Microsoft Defender Uygulama Koruması nasıl kullanılır (adım adım)

Hassas bilgilerle çalışıyorsanız veya her gün şüpheli web sitelerinde geziniyorsanız, Microsoft Defender Uygulama Koruması (MDAG) Bu, Windows'un korku ile felaket arasındaki farkı yaratabilecek özelliklerinden biri. Sadece bir başka antivirüs programı değil, sisteminizi ve verilerinizi tehditlerden koruyan ekstra bir katman.

Aşağıdaki satırlarda açıkça göreceksiniz. Application Guard tam olarak nedir, iç işleyişi nasıldır, hangi cihazlarda kullanılabilir ve nasıl yapılandırılır? Hem basit hem de kurumsal kurulumları ele alacağız. Ayrıca gereksinimleri, grup politikalarını, sık karşılaşılan hataları ve bu teknolojiyle çalışmaya başlarken ortaya çıkan çeşitli sık sorulan soruları da inceleyeceğiz.

Microsoft Defender Uygulama Koruması nedir ve nasıl çalışır?

Microsoft Defender Uygulama Koruması, gelişmiş bir güvenlik özelliğidir ve şu amaçlarla tasarlanmıştır: Güvenilmeyen web sitelerini ve belgeleri sanal bir konteynerde izole edin. Hyper-V tabanlıdır. Her saldırıyı tek tek engellemeye çalışmak yerine, şüpheli materyali yerleştirdiği küçük bir "kullanılıp atılan bilgisayar" oluşturur.

Bu konteyner şu ortamda çalışıyor: ana işletim sisteminden ayrıKendi özel, güvenli Windows kurulumuna sahip ve dosyalara, kimlik bilgilerine veya şirket içi kaynaklara doğrudan erişimi olmayan bir ortamda çalışır. Kötü amaçlı bir site tarayıcı veya Office güvenlik açığından yararlanmayı başarsa bile, hasar bu izole edilmiş ortamın içinde kalır.

Microsoft Edge söz konusu olduğunda, Uygulama Koruması şunları sağlar: güvenilir olarak işaretlenmemiş herhangi bir alan adı Bu, belirtilen kapsayıcı içinde otomatik olarak açılır. Office için de aynı şey geçerlidir; kuruluşun güvenli bulmadığı kaynaklardan gelen Word, Excel ve PowerPoint belgeleri için de aynı işlem yapılır.

Buradaki önemli nokta, bu izolasyonun donanımsal bir izolasyon olmasıdır: Hyper-V bağımsız bir ortam oluşturur. Bu, saldırganın izole edilmiş oturumdan gerçek sisteme geçme, şirket verilerini çalma veya saklanan kimlik bilgilerini kötüye kullanma olasılığını önemli ölçüde azaltır.

Ayrıca, konteyner anonim bir ortam olarak ele alınır: Kullanıcının çerezlerini, şifrelerini veya oturumlarını devralmaz.Bu durum, kimlik avı veya oturum hırsızlığı tekniklerine başvuran saldırganlar için hayatı çok daha zorlaştırıyor.

Uygulama Koruması'nın kullanılması önerilen cihaz türleri

Application Guard teknik olarak çeşitli senaryolarda çalışabilse de, özellikle şu amaçlar için tasarlanmıştır: kurumsal ortamlar ve yönetilen cihazlarMicrosoft, MDAG'ın en mantıklı olduğu çeşitli ekipman türlerini birbirinden ayırıyor.

Her şeyden önce var etki alanına bağlı kurumsal masaüstüBunlar genellikle Configuration Manager veya Intune ile yönetilir. Standart kullanıcılara sahip ve kablolu kurumsal ağa bağlı geleneksel ofis bilgisayarlarıdır ve risk esas olarak günlük internet kullanımından kaynaklanır.

O zaman elimizde kurumsal dizüstü bilgisayarlarBunlar da etki alanına bağlı ve merkezi olarak yönetilen cihazlardır, ancak iç veya dış Wi-Fi ağlarına bağlanırlar. Burada risk artar çünkü cihaz kontrollü ağdan ayrılır ve otellerde, havaalanlarında veya ev ağlarında Wi-Fi'ye maruz kalır.

Diğer bir grup ise BYOD (Kendi Cihazını Getir) dizüstü bilgisayarlarıdır. Şirkete ait olmayan ancak şirket tarafından yönetilen kişisel ekipman Intune gibi çözümler aracılığıyla. Bunlar genellikle yerel yönetici ayrıcalıklarına sahip kullanıcıların elindedir, bu da saldırı yüzeyini artırır ve kurumsal kaynaklara erişim için izolasyonu kullanmayı daha cazip hale getirir.

