Paano gamitin ang Microsoft Defender Application Guard nang sunud-sunod

Kung nagtatrabaho ka na may sensitibong impormasyon o nagba-browse ng mga kahina-hinalang website araw-araw, Microsoft Defender Application Guard (MDAG) Isa ito sa mga feature ng Windows na maaaring magbago sa pagitan ng isang takot at isang sakuna. Hindi lamang ito isa pang antivirus program, kundi isang karagdagang layer na naghihiwalay sa mga banta mula sa iyong system at data.

Sa mga sumusunod na linya, makikita mo nang malinaw Ano nga ba ang Application Guard, paano ito gumagana sa loob ng sistema, sa aling mga device mo ito magagamit, at paano mo ito iko-configure? Tatalakayin natin ang parehong simple at pang-enterprise na pag-deploy. Susuriin din natin ang mga kinakailangan, mga patakaran ng grupo, mga karaniwang error, at iba't ibang madalas itanong na lumalabas kapag nagsisimulang gamitin ang teknolohiyang ito.

Ano ang Microsoft Defender Application Guard at paano ito gumagana?

Ang Microsoft Defender Application Guard ay isang advanced na tampok sa seguridad na idinisenyo upang Ihiwalay ang mga hindi mapagkakatiwalaang website at dokumento sa isang virtual na lalagyan Batay sa Hyper-V. Sa halip na subukang harangan ang bawat pag-atake nang paisa-isa, lumilikha ito ng isang maliit na "disposable computer" kung saan nito inilalagay ang kahina-hinalang materyal.

Ang lalagyang iyon ay tumatakbo sa isang hiwalay mula sa pangunahing operating systemgamit ang sarili nitong pinatigas na instance ng Windows at walang direktang access sa mga file, kredensyal, o panloob na mapagkukunan ng kumpanya. Kahit na nagawang samantalahin ng isang malisyosong site ang isang kahinaan ng browser o Office, nananatili ang pinsala sa loob ng nakahiwalay na kapaligirang iyon.

Sa kaso ng Microsoft Edge, tinitiyak ng Application Guard na anumang domain na hindi minarkahan bilang pinagkakatiwalaan Awtomatiko itong bubukas sa loob ng lalagyang iyon. Para sa Office, ginagawa rin nito ang pareho sa mga dokumentong Word, Excel, at PowerPoint na nagmumula sa mga mapagkukunang hindi itinuturing na ligtas ng organisasyon.

Ang susi ay ang paghihiwalay na ito ay isang uri ng hardware: Lumilikha ang Hyper-V ng isang malayang kapaligiran mula sa host, na lubhang nagbabawas sa posibilidad ng isang umaatake na tumalon mula sa nakahiwalay na sesyon patungo sa totoong sistema, pagnanakaw ng datos ng kumpanya, o pagsasamantala sa mga nakaimbak na kredensyal.

Bukod pa rito, ang lalagyan ay itinuturing na isang hindi nagpapakilalang kapaligiran: Hindi nito minana ang cookies, password, o sessions ng user.Ginagawa nitong mas mahirap ang buhay para sa mga umaatake na umaasa sa mga pamamaraan ng spoofing o session theft.

Mga inirerekomendang uri ng device na gagamitin sa Application Guard

Bagama't teknikal na maaaring tumakbo ang Application Guard sa iba't ibang sitwasyon, ito ay espesyal na idinisenyo para sa mga kapaligirang pangkorporasyon at mga pinamamahalaang deviceTinutukoy ng Microsoft ang ilang uri ng kagamitan kung saan ang MDAG ang pinakakapaki-pakinabang.

Una sa lahat mayroong mga desktop ng negosyo na sumali sa domainKaraniwang pinamamahalaan ang mga ito gamit ang Configuration Manager o Intune. Ang mga ito ay tradisyonal na mga computer sa opisina, na may mga karaniwang gumagamit at nakakonekta sa wired corporate network, kung saan ang panganib ay pangunahing nagmumula sa pang-araw-araw na pag-browse sa internet.

Pagkatapos ay mayroon tayo ng mga laptop ng korporasyonAng mga ito ay mga device din na naka-domain at centrally managed, ngunit kumokonekta ang mga ito sa mga internal o external na Wi-Fi network. Dito, tumataas ang panganib dahil umaalis ang device sa kontroladong network at nalalantad sa Wi-Fi sa mga hotel, paliparan, o home network.

Ang isa pang grupo ay ang mga laptop na BYOD (Bring Your Own Device), mga personal na kagamitan na hindi pagmamay-ari ng kompanya ngunit pinamamahalaan sa pamamagitan ng mga solusyon tulad ng Intune. Karaniwan silang nasa kamay ng mga user na may mga lokal na pribilehiyo ng administrator, na nagpapataas ng posibilidad ng pag-atake at ginagawang mas kaakit-akit ang paggamit ng isolation para sa pag-access sa mga corporate resources.

