Hướng dẫn sử dụng Microsoft Defender Application Guard từng bước một

Nếu bạn làm việc với thông tin nhạy cảm hoặc thường xuyên truy cập các trang web đáng ngờ, Microsoft Defender Application Guard (MDAG) Đây là một trong những tính năng của Windows có thể tạo nên sự khác biệt giữa một mối nguy hiểm nhỏ và một thảm họa. Nó không chỉ là một chương trình diệt virus thông thường, mà là một lớp bảo vệ bổ sung giúp cách ly các mối đe dọa khỏi hệ thống và dữ liệu của bạn.

Trong những dòng tiếp theo, bạn sẽ thấy rõ. Application Guard thực chất là gì, nó hoạt động như thế nào bên trong, có thể sử dụng trên những thiết bị nào và cách cấu hình ra sao? Chúng ta sẽ tìm hiểu cả các triển khai đơn giản và triển khai cấp doanh nghiệp. Chúng ta cũng sẽ xem xét các yêu cầu, chính sách nhóm, các lỗi thường gặp và nhiều câu hỏi thường gặp khác khi bắt đầu làm việc với công nghệ này.

Microsoft Defender Application Guard là gì và nó hoạt động như thế nào?

Microsoft Defender Application Guard là một tính năng bảo mật nâng cao được thiết kế để Cách ly các trang web và tài liệu không đáng tin cậy trong một vùng chứa ảo. Dựa trên Hyper-V. Thay vì cố gắng chặn từng cuộc tấn công một, nó tạo ra một "máy tính dùng một lần" nhỏ để lưu trữ các nội dung đáng ngờ.

Container đó chạy trong một tách biệt khỏi hệ điều hành chínhVới một phiên bản Windows được bảo mật riêng biệt và không có quyền truy cập trực tiếp vào các tập tin, thông tin đăng nhập hoặc tài nguyên nội bộ của công ty. Ngay cả khi một trang web độc hại tìm cách khai thác lỗ hổng trình duyệt hoặc Office, thiệt hại cũng chỉ giới hạn trong môi trường biệt lập đó.

Đối với Microsoft Edge, Application Guard đảm bảo rằng bất kỳ tên miền nào không được đánh dấu là đáng tin cậy Nó tự động mở trong vùng chứa đó. Đối với Office, nó cũng làm tương tự với các tài liệu Word, Excel và PowerPoint đến từ các nguồn mà tổ chức không coi là an toàn.

Điểm mấu chốt là sự cách ly này thuộc loại phần cứng: Hyper-V tạo ra một môi trường độc lập. Từ máy chủ, điều này làm giảm đáng kể khả năng kẻ tấn công chuyển từ phiên làm việc biệt lập sang hệ thống thực, đánh cắp dữ liệu công ty hoặc khai thác thông tin đăng nhập đã lưu trữ.

Hơn nữa, vùng chứa được coi là một môi trường ẩn danh: Nó không kế thừa cookie, mật khẩu hoặc phiên làm việc của người dùng.Điều này khiến cuộc sống trở nên khó khăn hơn nhiều đối với những kẻ tấn công dựa vào các kỹ thuật giả mạo hoặc đánh cắp phiên.

Các loại thiết bị được khuyến nghị sử dụng Application Guard

Mặc dù về mặt kỹ thuật, Application Guard có thể hoạt động trong nhiều trường hợp khác nhau, nhưng nó được thiết kế đặc biệt cho mục đích này. môi trường doanh nghiệp và các thiết bị được quản lýMicrosoft phân biệt một số loại thiết bị mà MDAG phát huy hiệu quả nhất.

Trước hết, có những máy tính để bàn doanh nghiệp tham gia miềnNhững máy tính này thường được quản lý bằng Configuration Manager hoặc Intune. Chúng là những máy tính văn phòng truyền thống, với người dùng tiêu chuẩn và được kết nối với mạng dây của công ty, nơi rủi ro chủ yếu đến từ việc duyệt web hàng ngày.

Sau đó chúng tôi có máy tính xách tay công tyĐây cũng là các thiết bị được kết nối với miền và quản lý tập trung, nhưng chúng kết nối với mạng Wi-Fi nội bộ hoặc bên ngoài. Trong trường hợp này, rủi ro tăng lên vì thiết bị rời khỏi mạng được kiểm soát và tiếp xúc với mạng Wi-Fi tại khách sạn, sân bay hoặc mạng gia đình.

Một nhóm khác là máy tính xách tay BYOD (Mang thiết bị cá nhân của bạn đến nơi làm việc). thiết bị cá nhân không thuộc sở hữu của công ty nhưng được quản lý Thông qua các giải pháp như Intune, chúng thường nằm trong tay những người dùng có quyền quản trị cục bộ, điều này làm tăng bề mặt tấn công và khiến việc sử dụng biện pháp cách ly để truy cập vào tài nguyên doanh nghiệp trở nên hấp dẫn hơn.