Son olarak, var tamamen kontrolsüz kişisel cihazlarBunlar herhangi bir etki alanına ait olmayan ve kullanıcının mutlak kontrol sahibi olduğu web siteleridir. Bu durumlarda, potansiyel olarak tehlikeli web sitelerini ziyaret ederken ek bir koruma katmanı sağlamak için Uygulama Koruması (özellikle Edge için) bağımsız modda kullanılabilir.

Gerekli Windows Sürümleri ve Lisanslama

Herhangi bir yapılandırmaya başlamadan önce, bu konuda net olmak önemlidir. Microsoft Defender Uygulama Koruması'nı hangi Windows sürümlerinde kullanabilirsiniz? ve hangi lisans haklarıyla.

Için Edge bağımsız modu (Yani, Application Guard'ı yalnızca gelişmiş kurumsal yönetim olmadan bir tarayıcı koruma alanı olarak kullanmak), Windows'ta desteklenmektedir:

• Windows Pro
• Windows Enterprise
• Windows Pro Eğitim / SE
• Windows Eğitim

Bu senaryoda, aşağıdaki gibi lisanslara sahipseniz MDAG lisans hakları verilir: Windows Pro / Pro Education / SE, Windows Enterprise E3 veya E5 ve Windows Education A3 veya A5Pratikte, Windows Pro yüklü birçok profesyonel bilgisayarda bu özelliği temel kullanım için zaten etkinleştirebilirsiniz.

Için uç işletme modu ve kurumsal yönetim (İleriye dönük talimatlar ve daha karmaşık senaryoların devreye girdiği durumlarda) destek azalır:

• Windows Enterprise y Windows Eğitim Bu modda Application Guard desteklenmektedir.
• Windows Pro ve Windows Pro Education/SE yok hayır Bu kurumsal sürüm için destekleri var.

Lisanslar konusuna gelince, bu daha gelişmiş kurumsal kullanım şunları gerektirir: Windows Enterprise E3/E5 veya Windows Education A3/A5Eğer kuruluşunuz yalnızca Pro sürümünü kullanıyor ve Enterprise aboneliği yoksa, Edge bağımsız moduyla sınırlı kalacaksınız.

Sistem ön koşulları ve uyumluluk

Windows sürümüne ek olarak, Application Guard'ın istikrarlı bir şekilde çalışması için aşağıdaki şartları da karşılamanız gerekir. bir dizi teknik gereksinim Sürüm, donanım ve sanallaştırma desteğiyle ilgili.

İşletim sistemiyle ilgili olarak, kullanılması zorunludur. Windows 10 1809 veya üzeri (Ekim 2018 Güncellemesi) veya Windows 11'in eşdeğer bir sürümü. Sunucu sürümleri veya önemli ölçüde küçültülmüş varyantlar için tasarlanmamıştır; açıkça istemci bilgisayarları hedeflemektedir.

Donanım düzeyinde, ekipmanın şu özelliklere sahip olması gerekir: donanım tabanlı sanallaştırma etkinleştirildi (Intel VT-x/AMD-V desteği ve SLAT gibi ikinci seviye adres çevirisi), çünkü Hyper-V, yalıtılmış konteyner oluşturmanın temel bileşenidir. Bu katman olmadan, MDAG güvenli ortamını kuramaz.

Sahip olmak da çok önemlidir. uyumlu yönetim mekanizmaları Eğer bunu merkezi olarak kullanacaksanız (örneğin, Microsoft Intune veya Configuration Manager), kurumsal yazılım gereksinimlerinde ayrıntılı olarak belirtildiği gibi. Basit dağıtımlar için, Windows Güvenlik arayüzü yeterli olacaktır.

Son olarak şunu unutmayın Application Guard'ın kullanım dışı bırakılması süreci devam etmektedir. Microsoft Edge kurumsal sürümü için, bağımsız uygulamalarla ilişkili bazı API'lerin artık güncellenmeyeceği belirtildi. Buna rağmen, kısa ve orta vadeli risk kontrolünün gerekli olduğu ortamlarda hala çok yaygın olarak kullanılmaktadır.

Kullanım örneği: güvenlik ve verimlilik arasındaki denge

Siber güvenlikteki klasik sorunlardan biri, doğru dengeyi bulmaktır. Kullanıcıyı engellemek değil, gerçekten korumak.Sadece birkaç "onaylı" web sitesine izin verirseniz riski azaltırsınız, ancak verimliliği öldürürsünüz. Kısıtlamaları gevşetirseniz, maruz kalma düzeyi hızla artar.