Sa wakas, may mga mga personal na aparato na hindi ganap na pinamamahalaanIto ay mga website na hindi kabilang sa anumang domain at kung saan ang user ang may ganap na kontrol. Sa mga kasong ito, maaaring gamitin ang Application Guard sa standalone mode (lalo na para sa Edge) upang magbigay ng karagdagang patong ng proteksyon kapag bumibisita sa mga potensyal na mapanganib na website.

Mga Kinakailangang Edisyon at Paglilisensya ng Windows

Bago ka magsimulang mag-configure ng kahit ano, mahalagang maging malinaw dito. Sa aling mga edisyon ng Windows maaari mong gamitin ang Microsoft Defender Application Guard at kung anong mga karapatan sa paglilisensya ang kasama.

Para sa Mode na nakahiwalay sa gilid (ibig sabihin, gamit lamang ang Application Guard bilang isang browser sandbox nang walang advanced enterprise management), ay sinusuportahan sa Windows:

• Windows pro
• Windows Enterprise
• Edukasyon sa Windows Pro / SE
• Windows Education

Sa ganitong sitwasyon, ipinagkakaloob ang mga karapatan sa lisensya ng MDAG kung mayroon kang mga lisensya tulad ng Windows Pro / Pro Education / SE, Windows Enterprise E3 o E5 at Windows Education A3 o A5Sa pagsasagawa, sa maraming propesyonal na PC na may Windows Pro, maaari mo nang i-activate ang feature para sa pangunahing paggamit.

Para sa edge enterprise mode at administrasyong korporasyon (kung saan ginagamit ang mga advanced na direktiba at mas kumplikadong mga senaryo), nababawasan ang suporta:

• Windows Enterprise y Windows Education Sinusuportahan ang Application Guard sa mode na ito.
• Windows Pro at Windows Pro Education/SE hindi Mayroon silang suporta para sa enterprise variant na ito.

Tungkol sa mga lisensya, ang mas advanced na paggamit ng korporasyon na ito ay nangangailangan ng Windows Enterprise E3/E5 o Windows Education A3/A5Kung Pro lang ang ginagamit ng iyong organisasyon nang walang mga subscription sa Enterprise, malilimitahan ka sa Edge standalone mode.

Mga kinakailangan at pagiging tugma ng sistema

Bilang karagdagan sa edisyon ng Windows, para gumana nang matatag ang Application Guard, kailangan mong matugunan ang mga sumusunod na kinakailangan: isang serye ng mga teknikal na kinakailangan kaugnay ng bersyon, hardware, at suporta sa virtualization.

Tungkol sa operating system, mandatoryong gamitin ang Windows 10 1809 o mas bago (Oktubre 2018 Update) o isang katumbas na bersyon ng Windows 11. Hindi ito inilaan para sa mga server SKU o mga variant na lubhang pinaliit; malinaw na ito ay para sa mga client computer.

Sa antas ng hardware, ang kagamitan ay dapat mayroong pinagana ang virtualization na nakabatay sa hardware (Suporta sa Intel VT-x/AMD-V at pagsasalin ng pangalawang antas ng address, tulad ng SLAT), dahil ang Hyper-V ang pangunahing bahagi para sa paglikha ng nakahiwalay na lalagyan. Kung wala ang layer na ito, hindi magagawang i-set up ng MDAG ang ligtas na kapaligiran nito.

Mahalaga rin na magkaroon ng mga mekanismo ng administrasyong magkatugma Kung gagamitin mo ito nang sentralisado (halimbawa, Microsoft Intune o Configuration Manager), gaya ng nakadetalye sa mga kinakailangan ng software ng enterprise. Para sa mga simpleng pag-deploy, sapat na ang Windows Security interface mismo.

Panghuli, tandaan na Ang Application Guard ay kasalukuyang hindi na ginagamit. Para sa Microsoft Edge para sa negosyo, at ang ilang API na nauugnay sa mga standalone na application ay hindi na ia-update. Gayunpaman, nananatili itong laganap sa mga kapaligiran kung saan kinakailangan ang panandalian at katamtamang terminong pagpigil sa panganib.

Kaso ng paggamit: kaligtasan laban sa produktibidad

Isa sa mga klasikong problema sa cybersecurity ay ang paghahanap ng tamang balanse sa pagitan ng para tunay na protektahan, hindi para harangan ang gumagamitKung papayagan mo lang ang iilang "mapagpalang" website, nababawasan mo ang panganib, ngunit sinisira mo ang produktibidad. Kung luluwagan mo ang mga restriksyon, tataas nang husto ang antas ng pagkakalantad.