Cuối cùng, có các thiết bị cá nhân hoàn toàn không được quản lýĐây là những trang web không thuộc bất kỳ tên miền nào và người dùng có quyền kiểm soát tuyệt đối. Trong những trường hợp này, Application Guard có thể được sử dụng ở chế độ độc lập (đặc biệt là đối với Edge) để cung cấp thêm một lớp bảo vệ khi truy cập các trang web có khả năng nguy hiểm.

Các phiên bản Windows và giấy phép cần thiết

Trước khi bắt đầu cấu hình bất cứ thứ gì, điều quan trọng là phải hiểu rõ điều này. Bạn có thể sử dụng Microsoft Defender Application Guard trên những phiên bản Windows nào? và với những quyền cấp phép nào.

Đối với Chế độ độc lập Edge (Tức là, chỉ sử dụng Application Guard như một môi trường bảo vệ trình duyệt mà không có tính năng quản lý doanh nghiệp nâng cao), được hỗ trợ trên Windows:

• Windows pro
• Windows Enterprise
• Windows Pro Education / SE
• Windows Education

Trong trường hợp này, quyền sử dụng giấy phép MDAG được cấp nếu bạn có các giấy phép như sau: Windows Pro / Pro Education / SE, Windows Enterprise E3 hoặc E5 và Windows Education A3 hoặc A5Trên thực tế, trên nhiều máy tính chuyên nghiệp chạy Windows Pro, bạn đã có thể kích hoạt tính năng này để sử dụng cơ bản.

Đối với chế độ doanh nghiệp tiên tiến và quản trị doanh nghiệp (trong trường hợp cần chỉ thị nâng cao và các tình huống phức tạp hơn), mức hỗ trợ sẽ bị giảm:

• Windows Enterprise y Windows Education Chế độ này hỗ trợ Application Guard.
• Windows Pro và Windows Pro Education/SE Không Họ có hỗ trợ cho biến thể doanh nghiệp này.

Về vấn đề giấy phép, việc sử dụng nâng cao dành cho doanh nghiệp này yêu cầu... Windows Enterprise E3/E5 hoặc Windows Education A3/A5Nếu tổ chức của bạn chỉ sử dụng phiên bản Pro mà không có gói đăng ký Enterprise, bạn sẽ chỉ có thể sử dụng chế độ Edge độc ​​lập.

Yêu cầu hệ thống và khả năng tương thích

Ngoài phiên bản Windows, để Application Guard hoạt động ổn định, bạn cần đáp ứng các yêu cầu sau: một loạt các yêu cầu kỹ thuật Liên quan đến phiên bản, phần cứng và hỗ trợ ảo hóa.

Về hệ điều hành, việc sử dụng là bắt buộc. Windows 10 1809 trở lên (Bản cập nhật tháng 10 năm 2018) hoặc phiên bản Windows 11 tương đương. Bản cập nhật này không dành cho các phiên bản máy chủ hoặc các biến thể thu nhỏ mạnh; nó rõ ràng nhắm đến các máy tính cá nhân.

Về mặt phần cứng, thiết bị phải có ảo hóa dựa trên phần cứng được kích hoạt (Hỗ trợ Intel VT-x/AMD-V và dịch địa chỉ cấp hai, chẳng hạn như SLAT), vì Hyper-V là thành phần quan trọng để tạo ra vùng chứa biệt lập. Nếu thiếu lớp này, MDAG sẽ không thể thiết lập môi trường bảo mật của mình.

Điều này cũng rất cần thiết phải có cơ chế quản lý tương thích Nếu bạn định sử dụng nó tập trung (ví dụ: Microsoft Intune hoặc Configuration Manager), như đã nêu chi tiết trong yêu cầu phần mềm doanh nghiệp. Đối với các triển khai đơn giản, giao diện Bảo mật Windows sẽ đủ dùng.

Cuối cùng, hãy lưu ý rằng Ứng dụng Application Guard đang trong quá trình bị loại bỏ. Đối với Microsoft Edge dành cho doanh nghiệp, một số API liên quan đến các ứng dụng độc lập sẽ không còn được cập nhật nữa. Mặc dù vậy, nó vẫn rất phổ biến trong các môi trường cần kiểm soát rủi ro trong ngắn hạn và trung hạn.