Tarayıcı, bunlardan biridir. ana saldırı yüzeyleri Bu işin amacı, bilinmeyen web siteleri, indirmeler, üçüncü taraf komut dosyaları, agresif reklamlar vb. gibi çok çeşitli kaynaklardan gelen güvenilmeyen içerikleri açmaktır. Motoru ne kadar geliştirirseniz geliştirin, her zaman birilerinin istismar etmeye çalışacağı yeni güvenlik açıkları olacaktır.

Bu modelde, yönetici hangi alan adlarını, IP aralıklarını ve bulut kaynaklarını güvenilir olarak kabul ettiğini kesin olarak tanımlar. Listede olmayan her şey otomatik olarak konteynere gider.Orada, kullanıcı bir tarayıcı arızasının iç sistemlerin geri kalanını tehlikeye atacağından korkmadan internette gezinebilir.

Sonuç olarak, çalışan için nispeten esnek bir gezinme imkanı sağlanırken, bazı dezavantajları da bulunmaktadır. sıkı bir şekilde korunan sınır Dış dünyanın güvenilmezliği ile her ne pahasına olursa olsun korunması gereken kurumsal ortam arasındaki fark.

Microsoft Edge'deki Uygulama Koruması'na ilişkin son özellikler ve güncellemeler

Microsoft, Chromium tabanlı Microsoft Edge'in çeşitli sürümlerinde sürekli olarak yeni özellikler ekliyor. Application Guard için özel iyileştirmeler Kullanıcı deneyimini iyileştirmek ve yöneticiye daha fazla kontrol imkanı sağlamak amacıyla.

Önemli yeni özelliklerden biri şudur: konteynerden dosya yüklemelerini engellemeEdge 96'dan beri, kuruluşlar, politika kullanarak kullanıcıların yerel cihazlarından izole bir oturum içindeki bir forma veya web hizmetine belge yüklemelerini engelleyebiliyor. ApplicationGuardUploadBlockingEnabledBu, bilgi sızıntısı riskini azaltır.

Bir diğer çok faydalı iyileştirme ise şudur: pasif modEdge 94'ten beri kullanılabilir. Politika tarafından etkinleştirildiğinde. ApplicationGuardPassiveModeEnabledApplication Guard, site listesinin zorunlu olarak gösterilmesini durdurur ve özellik yüklü kalmasına rağmen kullanıcının Edge'de "normal" şekilde gezinmesine olanak tanır. Bu, trafiği henüz yönlendirmeden teknolojiyi hazır hale getirmenin kullanışlı bir yoludur.

Ayrıca şu olasılık da eklendi: Ana bilgisayarın favorilerini kapsayıcıyla senkronize etBu, iki tamamen bağlantısız internet deneyiminden kaçınmak için birçok müşterinin talep ettiği bir şeydi. Edge 91'den beri bu politika uygulanmaktadır. ApplicationGuardFavoritesSyncEnabled Bu, yeni işaretleyicilerin izole edilmiş ortamda eşit şekilde ortaya çıkmasına olanak tanır.

Ağ iletişimi alanında Edge 91, aşağıdaki konularda destek sunmaktadır: Konteynerden çıkan trafiği etiketleyin. yönerge sayesinde ApplicationGuardTrafficIdentificationEnabledBu, şirketlerin söz konusu trafiği bir proxy üzerinden tanımlayıp filtrelemesine olanak tanır; örneğin, MDAG üzerinden gezinirken erişimi çok sınırlı sayıda siteyle sınırlandırabilirler.

Çift proxy, uzantılar ve diğer gelişmiş senaryolar

Bazı kuruluşlar, daha karmaşık dağıtımlarda ihtiyaç duydukları durumlarda Application Guard'ı kullanırlar. konteyner trafiğini yakından izlemek ve tarayıcının bu izole ortamdaki yetenekleri.

Bu durumlar için Edge'in desteği mevcuttur. çift ​​proxy Kararlı sürüm 84'ten itibaren, yönerge aracılığıyla yapılandırılabilir. ApplicationGuardContainerProxyBuradaki fikir, konteynerden kaynaklanan trafiğin, ana bilgisayar tarafından kullanılan proxy'den farklı, özel bir proxy üzerinden yönlendirilmesidir; bu da bağımsız kuralların uygulanmasını ve daha sıkı denetim yapılmasını kolaylaştırır.