Ang browser ay isa sa mga mga pangunahing ibabaw ng pag-atake ng trabaho, dahil ang layunin nito ay magbukas ng hindi mapagkakatiwalaang nilalaman mula sa iba't ibang mapagkukunan: mga hindi kilalang website, download, mga script ng third-party, agresibong advertising, atbp. Gaano mo man pagbutihin ang engine, palaging may mga bagong kahinaan na susubukan ng isang tao na samantalahin.

Sa modelong ito, tiyak na tinutukoy ng administrator kung aling mga domain, IP range, at cloud resource ang itinuturing nilang mapagkakatiwalaan. Anumang wala sa listahang iyon ay awtomatikong mapupunta sa lalagyanDoon, maaaring mag-browse ang gumagamit nang walang pangambang ang pagkabigo ng browser ay magsapanganib sa iba pang mga panloob na sistema.

Ang resulta ay medyo nababaluktot na nabigasyon para sa empleyado, ngunit may mahigpit na binabantayang hangganan sa pagitan ng kung ano ang isang hindi mapagkakatiwalaang panlabas na mundo at kung ano ang isang kapaligirang pangkorporasyon na dapat protektahan anuman ang mangyari.

Mga kamakailang tampok at update sa Application Guard sa Microsoft Edge

Sa iba't ibang bersyon ng Microsoft Edge na nakabatay sa Chromium, idinaragdag ng Microsoft ang Mga partikular na pagpapabuti para sa Application Guard na may layuning pinuhin ang karanasan ng gumagamit at bigyan ang administrator ng higit na kontrol.

Isa sa mga mahahalagang bagong tampok ay ang pagharang sa mga pag-upload ng file mula sa lalagyanSimula noong Edge 96, nagawa nang pigilan ng mga organisasyon ang mga user na mag-upload ng mga dokumento mula sa kanilang lokal na device patungo sa isang form o web service sa loob ng isang nakahiwalay na sesyon, gamit ang patakarang ito. ApplicationGuardUploadBlockingEnabledBinabawasan nito ang panganib ng pagtagas ng impormasyon.

Isa pang kapaki-pakinabang na pagpapabuti ay ang passive mode, available simula noong Edge 94. Kapag na-activate ng patakaran ApplicationGuardPassiveModeEnabledItinigil ng Application Guard ang pagpilit sa listahan ng site at pinapayagan ang user na i-browse ang Edge "nang normal," kahit na naka-install pa rin ang feature. Isa itong maginhawang paraan para maihanda ang teknolohiya nang hindi pa nagre-redirect ng trapiko.

Ang posibilidad ng ay naidagdag din i-synchronize ang mga paborito ng host sa lalagyanIto ay isang bagay na hiniling ng maraming customer upang maiwasan ang pagkakaroon ng dalawang ganap na hindi magkakakonektang karanasan sa pag-browse. Simula ng Edge 91, ang patakaran ApplicationGuardFavoritesSyncEnabled Pinapayagan nito ang mga bagong marker na lumitaw nang pantay sa loob ng nakahiwalay na kapaligiran.

Sa larangan ng networking, isinama ng Edge 91 ang suporta para sa lagyan ng label ang trapikong umaalis sa container salamat sa direktiba ApplicationGuardTrafficIdentificationEnabledNagbibigay-daan ito sa mga kumpanya na tukuyin at salain ang trapikong iyon sa pamamagitan ng isang proxy, halimbawa, upang paghigpitan ang access sa isang napakaliit na hanay ng mga site kapag nagba-browse mula sa MDAG.

Dual proxy, mga extension, at iba pang mga advanced na senaryo

Ginagamit ng ilang organisasyon ang Application Guard sa mas kumplikadong mga deployment kung saan nila kailangan mahigpit na subaybayan ang trapiko ng mga container at ang mga kakayahan ng browser sa loob ng nakahiwalay na kapaligirang iyon.

Para sa mga kasong ito, may suporta ang Edge para sa dobleng proxy Mula sa stable na bersyon 84 pataas, maaaring i-configure sa pamamagitan ng direktiba ApplicationGuardContainerProxyAng ideya ay ang trapikong nagmumula sa container ay iruruta sa pamamagitan ng isang partikular na proxy, naiiba sa ginagamit ng host, na nagpapadali sa paglalapat ng mga independiyenteng patakaran at mas mahigpit na inspeksyon.