Trường hợp sử dụng: an toàn so với năng suất

Một trong những vấn đề kinh điển trong an ninh mạng là tìm ra sự cân bằng phù hợp giữa... Để thực sự bảo vệ, chứ không phải để chặn người dùng.Nếu bạn chỉ cho phép một số ít trang web "được chấp thuận", bạn sẽ giảm thiểu rủi ro, nhưng lại làm giảm năng suất. Nếu bạn nới lỏng các hạn chế, mức độ tiếp xúc sẽ tăng vọt.

Trình duyệt là một trong số đó. bề mặt tấn công chính Công việc này đòi hỏi phải có trách nhiệm mở các nội dung không đáng tin cậy từ nhiều nguồn khác nhau: các trang web không rõ nguồn gốc, các tập lệnh tải xuống, các tập lệnh của bên thứ ba, quảng cáo gây hại, v.v. Cho dù bạn có cải thiện công cụ đến đâu, vẫn sẽ luôn có những lỗ hổng mới mà ai đó sẽ cố gắng khai thác.

Trong mô hình này, người quản trị xác định chính xác những tên miền, dải địa chỉ IP và tài nguyên đám mây nào họ coi là đáng tin cậy. Bất cứ thứ gì không có trong danh sách đó sẽ tự động được chuyển vào thùng chứa.Tại đó, người dùng có thể duyệt web mà không lo ngại rằng lỗi trình duyệt sẽ gây ảnh hưởng đến các hệ thống nội bộ khác.

Kết quả là người dùng có thể điều hướng tương đối linh hoạt, nhưng vẫn cần lưu ý một số hạn chế. biên giới được canh phòng nghiêm ngặt Giữa một thế giới bên ngoài không đáng tin cậy và một môi trường doanh nghiệp cần được bảo vệ bằng mọi giá.

Các tính năng và bản cập nhật gần đây của Application Guard trong Microsoft Edge

Trong suốt các phiên bản khác nhau của Microsoft Edge dựa trên Chromium, Microsoft đã bổ sung thêm nhiều tính năng. Những cải tiến cụ thể dành cho Application Guard Với mục tiêu cải thiện trải nghiệm người dùng và trao cho người quản trị quyền kiểm soát nhiều hơn.

Một trong những tính năng mới quan trọng là Chặn việc tải lên tập tin từ vùng chứaTừ phiên bản Edge 96 trở đi, các tổ chức đã có thể ngăn người dùng tải tài liệu từ thiết bị cục bộ của họ lên biểu mẫu hoặc dịch vụ web trong một phiên làm việc riêng biệt, bằng cách sử dụng chính sách này. ApplicationGuardUploadBlockingEnabledĐiều này giúp giảm nguy cơ rò rỉ thông tin.

Một cải tiến rất hữu ích khác là chế độ thụ độngTính năng này có sẵn từ Edge 94 trở lên. Khi được kích hoạt bởi chính sách. ApplicationGuardPassiveModeEnabledApplication Guard ngừng ép buộc hiển thị danh sách trang web và cho phép người dùng duyệt Edge "bình thường", ngay cả khi tính năng này vẫn được cài đặt. Đây là một cách thuận tiện để chuẩn bị sẵn công nghệ mà không cần chuyển hướng lưu lượng truy cập.

Khả năng cũng đã được thêm vào Đồng bộ hóa các mục yêu thích của máy chủ với vùng chứaĐây là điều mà nhiều khách hàng yêu cầu để tránh việc có hai trải nghiệm duyệt web hoàn toàn tách biệt. Kể từ Edge 91, chính sách này đã được áp dụng. ApplicationGuardFavoritesSyncEnabled Điều này cho phép các dấu hiệu mới xuất hiện đồng đều trong môi trường biệt lập.

Trong lĩnh vực mạng, Edge 91 tích hợp hỗ trợ cho gắn nhãn cho lưu lượng giao thông rời khỏi container nhờ vào chỉ thị ApplicationGuardTrafficIdentificationEnabledĐiều này cho phép các công ty xác định và lọc lưu lượng truy cập đó thông qua máy chủ proxy, ví dụ như để hạn chế quyền truy cập vào một số lượng rất nhỏ các trang web khi duyệt web từ MDAG.

Máy chủ proxy kép, tiện ích mở rộng và các kịch bản nâng cao khác

Một số tổ chức sử dụng Application Guard trong các triển khai phức tạp hơn, nơi họ cần... Theo dõi sát sao lưu lượng container và các khả năng của trình duyệt trong môi trường biệt lập đó.

Trong những trường hợp này, Edge có hỗ trợ proxy kép Từ phiên bản ổn định 84 trở đi, có thể cấu hình thông qua chỉ thị. ApplicationGuardContainerProxyÝ tưởng là lưu lượng truy cập bắt nguồn từ container sẽ được định tuyến qua một máy chủ proxy cụ thể, khác với máy chủ proxy được sử dụng bởi máy chủ chính, điều này giúp dễ dàng áp dụng các quy tắc độc lập và kiểm tra nghiêm ngặt hơn.