Müşterilerden gelen bir diğer tekrarlayan talep ise şu olasılıktı: kapsayıcı içinde uzantıları kullanınEdge 81'den beri bu mümkün; bu nedenle, tanımlanmış politikalara uydukları sürece reklam engelleyiciler, şirket içi uzantılar veya diğer araçlar çalıştırılabilir. Bunun için aşağıdakilerin belirtilmesi gereklidir: updateURL Ağ izolasyon politikalarındaki uzantının, Application Guard'dan erişilebilen tarafsız bir kaynak olarak kabul edilmesi sağlanır.

Kabul edilen senaryolar şunlardır: ana bilgisayara eklentilerin zorunlu kurulumu Bu uzantılar daha sonra konteynerde görünür ve belirli uzantıların kaldırılmasına veya güvenlik nedenleriyle istenmeyen diğerlerinin engellenmesine olanak tanır. Ancak bu, yerel mesaj işleme bileşenlerine dayanan uzantılar için geçerli değildir. Uyumlu değiller MDAG bünyesinde.

Yapılandırma veya davranışsal sorunların teşhisine yardımcı olmak için, özel teşhis sayfası en edge://application-guard-internalsBuradan, diğer şeylerin yanı sıra, belirli bir URL'nin kullanıcıya uygulanan politikalara göre güvenilir olup olmadığını kontrol edebilirsiniz.

Son olarak, güncellemelerle ilgili olarak, yeni Microsoft Edge şunları sunacak: Ayrıca, konteyner içinde kendini günceller.Ana tarayıcıyla aynı kanalı ve sürümü kullanır. Edge'in eski sürümünde olduğu gibi işletim sisteminin güncelleme döngüsüne bağlı değildir, bu da bakımı büyük ölçüde kolaylaştırır.

Windows'ta Microsoft Defender Uygulama Koruması nasıl etkinleştirilir?

Eğer uyumlu bir cihazda çalıştırmak istiyorsanız, ilk adım şudur: Windows özelliğini etkinleştirin Karşılıklı. Süreç, temel düzeyde, oldukça basittir.

En hızlı yol, Çalıştır iletişim kutusunu şu komutla açmaktır: Win + R, yazmak appwiz.cpl Enter tuşuna basarak doğrudan "Programlar ve Özellikler" paneline gidebilirsiniz. Orada, sol tarafta, "Windows özelliklerini aç veya kapat" bağlantısını bulacaksınız.

Mevcut bileşenler listesinde, ilgili girişi bulmanız gerekecek. “Microsoft Defender Uygulama Koruması” ve seçin. Kabul ettiğinizde, Windows gerekli ikili dosyaları indirecek veya etkinleştirecek ve değişikliklerin uygulanması için bilgisayarınızı yeniden başlatmanızı isteyecektir.

Yeniden başlatmanın ardından, Edge'in doğru sürümlerine sahip uyumlu cihazlarda şunları yapabilmelisiniz: Yeni pencereler veya ayrı sekmeler açın. Tarayıcı seçenekleri aracılığıyla veya yönetilen ortamlarda, güvenilmeyen siteler listesinin yapılandırmasına göre otomatik olarak.

"Yeni Uygulama Koruması penceresi" gibi seçenekler görmüyorsanız veya kapsayıcı açılmıyorsa, bunun nedeni şu olabilir: Takip ettiğiniz talimatlar güncel olmayabilir.Bunun nedeni, kullandığınız Windows sürümünün desteklenmemesi, Hyper-V'nin etkinleştirilmemiş olması veya kuruluşunuzun politikasının bu özelliği devre dışı bırakmış olması olabilir.

Grup İlkesi ile Uygulama Korumasını Yapılandırma

İş ortamlarında, her bir ekipman manuel olarak yapılandırılmaz; bunun yerine önceden tanımlanmış bir sistem kullanılır. grup politikası (GPO) Veya Intune'daki yapılandırma profilleri aracılığıyla politikayı merkezi olarak tanımlayabilirsiniz. Application Guard iki ana yapılandırma bloğuna dayanır: ağ izolasyonu ve uygulamaya özgü parametreler.

Ağ izolasyon ayarları şu konumda yer almaktadır: Computer Configuration\Administrative Templates\Network\Network IsolationÖrneğin, aşağıdakiler burada tanımlanmıştır: Şirket alan adları olarak kabul edilen dahili ağ aralıkları ve alan adlarıBu da güvenilir olanla çöpe atılması gereken arasındaki sınırı belirleyecektir.