Isa pang paulit-ulit na kahilingan mula sa mga customer ay ang posibilidad ng gumamit ng mga extension sa loob ng lalagyanSimula noong Edge 81, naging posible na ito, kaya maaaring patakbuhin ang mga ad blocker, internal corporate extension, o iba pang tool basta't sumusunod ang mga ito sa mga tinukoy na patakaran. Kinakailangang ideklara ang updateURL ng extension sa mga patakaran sa paghihiwalay ng network upang maituring itong isang neutral na mapagkukunan na maa-access mula sa Application Guard.

Kabilang sa mga tinatanggap na senaryo ang sapilitang pag-install ng mga extension sa host Pagkatapos ay lilitaw ang mga extension na ito sa lalagyan, na nagbibigay-daan para sa pag-alis ng mga partikular na extension o pagharang ng iba na itinuturing na hindi kanais-nais para sa mga kadahilanang pangseguridad. Gayunpaman, hindi ito nalalapat sa mga extension na umaasa sa mga native message handling component. Hindi sila magkatugma sa loob ng MDAG.

Upang makatulong sa pag-diagnose ng mga problema sa konfigurasyon o pag-uugali, isang partikular na pahina ng diagnostic en edge://application-guard-internalsMula roon, maaari mong suriin, bukod sa iba pang mga bagay, kung ang isang partikular na URL ay itinuturing na mapagkakatiwalaan o hindi ayon sa mga patakarang aktwal na inilalapat sa user.

Panghuli, tungkol sa mga update, ang bagong Microsoft Edge ay Ina-update din nito ang sarili nito sa loob ng lalagyanSinusundan nito ang parehong channel at bersyon gaya ng host browser. Hindi na ito umaasa sa update cycle ng operating system, gaya ng nangyari sa Legacy na bersyon ng Edge, na lubos na nagpapadali sa maintenance.

Paano paganahin ang Microsoft Defender Application Guard sa Windows

Kung gusto mo itong patakbuhin sa isang compatible na device, ang unang hakbang ay i-activate ang feature ng Windows naaayon. Ang proseso, sa pangunahing antas, ay medyo diretso.

Ang pinakamabilis na paraan ay buksan ang Run dialog box gamit ang Umakit + R, magsulat ng appwiz.cpl at pindutin ang Enter para direktang pumunta sa panel na "Programs and Features". Mula roon, sa kaliwang bahagi, makikita mo ang link para sa "Turn Windows features on or off."

Sa listahan ng mga magagamit na bahagi, kakailanganin mong hanapin ang entry "Tagapangalaga ng Aplikasyon ng Microsoft Defender" at piliin ito. Kapag natanggap na, ida-download o ie-enable ng Windows ang mga kinakailangang binary at hihilingin sa iyong i-restart ang iyong computer upang mailapat ang mga pagbabago.

Pagkatapos mag-restart, sa mga compatible na device na may tamang bersyon ng Edge, dapat ay kaya mo nang gawin ito. Magbukas ng mga bagong window o mga nakahiwalay na tab sa pamamagitan ng mga opsyon sa browser o, sa mga pinamamahalaang kapaligiran, awtomatiko ayon sa configuration ng listahan ng mga hindi pinagkakatiwalaang site.

Kung hindi mo makita ang mga opsyon tulad ng "New Application Guard window" o hindi bumukas ang container, posible na Maaaring luma na ang mga tagubiling sinusunod mo.Maaaring ito ay dahil hindi sinusuportahan ang iyong edisyon ng Windows, wala kang naka-enable na Hyper-V, o hindi pinagana ng patakaran ng iyong organisasyon ang feature na ito.

Pag-configure ng Application Guard gamit ang Group Policy

Sa mga kapaligiran ng negosyo, ang bawat piraso ng kagamitan ay hindi manu-manong kino-configure; sa halip, isang paunang natukoy na sistema ang ginagamit. patakaran ng grupo (GPO) o mga profile ng configuration sa Intune upang tukuyin ang patakaran nang sentral. Ang Application Guard ay umaasa sa dalawang pangunahing bloke ng configuration: network isolation at mga parameter na partikular sa application.

Ang mga setting ng paghihiwalay ng network ay matatagpuan sa Computer Configuration\Administrative Templates\Network\Network IsolationDito, halimbawa, binibigyang kahulugan ang mga sumusunod: mga panloob na saklaw ng network at mga domain na itinuturing na mga domain ng kumpanyana siyang magtatakda ng hangganan sa pagitan ng kung ano ang maaasahan at kung ano ang dapat itapon sa basurahan.

Isa sa mga pangunahing patakaran ay ang "Mga pribadong agwat ng network para sa mga aplikasyon"Tinutukoy ng seksyong ito, sa isang listahang pinaghihiwalay ng kuwit, ang mga saklaw ng IP na kabilang sa corporate network. Ang mga endpoint sa mga saklaw na ito ay magbubukas sa normal na Edge at hindi maa-access mula sa kapaligiran ng Application Guard.

