Покрокове використання Microsoft Defender Application Guard

Якщо ви працюєте з конфіденційною інформацією або щодня переглядаєте підозрілі вебсайти, Захисник програм Microsoft Defender (MDAG) Це одна з тих функцій Windows, яка може відіграти важливу роль від катастрофи. Це не просто чергова антивірусна програма, а додатковий шар захисту, який ізолює загрози від вашої системи та даних.

У наступних рядках ви чітко побачите Що саме таке Application Guard, як він працює внутрішньо, на яких пристроях його можна використовувати та як його налаштувати? Ми розглянемо як прості, так і корпоративні розгортання. Ми також розглянемо вимоги, групові політики, поширені помилки та різні поширені запитання, що виникають на початку роботи з цією технологією.

Що таке Захисник програм Microsoft і як він працює?

Захисник програм Microsoft Defender — це розширена функція безпеки, розроблена для Ізоляція ненадійних веб-сайтів і документів у віртуальному контейнері Базується на Hyper-V. Замість того, щоб намагатися блокувати кожну атаку одну за одною, він створює невеликий «одноразовий комп’ютер», куди й розміщує підозрілий матеріал.

Цей контейнер працює в окремо від основної операційної системиз власним захищеним екземпляром Windows та без прямого доступу до файлів, облікових даних чи внутрішніх ресурсів компанії. Навіть якщо шкідливому сайту вдасться використати вразливість браузера або Office, шкода залишається в межах цього ізольованого середовища.

У випадку Microsoft Edge, Application Guard гарантує, що будь-який домен, не позначений як надійний Він автоматично відкривається в цьому контейнері. Для Office він робить те саме з документами Word, Excel та PowerPoint, що надходять із джерел, які організація вважає небезпечними.

Ключовим є те, що ця ізоляція є апаратного типу: Hyper-V створює незалежне середовище від хоста, що значно зменшує ймовірність переходу зловмисника з ізольованого сеансу до реальної системи, крадіжки даних компанії або використання збережених облікових даних.

Крім того, контейнер розглядається як анонімне середовище: Він не успадковує файли cookie, паролі чи сесії користувача.Це значно ускладнює життя зловмисникам, які покладаються на методи підміни або крадіжки сеансів.

Рекомендовані типи пристроїв для використання Application Guard

Хоча Application Guard технічно може працювати в різних сценаріях, він спеціально розроблений для корпоративні середовища та керовані пристроїMicrosoft розрізняє кілька типів обладнання, де MDAG має найбільше сенсу.

Перш за все є корпоративний робочий стіл, приєднаний до доменуЗазвичай ними керують за допомогою Configuration Manager або Intune. Це традиційні офісні комп’ютери зі стандартними користувачами, підключені до дротової корпоративної мережі, де ризик переважно пов’язаний із щоденним переглядом Інтернету.

Тоді ми маємо корпоративні ноутбукиЦе також пристрої, приєднані до домену та керовані централізовано, але вони підключаються до внутрішніх або зовнішніх мереж Wi-Fi. Тут ризик зростає, оскільки пристрій залишає контрольовану мережу та піддається впливу Wi-Fi у готелях, аеропортах або домашніх мережах.

Інша група — це ноутбуки BYOD (Bring Your Own Device, або «Принеси свій власний пристрій»). особисте обладнання, яке не належить компанії, але перебуває під її управлінням через такі рішення, як Intune. Зазвичай вони знаходяться в руках користувачів з правами локального адміністратора, що збільшує поверхню для атаки та робить використання ізоляції для доступу до корпоративних ресурсів більш привабливим.

Нарешті, є повністю некеровані персональні пристроїЦе вебсайти, які не належать до жодного домену, і над якими користувач має абсолютний контроль. У таких випадках Application Guard можна використовувати в автономному режимі (особливо для Edge), щоб забезпечити додатковий рівень захисту під час відвідування потенційно небезпечних вебсайтів.