Başlıca politikalardan biri şudur: “Uygulamalar için özel ağ aralıkları”Bu bölüm, kurumsal ağa ait IP aralıklarını virgülle ayrılmış bir liste halinde belirtir. Bu aralıklardaki uç noktalar normal Edge ortamında açılacak ve Application Guard ortamından erişilemeyecektir.

Bir diğer önemli politika ise şudur: “Bulut tabanlı kurumsal kaynak alanları”Bu, karakterle ayrılmış bir liste kullanır. | Kuruluşun dahili olarak ele alınması gereken SaaS alan adlarını ve bulut hizmetlerini belirtmek için kullanılır. Bunlar ayrıca kapsayıcının dışında, Edge'de de işlenecektir.

Son olarak, yönerge "Kişisel ve iş amaçlı olarak sınıflandırılan alanlar" Bu özellik, hem kişisel hem de ticari amaçlarla kullanılabilecek alan adları tanımlamanıza olanak tanır. Bu sitelere, duruma göre hem normal Edge ortamından hem de Application Guard'dan erişilebilecektir.

Ağ izolasyon ayarlarında joker karakterlerin kullanımı

Her alt alan adını tek tek yazmaktan kaçınmak için, ağ izolasyon listeleri destek sağlar. alan adlarında joker karakterlerBu, güvenilir kabul edilen şeylerin daha iyi kontrol edilmesini sağlar.

Eğer basitçe tanımlanırsa contoso.comTarayıcı yalnızca o belirli değere güvenecek, onu içeren diğer alan adlarına güvenmeyecektir. Başka bir deyişle, yalnızca o somut değeri bir işletmeye aitmiş gibi ele alacaktır. tam kök ve değil www.contoso.com ne de varyantları.

Belirtilmişse www.contoso.com, yani sadece o belirli sunucu Güvenilir olarak kabul edilecektir. Diğer alt alan adları gibi, shop.contoso.com Onlar dışlanırlar ve çöpe atılabilirler.

Bu formatla .contoso.com (önceki bir nokta) şunu gösterir ki "contoso.com" ile biten tüm alan adları güvenilirdir.. Bu şunları içerir: contoso.com GP, GP www.contoso.com hatta zincirler gibi spearphishingcontoso.comBu nedenle dikkatli kullanılmalıdır.

Son olarak, eğer kullanılırsa ..contoso.com (Başlangıçtaki iki nokta üst üste), etki alanının solunda yer alan hiyerarşinin tüm seviyelerine güvenilir, örneğin shop.contoso.com o us.shop.contoso.comAncak “contoso.com” kök dizinine güvenilmiyor. Kendi başına bir anlam ifade ediyor. Kurumsal kaynak olarak kabul edilen şeyleri kontrol etmenin daha incelikli bir yolu.

Ana Uygulama Korumasına özgü yönergeler

İkinci önemli ayarlar kümesi şurada yer almaktadır: Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application GuardÜlke buradan yönetiliyor. ayrıntılı konteyner davranışı ve kullanıcının bunun içinde neler yapabileceği veya yapamayacağı.

En önemli politikalardan biri şudur: “Pano ayarları”Bu ayar, ana bilgisayar ile Application Guard arasında metin veya resim kopyalama ve yapıştırma işlemlerinin mümkün olup olmadığını kontrol eder. Yönetilen modda, yalnızca kapsayıcıdan dışarıya kopyalamaya, yalnızca ters yönde kopyalamaya izin verebilir veya panoyu tamamen devre dışı bırakabilirsiniz.

Benzer şekilde, yönerge “Yazdırma ayarları” Bu ayar, kapsayıcıdan içeriğin yazdırılıp yazdırılamayacağına ve hangi formatlarda yazdırılabileceğine karar verir. PDF, XPS, bağlı yerel yazıcılar veya önceden tanımlanmış ağ yazıcılarına yazdırmayı etkinleştirebilir veya MDAG içindeki tüm yazdırma özelliklerini engelleyebilirsiniz.

Seçimi "Azimliliği takdir edin." Bu ayar, kullanıcı verilerinin (indirilen dosyalar, çerezler, favoriler vb.) Application Guard oturumları arasında saklanıp saklanmayacağını veya ortam her kapatıldığında silinip silinmeyeceğini belirler. Yönetilen modda bu özelliği etkinleştirmek, kapsayıcının bu bilgileri gelecekteki oturumlar için saklamasına olanak tanır; devre dışı bırakmak ise her başlatmada neredeyse tamamen temiz bir ortam sağlar.

