จะพยายามทุกวิถีทางแล้ว ปัญหายังคงเกิดขึ้นและไม่สามารถแก้ไขได้ภายในองค์กร ไมโครซอฟต์แนะนำให้ดำเนินการดังนี้ เปิดตั๋วขอความช่วยเหลือเฉพาะเรื่อง สำหรับ Microsoft Defender Application Guard สิ่งสำคัญคือต้องรวบรวมข้อมูลล่วงหน้าจากหน้าการวินิจฉัย บันทึกเหตุการณ์ที่เกี่ยวข้อง และรายละเอียดของการกำหนดค่าที่ใช้กับอุปกรณ์

การใช้งานหน้าเว็บ edge://application-guard-internalsเมื่อรวมกับ เปิดใช้งานเหตุการณ์ตรวจสอบ และการเปิดตัวเครื่องมือต่างๆ เช่น wdagtool.exeโดยปกติแล้ว ข้อมูลเหล่านี้จะช่วยให้ทีมสนับสนุนมีข้อมูลเพียงพอที่จะระบุต้นตอของปัญหา ไม่ว่าจะเป็นนโยบายที่กำหนดไว้ไม่ชัดเจน ความขัดแย้งกับผลิตภัณฑ์รักษาความปลอดภัยอื่น หรือข้อจำกัดของฮาร์ดแวร์

นอกเหนือจากทั้งหมดนี้ ผู้ใช้ยังสามารถปรับแต่งข้อความแสดงข้อผิดพลาดและข้อมูลติดต่อในกล่องโต้ตอบการสนับสนุนทางเทคนิคของ Windows Security ได้ ทำให้พวกเขาสามารถค้นหาวิธีแก้ไขที่เหมาะสมได้ง่ายขึ้น อย่าปล่อยให้ตัวเองตกอยู่ในสถานการณ์ที่ไม่รู้จะหันไปพึ่งใคร เมื่อคอนเทนเนอร์ไม่สามารถเริ่มต้นทำงานหรือเปิดไม่ขึ้นตามที่คาดไว้

โดยรวมแล้ว Microsoft Defender Application Guard นำเสนอการผสมผสานที่มีประสิทธิภาพระหว่างการแยกฮาร์ดแวร์ การควบคุมนโยบายอย่างละเอียด และเครื่องมือวินิจฉัย ซึ่งเมื่อใช้งานอย่างถูกต้อง จะช่วยลดความเสี่ยงที่เกี่ยวข้องกับการเข้าชมเว็บไซต์ที่ไม่น่าเชื่อถือหรือการเปิดเอกสารจากแหล่งที่น่าสงสัยได้อย่างมาก โดยไม่กระทบต่อประสิทธิภาพการทำงานประจำวัน