Một yêu cầu thường xuyên khác từ khách hàng là khả năng sử dụng các phần mở rộng bên trong vùng chứaKể từ Edge 81, điều này đã khả thi, vì vậy các trình chặn quảng cáo, tiện ích mở rộng nội bộ của công ty hoặc các công cụ khác có thể được chạy miễn là chúng tuân thủ các chính sách đã được xác định. Cần phải khai báo... updateURL việc mở rộng trong các chính sách cách ly mạng để nó được coi là một tài nguyên trung lập có thể truy cập được từ Application Guard.

Các trường hợp được chấp nhận bao gồm: cài đặt bắt buộc các tiện ích mở rộng trên máy chủ Các tiện ích mở rộng này sau đó sẽ xuất hiện trong vùng chứa, cho phép loại bỏ các tiện ích mở rộng cụ thể hoặc chặn các tiện ích khác được coi là không mong muốn vì lý do bảo mật. Tuy nhiên, điều này không áp dụng cho các tiện ích mở rộng dựa vào các thành phần xử lý thông báo gốc. Chúng không tương thích trong MDAG.

Để giúp chẩn đoán các vấn đề về cấu hình hoặc hành vi, trang chẩn đoán cụ thể en edge://application-guard-internalsTừ đó, bạn có thể kiểm tra, trong số những thứ khác, xem một URL nhất định có được coi là đáng tin cậy hay không theo các chính sách thực tế áp dụng cho người dùng.

Cuối cùng, về phần cập nhật, Microsoft Edge mới sẽ Nó cũng tự cập nhật bên trong vùng chứa.Nó sử dụng cùng kênh và phiên bản với trình duyệt chủ. Nó không còn phụ thuộc vào chu kỳ cập nhật của hệ điều hành như trường hợp của phiên bản Edge cũ, điều này giúp đơn giản hóa đáng kể việc bảo trì.

Cách bật Microsoft Defender Application Guard trong Windows

Nếu bạn muốn chạy nó trên thiết bị tương thích, bước đầu tiên là kích hoạt tính năng Windows Tương ứng. Về cơ bản, quy trình này khá đơn giản.

Cách nhanh nhất là mở hộp thoại Chạy bằng lệnh Win + R, viết appwiz.cpl và nhấn Enter để truy cập trực tiếp vào mục "Chương trình và Tính năng". Từ đó, ở phía bên trái, bạn sẽ tìm thấy liên kết "Bật hoặc tắt các tính năng của Windows".

Trong danh sách các thành phần có sẵn, bạn cần tìm mục cần tìm. “Microsoft Defender Application Guard” và chọn nó. Sau khi chấp nhận, Windows sẽ tải xuống hoặc kích hoạt các tệp nhị phân cần thiết và nhắc bạn khởi động lại máy tính để áp dụng các thay đổi.

Sau khi khởi động lại, trên các thiết bị tương thích có phiên bản Edge chính xác, bạn sẽ có thể thực hiện được các thao tác sau: Mở cửa sổ mới hoặc các tab riêng biệt Thông qua các tùy chọn trình duyệt hoặc, trong môi trường được quản lý, tự động theo cấu hình của danh sách các trang web không đáng tin cậy.

Nếu bạn không thấy các tùy chọn như "Mở cửa sổ Application Guard mới" hoặc cửa sổ chứa ứng dụng không mở, có thể là do Các hướng dẫn bạn đang làm theo có thể đã lỗi thời.Nguyên nhân có thể là do phiên bản Windows của bạn không được hỗ trợ, bạn chưa bật Hyper-V hoặc chính sách của tổ chức bạn đã vô hiệu hóa tính năng này.

Cấu hình Application Guard với Chính sách nhóm

Trong môi trường kinh doanh, mỗi thiết bị không được cấu hình thủ công; thay vào đó, người ta sử dụng một hệ thống được định sẵn. chính sách nhóm (GPO) hoặc sử dụng các cấu hình trong Intune để xác định chính sách một cách tập trung. Application Guard dựa trên hai khối cấu hình chính: cách ly mạng và các tham số dành riêng cho ứng dụng.

Các cài đặt cách ly mạng nằm ở đây. Computer Configuration\Administrative Templates\Network\Network IsolationVí dụ, đây là nơi các khái niệm sau được định nghĩa: Các dải mạng nội bộ và tên miền được coi là tên miền của công ty.Điều này sẽ vạch ra ranh giới giữa những gì đáng tin cậy và những gì nên bị loại bỏ.