Необхідні випуски та ліцензування Windows

Перш ніж почати щось налаштовувати, важливо чітко це усвідомити. У яких випусках Windows можна використовувати Microsoft Defender Application Guard і з якими ліцензійними правами.

Для Автономний режим Edge (тобто використання Application Guard лише як ізольованого середовища браузера без розширеного корпоративного керування), підтримується у Windows:

• Windows pro
• Windows Enterprise
• Windows Pro Education / SE
• Windows Освіта

У цьому випадку ліцензійні права MDAG надаються, якщо у вас є такі ліцензії, як Windows Pro / Pro Education / SE, Windows Enterprise E3 або E5 та Windows Education A3 або A5На практиці, на багатьох професійних ПК з Windows Pro ви вже можете активувати цю функцію для базового використання.

Для режим периферійного підприємства та корпоративне адміністрування (де застосовуються розширені директиви та складніші сценарії), підтримка зменшується:

• Windows Enterprise y Windows Освіта У цьому режимі підтримується захист програм.
• Windows Pro та Windows Pro Education/SE немає Вони підтримують цей варіант для підприємств.

Щодо ліцензій, це більш розширене корпоративне використання вимагає Windows Enterprise E3/E5 або Windows Education A3/A5Якщо ваша організація використовує лише підписки Pro без підписок Enterprise, ви будете обмежені автономним режимом Edge.

Системні вимоги та сумісність

Окрім версії для Windows, для стабільної роботи Application Guard необхідно відповідати вимогам низка технічних вимог пов'язані з версією, апаратним забезпеченням та підтримкою віртуалізації.

Щодо операційної системи, обов'язково використовувати Windows 10 1809 або пізнішої версії (оновлення за жовтень 2018 р.) або еквівалентну версію Windows 11. Вона не призначена для серверних SKU або сильно зменшених варіантів; вона явно орієнтована на клієнтські комп’ютери.

На апаратному рівні обладнання повинно мати увімкнено апаратну віртуалізацію (Підтримка Intel VT-x/AMD-V та трансляції адрес другого рівня, такої як SLAT), оскільки Hyper-V є ключовим компонентом для створення ізольованого контейнера. Без цього рівня MDAG не зможе налаштувати своє безпечне середовище.

Також важливо мати сумісні механізми адміністрування Якщо ви збираєтеся використовувати його централізовано (наприклад, Microsoft Intune або Configuration Manager), як детально описано у вимогах до корпоративного програмного забезпечення. Для простих розгортань буде достатньо самого інтерфейсу безпеки Windows.

Нарешті, зауважте, що Захист програм перебуває в процесі припинення підтримки. Для Microsoft Edge для бізнесу, а також що деякі API, пов’язані з окремими програмами, більше не оновлюватимуться. Незважаючи на це, він залишається дуже поширеним у середовищах, де потрібне короткострокове та середньострокове стримування ризиків.

Варіант використання: безпека проти продуктивності

Одна з класичних проблем кібербезпеки — це пошук правильного балансу між справді захистити, а не блокувати користувачаЯкщо ви дозволите лише кілька «благословенних» вебсайтів, ви зменшите ризик, але вб'єте продуктивність. Якщо ви послабите обмеження, рівень впливу різко зросте.

Браузер є одним із основні поверхні атаки цієї роботи, оскільки її метою є відкриття ненадійного контенту з найрізноманітніших джерел: невідомих веб-сайтів, завантажень, сторонніх скриптів, агресивної реклами тощо. Як би ви не вдосконалили движок, завжди будуть нові вразливості, які хтось спробує використати.

У цій моделі адміністратор точно визначає, які домени, діапазони IP-адрес та хмарні ресурси він вважає надійними. Все, чого немає в цьому списку, автоматично потрапляє до контейнераТам користувач може переглядати веб-сторінки, не боячись, що збій браузера поставить під загрозу роботу решти внутрішніх систем.

Результатом є відносно гнучка навігація для працівника, але з кордон з посиленою охороною між тим, що є ненадійним зовнішнім світом, і тим, що є корпоративним середовищем, яке необхідно захищати будь-якою ціною.