Ang isa pang mahalagang patakaran ay ang "Mga domain ng enterprise resource na naka-host sa cloud"na gumagamit ng listahang pinaghihiwalay ng karakter | Upang ipahiwatig ang mga SaaS domain at cloud service ng organisasyon na dapat ituring bilang internal. Ire-render din ang mga ito sa Edge sa labas ng container.

Panghuli, ang direktiba ng "Mga domain na inuri bilang personal at trabaho" Pinapayagan ka nitong magdeklara ng mga domain na maaaring gamitin para sa parehong personal at pangnegosyong layunin. Ang mga site na ito ay maa-access mula sa parehong normal na kapaligiran ng Edge at Application Guard, kung naaangkop.

Paggamit ng mga wildcard sa mga setting ng paghihiwalay ng network

Para maiwasan ang pagsulat ng bawat subdomain nang paisa-isa, sinusuportahan ng mga listahan ng network isolation ang mga wildcard na karakter sa mga domain nameNagbibigay-daan ito para sa mas mahusay na kontrol sa kung ano ang itinuturing na maaasahan.

Kung ito ay simpleng binibigyang kahulugan contoso.comAng partikular na value na iyon lamang ang pagtitiwalaan ng browser at hindi ang ibang mga domain na naglalaman nito. Sa madaling salita, ituturing lamang nito ang literal na value na iyon bilang pagmamay-ari ng isang negosyo. ang eksaktong ugat at hindi www.contoso.com ni mga variant.

Kung tinukoy www.contoso.com, kaya tanging ang partikular na host na iyon ay ituturing na mapagkakatiwalaan. Iba pang mga subdomain tulad ng shop.contoso.com Maiiwan sila sa labas at maaaring mapunta sa basurahan.

Gamit ang format .contoso.com (isang panahon bago) ay nagpapahiwatig na Pinagkakatiwalaan ang anumang domain na nagtatapos sa "contoso.com". Kabilang dito ang mula sa contoso.com pataas www.contoso.com o kahit mga kadena tulad ng spearphishingcontoso.comKaya dapat itong gamitin nang may pag-iingat.

Panghuli, kung gagamitin ..contoso.com (unang tutuldok), lahat ng antas ng hirarkiya na matatagpuan sa kaliwa ng domain ay pinagkakatiwalaan, halimbawa shop.contoso.com o us.shop.contoso.comPero Hindi mapagkakatiwalaan ang ugat na “contoso.com” sa sarili nito. Ito ay isang mas mahusay na paraan ng pagkontrol sa kung ano ang itinuturing na isang mapagkukunan ng korporasyon.

Mga direktiba na partikular sa Pangunahing Application Guard

Ang pangalawang pangunahing hanay ng mga setting ay matatagpuan sa Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application GuardMula rito ay pinamumunuan ang bansa detalyadong pag-uugali ng lalagyan at kung ano ang magagawa o hindi magagawa ng gumagamit sa loob nito.

Isa sa mga pinakamahalagang patakaran ay ang "Mga setting ng clipboard"Kinokontrol nito kung posible ang pagkopya at pag-paste ng teksto o mga imahe sa pagitan ng host at Application Guard. Sa managed mode, maaari mo lamang payagan ang pagkopya mula sa container palabas, sa kabaligtaran na direksyon lamang, o kahit na ganap na i-disable ang clipboard.

Gayundin, ang direktiba ng "Mga setting ng pag-print" Ito ang nagpapasya kung maaaring i-print ang nilalaman mula sa lalagyan, at sa anong mga format. Maaari mong paganahin ang pag-print sa PDF, XPS, mga konektadong lokal na printer, o mga paunang natukoy na network printer, o harangan ang lahat ng kakayahan sa pag-print sa loob ng MDAG.

Ang pagpipilian "Kilalanin ang pagtitiyaga" Tinutukoy ng setting na ito kung ang data ng user (mga na-download na file, cookies, paborito, atbp.) ay mananatili sa pagitan ng mga sesyon ng Application Guard o pupurgahin sa bawat pagkakataong isasara ang kapaligiran. Ang pagpapagana nito sa managed mode ay nagbibigay-daan sa container na mapanatili ang impormasyong ito para sa mga sesyon sa hinaharap; ang pag-disable nito ay magreresulta sa isang halos malinis na kapaligiran sa bawat pagsisimula.

Kung magpasya kang itigil ang pagpapahintulot ng pagtitiyaga sa ibang pagkakataon, maaari mong gamitin ang tool wdagtool.exe kasama ang mga parametro cleanup o cleanup RESET_PERSISTENCE_LAYER para i-reset ang lalagyan at itapon ang impormasyong nabuo ng empleyado.