Một trong những chính sách quan trọng là chính sách về “Các khoảng thời gian mạng riêng cho các ứng dụng”Phần này chỉ định, dưới dạng danh sách phân cách bằng dấu phẩy, các dải địa chỉ IP thuộc mạng doanh nghiệp. Các thiết bị đầu cuối trong các dải địa chỉ này sẽ được mở trong Edge thông thường và sẽ không thể truy cập được từ môi trường Application Guard.

Một chính sách quan trọng khác là chính sách về “Các miền tài nguyên doanh nghiệp được lưu trữ trên đám mây”sử dụng một danh sách được phân tách bởi ký tự | Để chỉ định các tên miền SaaS và dịch vụ đám mây của tổ chức cần được xử lý nội bộ. Chúng cũng sẽ được hiển thị ở Edge bên ngoài vùng chứa.

Cuối cùng, chỉ thị của “Các lĩnh vực được phân loại là cá nhân và công việc” Nó cho phép bạn khai báo các tên miền có thể được sử dụng cho cả mục đích cá nhân và kinh doanh. Các trang web này sẽ có thể truy cập được từ cả môi trường Edge thông thường và Application Guard, tùy thuộc vào trường hợp.

Sử dụng ký tự đại diện trong cài đặt cách ly mạng.

Để tránh phải viết từng tên miền phụ một, danh sách cách ly mạng hỗ trợ... ký tự đại diện trong tên miềnĐiều này cho phép kiểm soát tốt hơn những gì được coi là đáng tin cậy.

Nếu nó được định nghĩa một cách đơn giản contoso.comTrình duyệt sẽ chỉ tin tưởng giá trị cụ thể đó và không tin tưởng các tên miền khác chứa nó. Nói cách khác, nó sẽ chỉ coi giá trị cụ thể đó là thuộc về một doanh nghiệp. gốc rễ chính xác và không www.contoso.com cũng không phải các biến thể.

Nếu được chỉ định www.contoso.com, vì thế chỉ máy chủ cụ thể đó sẽ được coi là đáng tin cậy. Các tên miền phụ khác như shop.contoso.com Chúng sẽ bị bỏ rơi và có thể bị vứt vào thùng rác.

Với định dạng .contoso.com (dấu chấm trước đó) cho biết rằng Bất kỳ tên miền nào kết thúc bằng “contoso.com” đều được tin cậy.. Điều này bao gồm từ contoso.com lên www.contoso.com hoặc thậm chí là các chuỗi như spearphishingcontoso.comVì vậy, cần phải sử dụng cẩn thận.

Cuối cùng, nếu nó được sử dụng ..contoso.com (dấu hai chấm ban đầu), tất cả các cấp bậc trong hệ thống phân cấp nằm bên trái miền đều được tin cậy, ví dụ: shop.contoso.com o us.shop.contoso.comnhưng Tên miền gốc “contoso.com” không đáng tin cậy. Tự bản thân nó. Đó là một cách tinh tế hơn để kiểm soát những gì được coi là nguồn lực của doanh nghiệp.

Chỉ thị cụ thể cho ứng dụng chính của lực lượng bảo vệ

Bộ cài đặt chính thứ hai nằm ở Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application GuardTừ đây, đất nước được cai trị. hành vi container chi tiết và những gì người dùng có thể hoặc không thể làm trong đó.

Một trong những chính sách quan trọng nhất là chính sách về “Cài đặt clipboard”Tùy chọn này kiểm soát việc sao chép và dán văn bản hoặc hình ảnh giữa máy chủ và Application Guard có khả thi hay không. Ở chế độ quản lý, bạn có thể cho phép sao chép chỉ từ vùng chứa ra ngoài, chỉ theo chiều ngược lại, hoặc thậm chí vô hiệu hóa hoàn toàn chức năng sao chép tạm thời.

Tương tự như vậy, chỉ thị của “Cài đặt in” Chức năng này quyết định xem nội dung có thể được in từ vùng chứa hay không và ở những định dạng nào. Bạn có thể cho phép in ra PDF, XPS, máy in cục bộ được kết nối hoặc máy in mạng được xác định trước, hoặc chặn tất cả các khả năng in ấn trong MDAG.

các tùy chọn “Ghi nhận sự kiên trì” Thiết lập này xác định xem dữ liệu người dùng (tệp đã tải xuống, cookie, mục yêu thích, v.v.) có được giữ lại giữa các phiên Application Guard hay bị xóa mỗi khi môi trường tắt. Việc bật tùy chọn này ở chế độ được quản lý cho phép vùng chứa giữ lại thông tin này cho các phiên sau; việc tắt tùy chọn này sẽ tạo ra một môi trường gần như sạch sẽ mỗi khi khởi động.