Останні функції та оновлення Application Guard у Microsoft Edge

У різних версіях Microsoft Edge на базі Chromium компанія Microsoft додавала… Спеціальні покращення для Application Guard з метою покращення взаємодії з користувачем та надання адміністратору більшого контролю.

Одна з важливих нових функцій полягає в тому, блокування завантаження файлів з контейнераПочинаючи з Edge 96, організації змогли заборонити користувачам завантажувати документи з локального пристрою до форми або веб-сервісу в межах ізольованого сеансу, використовуючи політику ApplicationGuardUploadBlockingEnabledЦе зменшує ризик витоку інформації.

Ще одним дуже корисним покращенням є пасивний режим, доступно з Edge 94. Після активації політикою ApplicationGuardPassiveModeEnabledApplication Guard припиняє примусове створення списку сайтів і дозволяє користувачеві переглядати Edge «звичайним чином», навіть якщо функція залишається встановленою. Це зручний спосіб підготувати технологію, не перенаправляючи трафік.

Також була додана можливість синхронізувати обране хоста з контейнеромБагато клієнтів просили саме цього, щоб уникнути двох повністю розрізнених інтерфейсів перегляду веб-сторінок. Починаючи з Edge 91, політика ApplicationGuardFavoritesSyncEnabled Це дозволяє новим маркерам з'являтися однаково в ізольованому середовищі.

У сфері мереж Edge 91 включив підтримку для позначте трафік, що виходить з контейнера завдяки директиві ApplicationGuardTrafficIdentificationEnabledЦе дозволяє компаніям ідентифікувати та фільтрувати цей трафік через проксі-сервер, наприклад, щоб обмежити доступ до дуже невеликої кількості сайтів під час перегляду з MDAG.

Подвійний проксі, розширення та інші розширені сценарії

Деякі організації використовують Application Guard у складніших розгортаннях, де їм потрібно уважно стежити за контейнерним рухом та можливості браузера в цьому ізольованому середовищі.

Для цих випадків Edge має підтримку для подвійний проксі Починаючи зі стабільної версії 84, налаштовується за допомогою директиви ApplicationGuardContainerProxyІдея полягає в тому, що трафік, що походить з контейнера, маршрутизується через певний проксі-сервер, відмінний від того, що використовується хостом, що спрощує застосування незалежних правил та суворішу перевірку.

Ще одним постійним запитом від клієнтів була можливість використовувати розширення в контейнеріПочинаючи з Edge 81, це стало можливим, тому блокувальники реклами, внутрішні корпоративні розширення або інші інструменти можна запускати, якщо вони відповідають визначеним політикам. Необхідно оголосити updateURL розширення в політиках ізоляції мережі, щоб воно вважалося нейтральним ресурсом, доступним з Application Guard.

Прийняті сценарії включають примусове встановлення розширень на хості Ці розширення потім відображаються в контейнері, що дозволяє видаляти певні розширення або блокувати інші, які вважаються небажаними з міркувань безпеки. Однак це не стосується розширень, які покладаються на власні компоненти обробки повідомлень. Вони не сумісні в рамках MDAG.

Щоб допомогти діагностувати проблеми конфігурації або поведінки, a спеціальна діагностична сторінка en edge://application-guard-internalsЗвідти ви можете перевірити, серед іншого, чи вважається певна URL-адреса надійною, чи ні, відповідно до політик, що фактично застосовуються до користувача.

Нарешті, щодо оновлень, новий Microsoft Edge буде Він також оновлюється всередині контейнераВін використовує той самий канал і версію, що й браузер хоста. Він більше не залежить від циклу оновлень операційної системи, як це було у випадку зі старою версією Edge, що значно спрощує обслуговування.

Як увімкнути захист програм Microsoft Defender у Windows

Якщо ви хочете запустити його на сумісному пристрої, перший крок — активувати функцію Windows відповідно. Процес, на базовому рівні, досить простий.