Daha sonra kalıcı veri depolamayı durdurmaya karar verirseniz, bu aracı kullanabilirsiniz. wdagtool.exe parametrelerle cleanup o cleanup RESET_PERSISTENCE_LAYER Konteyneri sıfırlamak ve çalışan tarafından oluşturulan bilgileri silmek.

Bir diğer önemli politika ise şudur: “Uygulama Korumasını yönetilen modda etkinleştirin”Bu bölüm, özelliğin Microsoft Edge, Microsoft Office veya her ikisi için de geçerli olup olmadığını belirtir. Cihaz ön koşulları karşılamıyorsa veya ağ izolasyonu yapılandırılmışsa (bazı yeni Windows sürümlerinde belirli KB güncellemeleri yüklenmişse Edge için artık gerekli olmadığı durumlar hariç) bu politika yürürlüğe girmez.

Dosya paylaşımı, sertifikalar, kamera ve denetim

Yukarıda belirtilen politikalara ek olarak, etkileyen başka yönergeler de bulunmaktadır. konteynerin ana sistemle nasıl ilişkili olduğu ve çevre birimleriyle birlikte.

Siyaset “Dosyaların ana işletim sistemine indirilmesine izin ver” Bu özellik, kullanıcının izole ortamdan indirilen dosyaları ana bilgisayara kaydedip kaydedemeyeceğine karar verir. Etkinleştirildiğinde, her iki ortam arasında paylaşılan bir kaynak oluşturur ve bu da ana bilgisayardan konteynere belirli yüklemelere olanak tanır; bu çok kullanışlıdır, ancak güvenlik açısından değerlendirilmelidir.

Konfigürasyonu "Donanım hızlandırmalı işlemeyi etkinleştir" Özellikle video ve ağır içerik oynatırken grafik performansını artırmak için vGPU aracılığıyla GPU kullanımını etkinleştirir. Uyumlu donanım yoksa, Uygulama Koruması CPU işlemeye geri döner. Ancak, güvenilir olmayan sürücülere sahip cihazlarda bu seçeneğin etkinleştirilmesi, ana bilgisayar için riski artırabilir.

Ayrıca bir yönerge de bulunmaktadır. Kameraya ve mikrofona erişime izin ver Konteyner içerisinde yer alır. Etkinleştirilmesi, MDAG altında çalışan uygulamaların bu cihazları kullanmasına olanak tanıyarak, izole ortamlardan görüntülü görüşmeler veya konferanslar yapılmasını kolaylaştırır; ancak konteynerin güvenliğinin ihlal edilmesi durumunda standart izinlerin atlanmasına da olanak tanır.

Başka bir politika ise Uygulama Korumasına izin verir. belirli ana bilgisayar kök sertifika yetkililerini kullanınBu işlem, parmak izi belirtilen sertifikaları konteynere aktarır. Bu devre dışı bırakılırsa, konteyner bu sertifikaları devralmaz; bu da, özel yetkililere dayanan bazı dahili hizmetlere bağlantıları engelleyebilir.

Son olarak, seçeneği “Denetim olaylarına izin ver” Bu, kapsayıcıda oluşturulan sistem olaylarının günlüğe kaydedilmesine ve cihaz denetim politikalarının devralınmasına neden olur; böylece güvenlik ekibi, ana bilgisayar günlüklerinden Application Guard içinde neler olup bittiğini takip edebilir.

Destek ve özelleştirme çerçeveleriyle entegrasyon

Application Guard'da bir sorun oluştuğunda, kullanıcı bir hata mesajı görür. hata iletişim kutusu Varsayılan olarak, bu yalnızca sorunun açıklamasını ve Microsoft'a Geri Bildirim Merkezi aracılığıyla bildirmek için bir düğmeyi içerir. Ancak, bu deneyim dahili desteği kolaylaştırmak için özelleştirilebilir.

Güzergah üzerinde Administrative Templates\Windows Components\Windows Security\Enterprise Customization Yöneticinin kullanabileceği bir politika mevcuttur. Destek hizmeti iletişim bilgilerini ekleyinDahili bağlantılar veya kısa talimatlar. Bu sayede, bir çalışan hatayı gördüğünde hemen kiminle iletişime geçmesi gerektiğini veya hangi adımları atması gerektiğini bilecektir.

Application Guard ile ilgili sıkça sorulan sorular ve常見 sorunlar

Application Guard kullanımı, oldukça fazla sayıda hata mesajı üretir. tekrarlayan sorular Özellikle performans, uyumluluk ve ağ davranışı açısından gerçek dünya uygulamalarında.

