Что такое защита приложений в Защитнике Windows
Обновлено: 21.11.2024
Microsoft Defender Application Guard защищает ваши сети и данные от вредоносных приложений, запущенных в вашем веб-браузере, но вы должны сначала установить и активировать его.
В предыдущей статье мы отмечали, что многие функции безопасности, перечисленные в качестве абсолютных требований для успешной установки Windows 11, уже доступны в качестве опций в Windows 10, вам просто нужно включить их вручную. Если вам интересно, будет ли ваш текущий ПК с Windows 10 работать под управлением Windows 11, активация этих протоколов безопасности даст вам ответы, которые вы ищете.
Windows: обязательно к прочтению
Активация для TPM 2.0 и HVCI объяснялась ранее, но сейчас мы рассмотрим процедуры активации Application Guard в Microsoft Defender в Windows 10. MDAG использует технологию на основе виртуализации, чтобы помочь защитить ваши системы от вредоносных и криминальных веб-сайтов, которые вы посещаете. с вашими активными веб-браузерами, такими как Edge, Chrome и Firefox.
SEE: контрольный список: обеспечение безопасности систем Windows 10 (TechRepublic Premium)
Как активировать Application Guard в Microsoft Defender
Microsoft Defender Application Guard создает изолированный экземпляр вашего браузера в памяти. Эти контейнеры Hyper-V не позволяют вредоносным сценариям или другим атакам вредоносных программ проникнуть внутрь вашей операционной системы Windows 10, защищая ваши сети и ваши данные. MDAG также работает с такими приложениями, как Word и Excel, работающими как часть рабочей среды Microsoft 365.
К сожалению, для пользователей Windows 10 Домашняя MDAG по умолчанию включен в версии Windows 10 Профессиональная, Корпоративная и Образовательная. MDAG является частью компонентов Windows для этих версий, поэтому нам придется вызвать панель управления.
Самый простой способ перейти к нужному экрану — ввести «функции Windows» в поле поиска на рабочем столе Windows 10. Обязательно выберите пункт «Включение или отключение компонентов Windows» в результатах поиска. Вы должны увидеть диалоговое окно, похожее на рисунок A.
Рисунок А
Прокручивайте список функций вниз, пока не увидите Application Guard в Microsoft Defender. Поставьте галочку напротив этого пункта и нажмите кнопку ОК. Приложение MDAG будет установлено, а затем попросит вас перезагрузить компьютер для активации.
Теперь, когда MDAG установлен и активирован, пришло время проверить его настройки. Нажмите или коснитесь кнопки «Пуск» и выберите «Настройки» (значок шестеренки). На странице настроек выберите «Обновить и обновить». Безопасность, а затем выберите пункт Безопасность Windows на левой панели навигации, как показано на рис. B.
Рисунок Б
На правой панели окна нажмите App & Элемент управления браузером, чтобы открыть экран, показанный на рисунке C.
Рисунок C
Как вы можете видеть в разделе "Изолированный просмотр", MDAG работает и работает с Edge, чтобы защитить вас от вредоносного ПО.
Настройки безопасности в MDAG более строгие, чем многие из нас привыкли, поэтому вы можете захотеть внести некоторые изменения. Щелкните ссылку Изменить параметры Application Guard на этой странице, чтобы просмотреть список функций безопасности, которые вы можете включить или отключить в зависимости от вашей активности. Как видно на рисунке D, по умолчанию эти потенциальные уязвимости отключены.
Рисунок D
Настройки на этой странице говорят сами за себя. Если вам нужно распечатать с веб-сайта или вы хотите разрешить доступ к вашей камере и микрофону, вам нужно будет зайти на эту страницу и переключить соответствующие переключатели в положение «включено». Это повысит потенциальные риски безопасности, поэтому подходите к этим решениям с осторожностью.
Еженедельный информационный бюллетень Microsoft
Будьте инсайдером Microsoft в своей компании, прочитав эти советы, рекомендации и памятки по Windows и Office.