Найшвидший спосіб – відкрити діалогове вікно «Виконати» за допомогою Win + R, писати appwiz.cpl і натисніть Enter, щоб перейти безпосередньо до панелі «Програми та засоби». Звідти, ліворуч, ви знайдете посилання «Увімкнення або вимкнення компонентів Windows».

У списку доступних компонентів вам потрібно буде знайти запис «Захисник програм Microsoft Defender» і виберіть його. Після прийняття Windows завантажить або ввімкне необхідні бінарні файли та запропонує вам перезавантажити комп’ютер, щоб застосувати зміни.

Після перезавантаження на сумісних пристроях із правильними версіями Edge ви зможете Відкривати нові вікна або окремі вкладки через параметри браузера або, в керованих середовищах, автоматично відповідно до конфігурації списку ненадійних сайтів.

Якщо ви не бачите таких опцій, як «Нове вікно Application Guard», або контейнер не відкривається, можливо, що Інструкції, яких ви дотримуєтесь, можуть бути застарілими.Можливо, ваша версія Windows не підтримується, у вас не ввімкнено Hyper-V або цю функцію вимкнено політикою вашої організації.

Налаштування Application Guard за допомогою групової політики

У бізнес-середовищі кожен елемент обладнання не налаштовується вручну; натомість використовується попередньо визначена система. групова політика (GPO) або профілі конфігурації в Intune для централізованого визначення політики. Application Guard спирається на два основні блоки конфігурації: ізоляцію мережі та параметри, специфічні для програми.

Налаштування мережевої ізоляції знаходяться в Computer Configuration\Administrative Templates\Network\Network IsolationТут, наприклад, визначено наступне: внутрішні мережеві діапазони та домени, що вважаються доменами компаніїякий позначить межу між тим, що є надійним, і тим, що слід викинути у смітник.

Одна з ключових політик полягає в тому, «Інтервали приватної мережі для програм»У цьому розділі, розділеним комами, вказано діапазони IP-адрес, що належать до корпоративної мережі. Кінцеві точки в цих діапазонах відкриватимуться у звичайному Edge та не будуть доступні з середовища Application Guard.

Ще одна важлива політика полягає в тому, «Домени корпоративних ресурсів, розміщені в хмарі»який використовує список, розділений символом | Щоб вказати домени SaaS та хмарні сервіси організації, які слід розглядати як внутрішні. Вони також будуть відображатися на Edge поза контейнером.

Зрештою, директива «Домени, класифіковані як особисті та робочі» Це дозволяє оголошувати домени, які можна використовувати як для особистих, так і для бізнес-цілей. Ці сайти будуть доступні як зі звичайного середовища Edge, так і з Application Guard, залежно від обставин.

Використання підстановочних символів у налаштуваннях ізоляції мережі

Щоб уникнути необхідності записувати кожен піддомен окремо, списки мережевої ізоляції підтримують символи підстановки в доменних іменахЦе дозволяє краще контролювати те, що вважається надійним.

Якщо це просто визначити contoso.comБраузер довірятиме лише цьому конкретному значенню, а не іншим доменам, які його містять. Іншими словами, він вважатиме, що належить бізнесу, лише це буквальне значення. точний корінь і не www.contoso.com ані варіантів.

Якщо вказано www.contoso.com, так лише цей конкретний хост вважатимуться довіреними. Інші субдомени, такі як shop.contoso.com Їх би залишили осторонь і вони могли б опинитися у сміттєвому контейнері.

З форматом .contoso.com (крапка раніше) вказує на те, що Будь-який домен, що закінчується на «contoso.com», вважається довіреним. Це включає з contoso.com вгору www.contoso.com або навіть ланцюги, як-от spearphishingcontoso.comТож його потрібно використовувати з обережністю.

Зрештою, якщо його використовувати ..contoso.com (початкова двокрапка), усі рівні ієрархії, розташовані ліворуч від домену, є довіреними, наприклад shop.contoso.com o us.shop.contoso.com, але Кореневий каталог «contoso.com» не є надійним саме по собі. Це точніший спосіб контролю того, що вважається корпоративним ресурсом.