İlk sorulardan biri, bunun etkinleştirilip etkinleştirilemeyeceğidir. yalnızca 4 GB RAM'e sahip cihazlarBazı senaryolarda işe yarayabileceği durumlar olsa da, pratikte performans genellikle önemli ölçüde düşer, çünkü konteyner pratikte paralel çalışan başka bir işletim sistemi gibidir.

Bir diğer hassas nokta ise entegrasyondur. ağ proxy'leri ve PAC komut dosyalarıPAC dosyasına erişim başarısız olduğunda "MDAG Tarayıcısından harici URL'ler çözümlenemiyor: ERR_CONNECTION_REFUSED" veya "ERR_NAME_NOT_RESOLVED" gibi mesajlar genellikle kapsayıcı, proxy ve izolasyon kuralları arasındaki yapılandırma sorunlarını gösterir.

Ayrıca şunlarla ilgili sorunlar da var: IME'ler (giriş yöntemi düzenleyicileri) desteklenmiyor. Windows'un bazı sürümlerinde, disk şifreleme sürücüleri veya aygıt denetim çözümleriyle yaşanan çakışmalar, kapsayıcının yüklenmesinin tamamlanmasını engeller.

Bazı yöneticiler şu gibi hatalarla karşılaşırlar: “SANAL DİSK SINIRLAMASI HATA” Sanal disklerle ilgili sınırlamalar varsa veya Hyper-V'yi ve dolayısıyla MDAG'ı dolaylı olarak etkileyen hiper iş parçacığı gibi teknolojilerin devre dışı bırakılmasında başarısızlıklar meydana gelirse.

Ayrıca şu konularda da sorular gündeme geliyor: yalnızca belirli alt alan adlarına güveninÖrneğin, alan adı listesi boyut sınırları veya kapsayıcıda açılan bir siteye gidildiğinde ana bilgisayar sekmesinin otomatik olarak kapanması davranışının nasıl devre dışı bırakılacağı gibi konular.

Uygulama Koruması, IE modu, Chrome ve Office

Ortamlarda Microsoft Edge'de IE moduUygulama Koruması desteklenmektedir, ancak Microsoft bu modda özelliğin yaygın olarak kullanılmasını beklemiyor. IE modunun [belirli uygulamalar/kullanımlar] için saklanması önerilir. güvenilir dahili siteler MDAG'ı yalnızca harici ve güvenilmez olarak kabul edilen web siteleri için kullanın.

emin olmak önemlidir IE modunda yapılandırılmış tüm sitelerAğ ve ona bağlı IP adresleri, güvenilir kaynaklar olarak ağ izolasyon politikalarına da dahil edilmelidir. Aksi takdirde, her iki işlevi birleştirirken beklenmedik davranışlar ortaya çıkabilir.

Chrome ile ilgili olarak, birçok kullanıcı bunun gerekli olup olmadığını soruyor. Application Guard uzantısını yükleyin.Cevap hayır: Bu işlevsellik Microsoft Edge'e yerleşik olarak entegre edilmiştir ve eski Chrome uzantısı Edge ile çalışırken desteklenen bir yapılandırma değildir.

Office belgeleri için Application Guard şunları sağlar: Word, Excel ve PowerPoint dosyalarını ayrı bir kapsayıcıda açın. Dosyalar güvenilmez olarak değerlendirildiğinde, kötü amaçlı makroların veya diğer saldırı vektörlerinin sunucuya ulaşması engellenir. Bu koruma, diğer Defender özellikleriyle ve dosya güven politikalarıyla birleştirilebilir.

Hatta, kullanıcıların Application Guard'da açılan belirli dosyalara "güvenmelerini" sağlayan bir grup ilkesi seçeneği bile var; böylece bu dosyalar güvenli olarak kabul ediliyor ve kapsayıcıdan çıkıyorlar. Bu özelliğin, izolasyonun faydasını kaybetmemek için dikkatli bir şekilde yönetilmesi gerekiyor.

İndirmeler, pano, favoriler ve uzantılar: kullanıcı deneyimi

Kullanıcı açısından bakıldığında, en pratik sorulardan bazıları şunlarla ilgilidir: Konteynerin içinde neler yapılabilir ve neler yapılamaz?Özellikle indirmeler, kopyala/yapıştır ve uzantılar söz konusu olduğunda.

Windows 10 Enterprise 1803 ve sonraki sürümlerinde (sürüme bağlı olarak bazı farklılıklar olsa da) bu mümkündür. Konteynerden sunucuya belge indirilmesine izin ver. Bu seçenek önceki sürümlerde veya Pro gibi bazı sürümlerin yapılarında mevcut değildi, ancak PDF veya XPS'ye yazdırmak ve sonucu ana cihaza kaydetmek mümkündü.