Isa pang mahalagang patakaran ay "I-activate ang Application Guard sa pinamamahalaang mode"Tinutukoy ng seksyong ito kung ang feature ay naaangkop sa Microsoft Edge, Microsoft Office, o pareho. Hindi magkakabisa ang patakarang ito kung ang device ay hindi nakakatugon sa mga kinakailangan o may naka-configure na network isolation (maliban sa ilang kamakailang bersyon ng Windows kung saan hindi na ito kinakailangan para sa Edge kung may mga partikular na KB update na na-install).

Pagbabahagi ng file, mga sertipiko, kamera, at pag-awdit

Bukod sa mga patakarang nabanggit sa itaas, mayroon pang ibang mga direktiba na nakakaapekto sa kung paano nauugnay ang lalagyan sa sistema ng host at kasama ang mga peripheral.

Pulitika "Payagan ang pag-download ng mga file sa host operating system" Ito ang nagpapasya kung maaaring i-save ng user ang mga file na na-download mula sa nakahiwalay na kapaligiran patungo sa host. Kapag pinagana, lumilikha ito ng isang pinagsasaluhang mapagkukunan sa pagitan ng parehong kapaligiran, na nagpapahintulot din sa ilang mga pag-upload mula sa host patungo sa container—napaka-kapaki-pakinabang, ngunit isa na dapat suriin mula sa pananaw ng seguridad.

Ang pagsasaayos ng "Paganahin ang hardware-accelerated rendering" Pinapagana ang paggamit ng GPU sa pamamagitan ng vGPU upang mapabuti ang pagganap ng graphics, lalo na kapag nagpe-play ng video at mabibigat na nilalaman. Kung walang magagamit na compatible na hardware, babalik ang Application Guard sa pag-render ng CPU. Gayunpaman, ang pag-enable sa opsyong ito sa mga device na may hindi maaasahang mga driver ay maaaring magpataas ng panganib sa host.

Mayroon ding direktiba para sa payagan ang pag-access sa camera at mikropono sa loob ng lalagyan. Ang pagpapagana nito ay nagbibigay-daan sa mga application na tumatakbo sa ilalim ng MDAG na gamitin ang mga device na ito, na nagpapadali sa mga video call o kumperensya mula sa mga nakahiwalay na kapaligiran, bagama't nagbubukas din ito ng pinto sa pag-bypass sa mga karaniwang pahintulot kung ang lalagyan ay nakompromiso.

Ang isa pang patakaran ay nagpapahintulot sa Application Guard gumamit ng mga partikular na awtoridad sa sertipikasyon ng host rootInililipat nito sa lalagyan ang mga sertipiko na tinukoy ang fingerprint. Kung hindi ito pinagana, hindi magmamana ang lalagyan ng mga sertipikong iyon, na maaaring humarang sa mga koneksyon sa ilang mga panloob na serbisyo kung aasa ang mga ito sa mga pribadong awtoridad.

Panghuli, ang opsyon ng "Payagan ang mga kaganapan sa pag-audit" Ito ay nagiging sanhi ng pag-log ng mga system event na nabuo sa container at pagmamana ng mga device audit policy, nang sa gayon ay masubaybayan ng security team ang nangyayari sa loob ng Application Guard mula sa mga host log.

Pagsasama sa mga balangkas ng suporta at pagpapasadya

Kapag may nangyaring mali sa Application Guard, makikita ng user ang isang kahon ng diyalogo ng error Bilang default, kasama lamang dito ang isang paglalarawan ng problema at isang buton para iulat ito sa Microsoft sa pamamagitan ng Feedback Hub. Gayunpaman, maaaring i-customize ang karanasang ito upang mapadali ang panloob na suporta.

Sa ruta Administrative Templates\Windows Components\Windows Security\Enterprise Customization May patakaran na maaaring gamitin ng administrador Magdagdag ng impormasyon sa pakikipag-ugnayan sa serbisyo ng suportaMga panloob na link o maikling tagubilin. Sa ganitong paraan, kapag nakita ng isang empleyado ang error, agad nilang malalaman kung sino ang kokontakin o kung anong mga hakbang ang gagawin.

Mga madalas itanong at karaniwang problema sa Application Guard

Ang paggamit ng Application Guard ay nakakabuo ng maraming mga paulit-ulit na tanong sa mga deployment sa totoong mundo, lalo na tungkol sa performance, compatibility, at network behavior.

Isa sa mga unang tanong ay kung maaari ba itong paganahin sa mga device na may 4 GB lang na RAMBagama't may mga sitwasyon kung saan maaaring gumana ito, sa pagsasagawa, ang pagganap ay kadalasang lubhang naaapektuhan, dahil ang container ay halos isa pang operating system na tumatakbo nang sabay-sabay.