Основні директиви, специфічні для Application Guard

Другий основний набір налаштувань розташований у Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application GuardЗвідси керується країною детальна поведінка контейнера і що користувач може або не може в ньому робити.

Одна з найважливіших політик — це політика «Налаштування буфера обміну»Це визначає, чи можливе копіювання та вставка тексту або зображень між хостом та Application Guard. У керованому режимі можна дозволити копіювання лише з контейнера назовні, лише у зворотному напрямку або навіть повністю вимкнути буфер обміну.

Аналогічно, директива «Налаштування друку» Він визначає, чи можна друкувати вміст з контейнера та в яких форматах. Ви можете ввімкнути друк у PDF, XPS, на підключені локальні принтери або попередньо визначені мережеві принтери, або заблокувати всі можливості друку в MDAG.

Вибір «Визнайте наполегливість» Цей параметр визначає, чи зберігаються дані користувача (завантажені файли, файли cookie, обране тощо) між сеансами Application Guard, чи видаляються щоразу, коли середовище завершується. Увімкнення цієї функції в керованому режимі дозволяє контейнеру зберігати цю інформацію для майбутніх сеансів; вимкнення цієї функції призводить до практично чистого середовища під час кожного запуску.

Якщо ви вирішите пізніше припинити дозвіл на збереження, ви можете скористатися інструментом wdagtool.exe з параметрами cleanup o cleanup RESET_PERSISTENCE_LAYER скинути контейнер та відкинути інформацію, згенеровану співробітником.

Ще одна ключова політика — це «Активувати Application Guard у керованому режимі»У цьому розділі вказується, чи застосовується функція до Microsoft Edge, Microsoft Office або обох. Ця політика не набуде чинності, якщо пристрій не відповідає попереднім вимогам або на ньому налаштовано мережеву ізоляцію (за винятком деяких останніх версій Windows, де вона більше не потрібна для Edge, якщо інстальовано певні оновлення бази знань).

Спільний доступ до файлів, сертифікати, камера та аудит

Окрім вищезгаданих політик, існують інші директиви, що впливають як контейнер пов'язаний з хост-системою і з периферійними пристроями.

політика «Дозволити завантаження файлів у головну операційну систему» Він вирішує, чи може користувач зберігати файли, завантажені з ізольованого середовища, на хост. Коли цей параметр увімкнено, він створює спільний ресурс між обома середовищами, що також дозволяє певні завантаження з хоста до контейнера — дуже корисна функція, але її слід оцінювати з точки зору безпеки.

Конфігурація «Увімкнути апаратне прискорення рендерингу» Дозволяє використовувати графічний процесор через віртуальний графічний процесор (vGPU) для покращення графічної продуктивності, особливо під час відтворення відео та важкого контенту. Якщо сумісне обладнання недоступне, Application Guard повернеться до рендерингу за допомогою процесора. Однак увімкнення цієї опції на пристроях з ненадійними драйверами може збільшити ризик для хоста.

Також існує директива для надати доступ до камери та мікрофона всередині контейнера. Його ввімкнення дозволяє програмам, що працюють під керуванням MDAG, використовувати ці пристрої, що спрощує відеодзвінки або конференції з ізольованих середовищ, хоча це також відкриває можливості для обходу стандартних дозволів, якщо контейнер скомпрометовано.

Інша політика дозволяє Application Guard використовувати певні центри сертифікації кореневих хостівЦе передає до контейнера сертифікати, відбиток яких було вказано. Якщо це вимкнено, контейнер не успадковуватиме ці сертифікати, що може блокувати підключення до певних внутрішніх служб, якщо вони покладаються на приватні авторизації.

Нарешті, варіант «Дозволити події аудиту» Це призводить до реєстрації системних подій, згенерованих у контейнері, та успадкування політик аудиту пристроїв, щоб команда безпеки могла відстежувати, що відбувається всередині Application Guard, за журналами хоста.