Not defteriyle ilgili olarak, şirket politikası buna izin verebilir. BMP formatındaki resimler ve metinler kopyalandı. İzole edilmiş ortama giriş ve çıkış. Çalışanlar içerik kopyalayamadıklarından şikayet ederlerse, bu politikaların genellikle gözden geçirilmesi gerekecektir.

Birçok kullanıcı da nedenini soruyor. Favorilerini veya uzantılarını görmüyorlar. Edge oturumunda Application Guard altında bu durum genellikle yer imi senkronizasyonunun devre dışı bırakılmasından veya MDAG'deki uzantı politikasının etkinleştirilmemesinden kaynaklanır. Bu seçenekler ayarlandıktan sonra, kapsayıcıdaki tarayıcı, daha önce belirtilen sınırlamalarla birlikte yer imlerini ve belirli uzantıları devralabilir.

Hatta bazı durumlarda bir eklenti görünür ancak "çalışmaz". Eğer yerel mesaj işleme bileşenlerine dayanıyorsa, bu işlevsellik kapsayıcı içinde mevcut olmayacak ve eklenti sınırlı veya tamamen işlevsiz bir davranış sergileyecektir.

Grafik performansı, HDR ve donanım hızlandırma

Sıkça gündeme gelen bir diğer konu ise şudur: video oynatma ve HDR gibi gelişmiş özellikler Application Guard içerisinde. Hyper-V üzerinde çalışırken, kapsayıcı her zaman GPU özelliklerine doğrudan erişemez.

İzole bir ortamda HDR oynatımının doğru şekilde çalışması için aşağıdaki şartların sağlanması gerekmektedir: vGPU donanım hızlandırması etkinleştirildi. Hızlandırılmış işleme politikası sayesinde. Aksi takdirde, sistem işlemciye güvenecek ve HDR gibi bazı seçenekler oynatıcıda veya web sitesi ayarlarında görünmeyecektir.

Hızlandırma etkinleştirilmiş olsa bile, grafik donanımı yeterince güvenli veya uyumlu olarak değerlendirilmezse, Uygulama Koruması devreye girebilir. otomatik olarak yazılım tabanlı işleme geri dönBu durum, dizüstü bilgisayarlarda akışkanlığı ve pil tüketimini etkiler.

Bazı kurulumlarda TCP parçalanması ve çakışmalarla ilgili sorunlar görüldü. Bir türlü çalışmaya başlayamayan VPN'ler Trafik konteynerden geçtiğinde. Bu durumlarda genellikle ağ politikalarının, MTU'nun, proxy yapılandırmasının gözden geçirilmesi ve bazen MDAG'ın halihazırda kurulu diğer güvenlik bileşenleriyle entegrasyonunun ayarlanması gerekir.

Destek, teşhis ve olay raporlaması

Her şeye rağmen şirket içinde çözülemeyen sorunlar ortaya çıktığında, Microsoft şunları önerir: Belirli bir destek talebi açın Microsoft Defender Uygulama Koruması için. Önceden tanılama sayfasından, ilgili olay günlüklerinden ve cihaza uygulanan yapılandırma ayrıntılarından bilgi toplamak önemlidir.

Sayfanın kullanımı edge://application-guard-internalsile birleştiğinde etkinleştirilmiş denetim olayları ve aşağıdaki gibi araçların piyasaya sürülmesi wdagtool.exeBu genellikle destek ekibine sorunun kaynağını bulmak için yeterli veriyi sağlar; bu sorun kötü tanımlanmış bir politika, başka bir güvenlik ürünüyle çakışma veya donanım sınırlaması olabilir.

Tüm bunların yanı sıra, kullanıcılar Windows Güvenlik teknik destek iletişim kutusunda hata mesajlarını ve iletişim bilgilerini özelleştirerek doğru çözümü bulmalarını kolaylaştırabilirler. Kime başvuracağınızı bilmeden çaresiz kalmayın. Konteyner başlatılamadığında veya beklendiği gibi açılmadığında.

Genel olarak, Microsoft Defender Application Guard, donanım izolasyonu, ayrıntılı politika kontrolü ve teşhis araçlarının güçlü bir kombinasyonunu sunar; bu özellikler doğru kullanıldığında, günlük verimliliği tehlikeye atmadan güvenilmeyen sitelere göz atma veya şüpheli kaynaklardan belge açma ile ilişkili riski önemli ölçüde azaltabilir.