Nếu sau này bạn quyết định ngừng cho phép lưu trữ dữ liệu, bạn có thể sử dụng công cụ này. wdagtool.exe với các thông số cleanup o cleanup RESET_PERSISTENCE_LAYER Đặt lại bộ nhớ đệm và loại bỏ thông tin do nhân viên tạo ra.

Một chính sách quan trọng khác là “Kích hoạt Application Guard ở chế độ quản lý”Phần này quy định xem tính năng này áp dụng cho Microsoft Edge, Microsoft Office hay cả hai. Chính sách này sẽ không có hiệu lực nếu thiết bị không đáp ứng các điều kiện tiên quyết hoặc đã cấu hình cách ly mạng (ngoại trừ một số phiên bản Windows gần đây, trong đó điều này không còn cần thiết đối với Edge nếu đã cài đặt các bản cập nhật KB cụ thể).

Chia sẻ tập tin, chứng chỉ, camera và kiểm toán

Ngoài các chính sách đã đề cập ở trên, còn có các chỉ thị khác ảnh hưởng đến... mối liên hệ giữa container và hệ thống máy chủ và các thiết bị ngoại vi.

Chính trị “Cho phép tải xuống các tập tin vào hệ điều hành máy chủ” Chức năng này quyết định liệu người dùng có thể lưu các tệp đã tải xuống từ môi trường biệt lập vào máy chủ hay không. Khi được kích hoạt, nó sẽ tạo ra một tài nguyên dùng chung giữa hai môi trường, đồng thời cho phép tải lên một số tệp nhất định từ máy chủ lên vùng chứa – rất hữu ích, nhưng cần được đánh giá từ góc độ bảo mật.

Cấu hình của “Kích hoạt khả năng kết xuất tăng tốc phần cứng” Cho phép sử dụng GPU thông qua vGPU để cải thiện hiệu suất đồ họa, đặc biệt khi phát video và nội dung nặng. Nếu không có phần cứng tương thích, Application Guard sẽ chuyển sang sử dụng CPU để xử lý đồ họa. Tuy nhiên, việc bật tùy chọn này trên các thiết bị có trình điều khiển không đáng tin cậy có thể làm tăng rủi ro cho máy chủ.

Ngoài ra còn có một chỉ thị về cho phép truy cập vào camera và micro. Bên trong vùng chứa. Việc kích hoạt tính năng này cho phép các ứng dụng chạy dưới MDAG sử dụng các thiết bị này, tạo điều kiện thuận lợi cho các cuộc gọi video hoặc hội nghị từ các môi trường biệt lập, mặc dù điều này cũng mở ra khả năng bỏ qua các quyền tiêu chuẩn nếu vùng chứa bị xâm phạm.

Một chính sách khác cho phép Application Guard sử dụng các cơ quan chứng nhận gốc máy chủ cụ thểThao tác này chuyển các chứng chỉ có dấu vân tay đã được chỉ định vào vùng chứa. Nếu thao tác này bị vô hiệu hóa, vùng chứa sẽ không kế thừa các chứng chỉ đó, điều này có thể chặn kết nối đến một số dịch vụ nội bộ nếu chúng dựa vào các chứng chỉ riêng tư.

Cuối cùng, tùy chọn của “Cho phép các sự kiện kiểm toán” Nó khiến các sự kiện hệ thống được tạo ra trong vùng chứa được ghi lại và các chính sách kiểm tra thiết bị được kế thừa, nhờ đó nhóm bảo mật có thể theo dõi những gì xảy ra bên trong Application Guard từ nhật ký máy chủ.

Tích hợp với các khung hỗ trợ và tùy chỉnh

Khi có lỗi xảy ra trong Application Guard, người dùng sẽ thấy thông báo lỗi. hộp thoại lỗi Theo mặc định, giao diện này chỉ bao gồm mô tả sự cố và nút để báo cáo sự cố cho Microsoft thông qua Trung tâm Phản hồi. Tuy nhiên, trải nghiệm này có thể được tùy chỉnh để hỗ trợ nội bộ hiệu quả hơn.

Trên tuyến đường Administrative Templates\Windows Components\Windows Security\Enterprise Customization Có một chính sách mà người quản trị có thể sử dụng. Thêm thông tin liên hệ dịch vụ hỗ trợCác liên kết nội bộ hoặc hướng dẫn ngắn gọn. Bằng cách này, khi nhân viên phát hiện ra lỗi, họ sẽ biết ngay cần liên hệ với ai hoặc thực hiện những bước nào.

Câu hỏi thường gặp và các vấn đề thường gặp với Application Guard

Việc sử dụng Application Guard tạo ra khá nhiều vấn đề. câu hỏi lặp đi lặp lại trong các triển khai thực tế, đặc biệt là về hiệu năng, khả năng tương thích và hành vi mạng.