Інтеграція з фреймворками підтримки та налаштування

Коли в Application Guard щось піде не так, користувач бачить діалогове вікно помилки За замовчуванням тут міститься лише опис проблеми та кнопка для повідомлення про неї до Microsoft через Центр відгуків. Однак цей інтерфейс можна налаштувати для полегшення внутрішньої підтримки.

На маршруті Administrative Templates\Windows Components\Windows Security\Enterprise Customization Існує політика, яку може використовувати адміністратор Додайте контактну інформацію служби підтримкиВнутрішні посилання або короткі інструкції. Таким чином, коли співробітник побачить помилку, він одразу знатиме, з ким зв’язатися або які кроки вжити.

Часті запитання та поширені проблеми з Application Guard

Використання Application Guard генерує чимало повторювані питання у реальних розгортаннях, особливо щодо продуктивності, сумісності та поведінки мережі.

Одне з перших питань — чи можна це ввімкнути в пристрої з лише 4 ГБ оперативної пам'ятіХоча є сценарії, де це може спрацювати, на практиці продуктивність зазвичай значно страждає, оскільки контейнер практично є іншою операційною системою, що працює паралельно.

Ще один делікатний момент – це інтеграція з мережеві проксі-сервери та PAC-скриптиТакі повідомлення, як «Не вдається розпізнати зовнішні URL-адреси з браузера MDAG: ERR_CONNECTION_REFUSED» або «ERR_NAME_NOT_RESOLVED» під час невдалого доступу до PAC-файлу, зазвичай вказують на проблеми конфігурації між контейнером, проксі-сервером та правилами ізоляції.

Також є проблеми, пов'язані з IME (редактори методів введення) не підтримуються У деяких версіях Windows конфлікти з драйверами шифрування диска або рішеннями для керування пристроями перешкоджають завершенню завантаження контейнера.

Деякі адміністратори стикаються з такими помилками, як «ПОМИЛКА_ОБМЕЖЕННЯ_ВІРТУАЛЬНОГО_ДИСКА» Якщо є обмеження, пов’язані з віртуальними дисками, або невдачі у вимкненні таких технологій, як гіперпоточність, які опосередковано впливають на Hyper-V та, як наслідок, на MDAG.

Також виникають питання щодо того, як довіряти лише певним піддоменам, щодо обмежень розміру списку доменів або того, як вимкнути автоматичне закриття вкладки хоста під час переходу на сайт, що відкривається в контейнері.

Захист програм, режим IE, Chrome та Office

У середовищах, де Режим IE в Microsoft EdgeApplication Guard підтримується, але Microsoft не очікує широкого використання цієї функції в цьому режимі. Рекомендується резервувати режим IE для [певних програм/використань]. надійні внутрішні сайти і використовуйте MDAG лише для вебсайтів, які вважаються зовнішніми та ненадійними.

Важливо в цьому переконатися всі сайти налаштовані в режимі IEМережа разом із пов’язаними з нею IP-адресами також має бути включена до політик ізоляції мережі як довірені ресурси. В іншому випадку, при поєднанні обох функцій може виникнути неочікувана поведінка.

Щодо Chrome, багато користувачів запитують, чи він потрібен встановити розширення Application GuardВідповідь – ні: функціональність інтегрована в Microsoft Edge, а старе розширення Chrome не підтримується під час роботи з Edge.

Для документів Office Application Guard дозволяє Відкриття файлів Word, Excel та PowerPoint в ізольованому контейнері коли файли вважаються недовіреними, таким чином запобігаючи потраплянню шкідливих макросів або інших векторів атаки на хост. Цей захист можна поєднувати з іншими функціями Defender та політиками довіри до файлів.

Існує навіть параметр групової політики, який дозволяє користувачам «довіряти» певним файлам, відкритим у Application Guard, щоб вони розглядалися як безпечні та виходили з контейнера. Цю можливість слід ретельно використовувати, щоб уникнути втрати переваг ізоляції.