Isa pang sensitibong punto ay ang integrasyon sa mga proxy ng network at mga script ng PACAng mga mensaheng tulad ng “Hindi malutas ang mga panlabas na URL mula sa MDAG Browser: ERR_CONNECTION_REFUSED” o “ERR_NAME_NOT_RESOLVED” kapag nabigo ang pag-access sa PAC file ay karaniwang nagpapahiwatig ng mga problema sa configuration sa pagitan ng container, proxy, at mga panuntunan sa paghihiwalay.

Mayroon ding mga isyung may kaugnayan sa Hindi sinusuportahan ang mga IME (mga editor ng paraan ng pag-input) Sa ilang partikular na bersyon ng Windows, ang mga conflict sa mga disk encryption driver o mga solusyon sa pagkontrol ng device ay pumipigil sa pagtatapos ng paglo-load ng container.

Ang ilang mga administrador ay nakakaranas ng mga error tulad ng “ERROR_VIRTUAL_DISK_LIMITATION” Kung may mga limitasyon na may kaugnayan sa mga virtual disk, o mga pagkabigong i-disable ang mga teknolohiya tulad ng hyperthreading na hindi direktang nakakaapekto sa Hyper-V at, sa pamamagitan ng pagpapalawig, sa MDAG.

May mga tanong din tungkol sa kung paano magtiwala lamang sa ilang partikular na subdomain, tungkol sa mga limitasyon sa laki ng listahan ng domain o kung paano i-disable ang gawi kung saan awtomatikong nagsasara ang tab ng host kapag nagna-navigate sa isang site na bubukas sa container.

Application Guard, IE mode, Chrome at Office

Sa mga kapaligiran kung saan ang IE mode sa Microsoft EdgeSinusuportahan ang Application Guard, ngunit hindi inaasahan ng Microsoft ang malawakang paggamit ng feature sa mode na ito. Inirerekomenda na ireserba ang IE mode para sa [mga partikular na application/gamit]. mga pinagkakatiwalaang panloob na site at gamitin lamang ang MDAG para sa mga website na itinuturing na panlabas at hindi mapagkakatiwalaan.

Mahalagang tiyakin iyon lahat ng site ay na-configure sa IE modeAng network, kasama ang mga kaugnay nitong IP address, ay dapat ding isama sa mga patakaran sa paghihiwalay ng network bilang mga mapagkakatiwalaang mapagkukunan. Kung hindi, maaaring mangyari ang hindi inaasahang pag-uugali kapag pinagsama ang parehong function.

Tungkol sa Chrome, maraming gumagamit ang nagtatanong kung kinakailangan ba ito mag-install ng extension ng Application GuardAng sagot ay hindi: ang functionality ay native na isinama sa Microsoft Edge, at ang lumang Chrome extension ay hindi sinusuportahang configuration kapag ginagamit ang Edge.

Para sa mga dokumento ng Office, pinapayagan ng Application Guard ang Buksan ang mga file ng Word, Excel, at PowerPoint sa isang nakahiwalay na lalagyan kapag ang mga file ay itinuturing na hindi mapagkakatiwalaan, kaya pinipigilan ang mga malisyosong macro o iba pang mga vector ng pag-atake na makarating sa host. Ang proteksyong ito ay maaaring pagsamahin sa iba pang mga tampok ng Defender at mga patakaran sa tiwala ng file.

Mayroon pa ngang opsyon sa patakaran ng grupo na nagpapahintulot sa mga user na "magtiwala" sa ilang partikular na file na binuksan sa Application Guard, para maituring ang mga ito bilang ligtas at makalabas sa container. Ang kakayahang ito ay dapat na maingat na pangasiwaan upang maiwasan ang pagkawala ng benepisyo ng paghihiwalay.

Mga download, clipboard, mga paborito, at mga extension: karanasan ng user

Mula sa pananaw ng gumagamit, ang ilan sa mga pinakapraktikal na tanong ay umiikot sa ano ang maaari at hindi maaaring gawin sa loob ng lalagyanlalo na sa mga pag-download, pagkopya/pag-paste, at mga extension.

Sa Windows 10 Enterprise 1803 at mga mas bagong bersyon (na may mga nuances depende sa edisyon), posible payagan ang pag-download ng mga dokumento mula sa lalagyan patungo sa host Hindi available ang opsyong ito sa mga nakaraang bersyon o sa ilang partikular na build ng mga edisyon tulad ng Pro, bagama't posibleng i-print sa PDF o XPS at i-save ang resulta sa host device.