Một trong những câu hỏi đầu tiên là liệu nó có thể được kích hoạt hay không. các thiết bị chỉ có 4 GB RAMMặc dù có những trường hợp phương pháp này có thể hoạt động, nhưng trên thực tế hiệu năng thường bị suy giảm đáng kể, vì container thực chất là một hệ điều hành khác chạy song song.

Một điểm nhạy cảm khác là sự tích hợp với máy chủ proxy mạng và tập lệnh PACCác thông báo như “Cannot resolve external URLs from MDAG Browser: ERR_CONNECTION_REFUSED” hoặc “ERR_NAME_NOT_RESOLVED” khi truy cập tệp PAC thất bại thường cho thấy các vấn đề về cấu hình giữa vùng chứa, máy chủ proxy và các quy tắc cách ly.

Ngoài ra còn có những vấn đề liên quan đến IME (trình soạn thảo phương thức nhập liệu) không được hỗ trợ. Trong một số phiên bản Windows nhất định, xung đột với trình điều khiển mã hóa ổ đĩa hoặc giải pháp điều khiển thiết bị có thể ngăn cản quá trình tải container hoàn tất.

Một số quản trị viên gặp phải các lỗi như sau: “ERROR_VIRTUAL_DISK_LIMITATION” Nếu có những hạn chế liên quan đến ổ đĩa ảo, hoặc lỗi trong việc vô hiệu hóa các công nghệ như siêu phân luồng (hyperthreading) ảnh hưởng gián tiếp đến Hyper-V và, do đó, cả MDAG.

Cũng có những câu hỏi được đặt ra về cách thức... chỉ tin tưởng một số tên miền phụ nhất định, liên quan đến giới hạn kích thước danh sách tên miền hoặc cách vô hiệu hóa chức năng tự động đóng tab máy chủ khi điều hướng đến một trang web mở trong vùng chứa.

Application Guard, chế độ IE, Chrome và Office

Trong môi trường mà Chế độ IE trong Microsoft EdgeApplication Guard được hỗ trợ, nhưng Microsoft không kỳ vọng tính năng này sẽ được sử dụng rộng rãi ở chế độ này. Nên dành chế độ IE cho [các ứng dụng/mục đích sử dụng cụ thể]. các trang web nội bộ đáng tin cậy và chỉ sử dụng MDAG cho các trang web được coi là bên ngoài và không đáng tin cậy.

Điều quan trọng là đảm bảo rằng tất cả các trang web được cấu hình ở chế độ IEMạng lưới, cùng với các địa chỉ IP liên kết, cũng phải được đưa vào chính sách cách ly mạng như là các tài nguyên đáng tin cậy. Nếu không, có thể xảy ra hành vi không mong muốn khi kết hợp cả hai chức năng.

Về Chrome, nhiều người dùng đang thắc mắc liệu nó có cần thiết hay không. cài đặt tiện ích mở rộng Application GuardCâu trả lời là không: chức năng này được tích hợp sẵn trong Microsoft Edge, và tiện ích mở rộng Chrome cũ không phải là cấu hình được hỗ trợ khi làm việc với Edge.

Đối với các tài liệu Office, Application Guard cho phép Mở các tệp Word, Excel và PowerPoint trong một vùng chứa biệt lập. Khi các tệp được coi là không đáng tin cậy, hệ thống sẽ ngăn chặn các macro độc hại hoặc các phương thức tấn công khác xâm nhập vào máy chủ. Tính năng bảo vệ này có thể được kết hợp với các tính năng khác của Defender và các chính sách về độ tin cậy của tệp.

Thậm chí còn có một tùy chọn chính sách nhóm cho phép người dùng "tin tưởng" một số tệp nhất định được mở trong Application Guard, để chúng được coi là an toàn và thoát khỏi vùng chứa. Khả năng này cần được quản lý cẩn thận để tránh mất đi lợi ích của việc cách ly.

Tải xuống, bảng nhớ tạm, mục yêu thích và tiện ích mở rộng: trải nghiệm người dùng

Từ góc nhìn của người dùng, một số câu hỏi thiết thực nhất xoay quanh... Những việc được phép và không được phép làm bên trong containerđặc biệt là với việc tải xuống, sao chép/dán và các tiện ích mở rộng.

Trong Windows 10 Enterprise 1803 và các phiên bản sau này (với một số khác biệt tùy thuộc vào phiên bản), điều này là có thể Cho phép tải xuống tài liệu từ vùng chứa về máy chủ. Tùy chọn này không có trong các phiên bản trước hoặc trong một số bản dựng của các phiên bản như Pro, mặc dù vẫn có thể in ra PDF hoặc XPS và lưu kết quả vào thiết bị chủ.