Завантаження, буфер обміну, обране та розширення: користувацький досвід

З точки зору користувача, деякі з найбільш практичних питань стосуються що можна і що не можна робити всередині контейнераособливо із завантаженнями, копіюванням/вставкою та розширеннями.

У Windows 10 Enterprise 1803 та пізніших версіях (з нюансами залежно від випуску) це можливо дозволити завантаження документів з контейнера на хост Ця опція була недоступна в попередніх версіях або в деяких збірках видань, таких як Pro, хоча можна було друкувати у форматі PDF або XPS та зберігати результат на головному пристрої.

Щодо буфера обміну, корпоративна політика може дозволяти це Зображення у форматі BMP та текст копіюються до та з ізольованого середовища. Якщо працівники скаржаться, що не можуть копіювати контент, ці політики зазвичай потребують перегляду.

Багато користувачів також запитують, чому Вони не бачать ні своїх уподобань, ні розширень у сеансі Edge у розділі Application Guard. Зазвичай це пов’язано з вимкненням синхронізації закладок або неввімкненням політики розширень у MDAG. Після налаштування цих параметрів браузер у контейнері може успадковувати закладки та певні розширення, завжди з обмеженнями, згаданими раніше.

Бувають навіть випадки, коли розширення відображається, але «не працює». Якщо воно покладається на власні компоненти обробки повідомлень, ця функціональність буде недоступна в контейнері, і розширення демонструватиме обмежену або повністю непрацездатну поведінку.

Графічна продуктивність, HDR та апаратне прискорення

Ще одна тема, яка часто виникає, це те, відтворення відео та розширені функції, такі як HDR в Application Guard. Під час роботи в Hyper-V контейнер не завжди має прямий доступ до можливостей графічного процесора.

Для коректної роботи відтворення HDR в ізольованому середовищі необхідно, щоб Апаратне прискорення vGPU увімкнено через політику прискореного рендерингу. В іншому випадку система покладатиметься на процесор, і деякі опції, такі як HDR, не відображатимуться в налаштуваннях програвача або веб-сайту.

Навіть із увімкненим прискоренням, якщо графічне обладнання не вважається достатньо безпечним або сумісним, Application Guard може автоматично повертається до програмного рендерингущо впливає на плавність роботи та споживання заряду батареї в ноутбуках.

У деяких розгортаннях виникли проблеми з фрагментацією TCP та конфліктами з VPN-мережі, які, здається, ніколи не запускаються та не працюють коли трафік проходить через контейнер. У таких випадках зазвичай необхідно переглянути мережеві політики, MTU, конфігурацію проксі-сервера, а іноді й налаштувати інтеграцію MDAG з іншими вже встановленими компонентами безпеки.

Підтримка, діагностика та звітування про інциденти

Коли, попри все, виникають проблеми, які неможливо вирішити внутрішньо, Microsoft рекомендує відкрити спеціальний запит на підтримку для Microsoft Defender Application Guard. Важливо заздалегідь зібрати інформацію зі сторінки діагностики, пов’язаних журналів подій та відомостей про конфігурацію, застосовану до пристрою.

Використання сторінки edge://application-guard-internals, у поєднанні з увімкнені події аудиту та випуск таких інструментів, як wdagtool.exeЗазвичай це надає команді підтримки достатньо даних для визначення джерела проблеми, будь то погано визначена політика, конфлікт з іншим продуктом безпеки чи обмеження обладнання.

Окрім усього цього, користувачі можуть налаштовувати повідомлення про помилки та контактну інформацію в діалоговому вікні технічної підтримки безпеки Windows, що полегшує їм пошук правильного рішення. Не потрапляйте в паузу, не знаючи, до кого звернутися коли контейнер не запускається або не відкривається належним чином.

Загалом, Microsoft Defender Application Guard пропонує потужне поєднання ізоляції обладнання, детального контролю політик та діагностичних інструментів, які за умови правильного використання можуть значно знизити ризик, пов’язаний із переглядом ненадійних сайтів або відкриттям документів із сумнівних джерел, без шкоди для щоденної продуктивності.