Tungkol sa clipboard, maaaring pahintulutan ng patakaran ng korporasyon na Kinokopya ang mga imahe sa BMP format at teksto papunta at pabalik sa nakahiwalay na kapaligiran. Kung magrereklamo ang mga empleyado na hindi nila maaaring kopyahin ang nilalaman, karaniwang kailangang suriin ang mga patakarang ito.

Maraming gumagamit din ang nagtatanong kung bakit Hindi nila nakikita ang kanilang mga paborito o ang kanilang mga extension sa sesyon ng Edge sa ilalim ng Application Guard. Kadalasan ito ay dahil sa hindi pinagana ang pag-synchronize ng bookmark o hindi pinagana ang patakaran sa mga extension sa MDAG. Kapag naayos na ang mga opsyong ito, maaaring magmana ang browser sa container ng mga bookmark at ilang extension, na palaging may mga limitasyong nabanggit kanina.

May mga pagkakataon pa nga na lumalabas ang isang extension ngunit "hindi gumagana." Kung umaasa ito sa mga native message handling component, hindi magiging available ang functionality na iyon sa loob ng container, at ang extension ay magpapakita ng limitado o ganap na hindi gumaganang pag-uugali.

Pagganap ng graphics, HDR, at pagpabilis ng hardware

Isa pang paksang madalas na lumalabas ay ang tungkol sa pag-playback ng video at mga advanced na tampok tulad ng HDR sa loob ng Application Guard. Kapag tumatakbo sa Hyper-V, ang container ay hindi laging may direktang access sa mga kakayahan ng GPU.

Para gumana nang tama ang HDR playback sa isang nakahiwalay na kapaligiran, kinakailangan na ang Naka-enable ang vGPU hardware acceleration sa pamamagitan ng patakaran sa pinabilis na pag-render. Kung hindi, aasa ang sistema sa CPU, at ang ilang opsyon tulad ng HDR ay hindi lilitaw sa mga setting ng player o website.

Kahit na pinagana ang acceleration, kung ang graphics hardware ay hindi itinuturing na sapat na ligtas o tugma, maaaring awtomatikong bumalik sa pag-render ng softwarena nakakaapekto sa pagkalikido at pagkonsumo ng baterya sa mga laptop.

Ang ilang mga deployment ay nagpakita ng mga problema sa TCP fragmentation at mga conflict sa Mga VPN na tila hindi kailanman gumagana kapag dumadaan ang trapiko sa container. Sa mga kasong iyon, karaniwang kinakailangang suriin ang mga patakaran ng network, MTU, configuration ng proxy, at kung minsan ay isaayos kung paano nagsasama ang MDAG sa iba pang naka-install nang mga bahagi ng seguridad.

Suporta, pagsusuri at pag-uulat ng insidente

Kapag, sa kabila ng lahat, may mga problemang lumitaw na hindi kayang lutasin sa loob ng kumpanya, inirerekomenda ng Microsoft magbukas ng isang partikular na tiket ng suporta para sa Microsoft Defender Application Guard. Mahalagang mangalap ng impormasyon nang maaga mula sa pahina ng mga diagnostic, mga kaugnay na log ng kaganapan, at mga detalye ng configuration na inilapat sa device.

Ang paggamit ng pahina edge://application-guard-internals, kasama ang mga pinaganang kaganapan sa pag-audit at ang paglabas ng mga kagamitan tulad ng wdagtool.exeKaraniwan itong nagbibigay sa support team ng sapat na datos upang mahanap ang pinagmumulan ng problema, ito man ay isang patakaran na hindi malinaw ang pagkakatukoy, isang salungatan sa ibang produkto ng seguridad, o isang limitasyon sa hardware.

Bukod pa sa lahat ng ito, maaaring i-customize ng mga user ang mga mensahe ng error at impormasyon sa pakikipag-ugnayan sa kahon ng diyalogo ng teknikal na suporta ng Windows Security, na ginagawang mas madali para sa kanila na mahanap ang tamang solusyon. Huwag kang mabahala sa hindi mo alam kung sino ang babalingan kapag ang lalagyan ay hindi gumana o hindi bumukas gaya ng inaasahan.

Sa pangkalahatan, ang Microsoft Defender Application Guard ay nag-aalok ng isang malakas na kumbinasyon ng paghihiwalay ng hardware, detalyadong kontrol sa patakaran, at mga tool sa pag-diagnose na, kapag ginamit nang maayos, ay maaaring makabuluhang bawasan ang panganib na nauugnay sa pag-browse sa mga hindi mapagkakatiwalaang site o pagbubukas ng mga dokumento mula sa mga kahina-hinalang mapagkukunan nang hindi nakompromiso ang pang-araw-araw na produktibidad.