Về phần bảng nhớ tạm, chính sách của công ty có thể cho phép điều đó. Hình ảnh ở định dạng BMP và văn bản được sao chép đến và đi từ môi trường biệt lập. Nếu nhân viên phàn nàn rằng họ không thể sao chép nội dung, các chính sách này thường cần được xem xét lại.

Nhiều người dùng cũng hỏi tại sao Họ không nhìn thấy mục yêu thích hoặc các mục mở rộng của mình. Trong phiên Edge dưới mục Application Guard, điều này thường xảy ra do việc đồng bộ hóa dấu trang bị vô hiệu hóa hoặc chính sách tiện ích mở rộng trong MDAG chưa được bật. Sau khi điều chỉnh các tùy chọn này, trình duyệt trong vùng chứa có thể kế thừa dấu trang và một số tiện ích mở rộng nhất định, nhưng luôn có những hạn chế đã đề cập trước đó.

Thậm chí có những trường hợp tiện ích mở rộng xuất hiện nhưng "không hoạt động". Nếu nó dựa vào các thành phần xử lý thông báo gốc, chức năng đó sẽ không khả dụng trong vùng chứa và tiện ích mở rộng sẽ hoạt động hạn chế hoặc hoàn toàn không hoạt động.

Hiệu năng đồ họa, HDR và ​​khả năng tăng tốc phần cứng

Một chủ đề khác thường xuyên được đề cập đến là... phát lại video và các tính năng nâng cao như HDR Trong Application Guard. Khi chạy trên Hyper-V, container không phải lúc nào cũng có quyền truy cập trực tiếp vào khả năng của GPU.

Để phát lại HDR hoạt động chính xác trong môi trường biệt lập, cần phải đáp ứng các điều kiện sau: Tính năng tăng tốc phần cứng vGPU đã được bật. Thông qua chính sách kết xuất tăng tốc. Nếu không, hệ thống sẽ dựa vào CPU, và một số tùy chọn như HDR sẽ không xuất hiện trong cài đặt trình phát hoặc trang web.

Ngay cả khi đã bật tăng tốc, nếu phần cứng đồ họa không được coi là đủ an toàn hoặc tương thích, Application Guard vẫn có thể... tự động quay lại chế độ kết xuất phần mềmĐiều này ảnh hưởng đến độ mượt mà và mức tiêu hao pin của máy tính xách tay.

Một số hệ thống triển khai đã gặp sự cố với việc phân mảnh TCP và xung đột với... Các VPN dường như không bao giờ hoạt động được. Khi lưu lượng truy cập đi qua vùng chứa. Trong những trường hợp đó, thường cần phải xem xét lại các chính sách mạng, MTU, cấu hình proxy và đôi khi điều chỉnh cách MDAG tích hợp với các thành phần bảo mật khác đã được cài đặt.

Hỗ trợ, chẩn đoán và báo cáo sự cố

Khi, bất chấp mọi nỗ lực, vẫn phát sinh các vấn đề không thể giải quyết nội bộ, Microsoft khuyến nghị: mở một yêu cầu hỗ trợ cụ thể Đối với Microsoft Defender Application Guard, điều quan trọng là phải thu thập thông tin trước đó từ trang chẩn đoán, nhật ký sự kiện liên quan và chi tiết về cấu hình được áp dụng cho thiết bị.

Việc sử dụng trang edge://application-guard-internals, kết hợp với sự kiện kiểm toán được kích hoạt và việc phát hành các công cụ như wdagtool.exeThông thường, nó cung cấp cho nhóm hỗ trợ đủ dữ liệu để xác định nguồn gốc của vấn đề, cho dù đó là chính sách được định nghĩa không rõ ràng, xung đột với sản phẩm bảo mật khác hay giới hạn phần cứng.

Ngoài ra, người dùng có thể tùy chỉnh thông báo lỗi và thông tin liên hệ trong hộp thoại hỗ trợ kỹ thuật của Windows Security, giúp họ dễ dàng tìm ra giải pháp phù hợp. Đừng để rơi vào tình trạng không biết phải nhờ cậy ai. Khi container không khởi động được hoặc không mở như mong đợi.

Nhìn chung, Microsoft Defender Application Guard cung cấp sự kết hợp mạnh mẽ giữa khả năng cách ly phần cứng, kiểm soát chính sách chi tiết và các công cụ chẩn đoán, khi được sử dụng đúng cách, có thể giảm đáng kể rủi ro liên quan đến việc duyệt các trang web không đáng tin cậy hoặc mở tài liệu từ các nguồn đáng ngờ mà không ảnh hưởng đến năng suất làm việc hàng ngày.