В этой статье описывается, как Microsoft Edge поддерживает Application Guard в Microsoft Defender (Application Guard).
Эта статья относится к Microsoft Edge версии 77 или более поздней.
Обзор
Архитекторы безопасности на предприятии должны справляться с противоречиями между производительностью и безопасностью.Относительно легко заблокировать браузер и разрешить загрузку только нескольких надежных сайтов. Этот подход улучшит общее состояние безопасности, но, возможно, будет менее продуктивным. Если вы сделаете его менее ограничивающим для повышения производительности, вы увеличите профиль риска. Трудно найти баланс!
Ещё сложнее следить за новыми угрозами в постоянно меняющемся ландшафте угроз. Браузеры остаются основной поверхностью атаки на клиентских устройствах, потому что основная задача браузера — предоставить пользователям доступ, загрузку и открытие ненадежного контента из ненадежных источников. Злоумышленники постоянно работают над созданием новых форм атак на браузер с помощью социальной инженерии. Стратегии предотвращения инцидентов безопасности или обнаружения/реагирования не могут гарантировать 100% безопасность.
Ключевой стратегией безопасности, которую следует учитывать, является методология предполагаемого нарушения, что означает признание того, что атака будет успешной по крайней мере один раз, независимо от усилий по ее предотвращению. Этот образ мышления требует создания средств защиты для сдерживания ущерба, что гарантирует, что корпоративная сеть и другие ресурсы останутся защищенными в этом сценарии. Развертывание Application Guard для Microsoft Edge полностью соответствует этой стратегии.
О Application Guard
Разработанный для Windows 10 и Microsoft Edge, Application Guard использует метод аппаратной изоляции. Такой подход позволяет запускать ненадежную навигацию по сайту внутри контейнера. Аппаратная изоляция помогает предприятиям защитить свою корпоративную сеть и данные на случай, если пользователи посетят скомпрометированный или вредоносный сайт.
Администратор предприятия определяет, что является надежными сайтами, облачными ресурсами и внутренними сетями. Все, что не входит в список надежных сайтов, считается ненадежным. Эти сайты изолированы от корпоративной сети и данных на устройстве пользователя.
Для получения дополнительной информации:
На следующем снимке экрана показан пример сообщения Application Guard, показывающего, что пользователь просматривает в безопасном пространстве.
Что нового
Поддержка Application Guard в новом браузере Microsoft Edge функционально аналогична устаревшей версии Microsoft Edge и включает несколько улучшений.
Включите Application Guard в пассивном режиме и просматривайте Edge в обычном режиме
Начиная с Microsoft Edge 94, пользователи теперь могут настроить пассивный режим, что означает, что Application Guard игнорирует конфигурацию списка сайтов, и пользователи могут просматривать Edge в обычном режиме. Эту поддержку можно контролировать с помощью политики. Вы можете обновить политику Edge ApplicationGuardPassiveModeEnabled, чтобы включить или отключить пассивный режим.
Эта политика влияет ТОЛЬКО на Edge, поэтому навигация из других браузеров может быть перенаправлена в контейнер Application Guard, если у вас включены соответствующие расширения.
Синхронизация избранного с хоста в контейнер
Некоторые из наших клиентов просили синхронизировать избранное между браузером хоста и контейнером в Application Guard. Начиная с Microsoft Edge 91, пользователи теперь могут настроить Application Guard для синхронизации избранного с хоста в контейнер. Это гарантирует, что новые избранные также появятся в контейнере.
Эту поддержку можно контролировать с помощью политики. Вы можете обновить политику Edge ApplicationGuardFavoritesSyncEnabled, чтобы включить или отключить синхронизацию избранного.
Из соображений безопасности синхронизация избранного возможна только с хоста в контейнер, а не наоборот. Чтобы обеспечить единый список избранного на хосте и в контейнере, мы отключили управление избранным внутри контейнера.
Определить сетевой трафик, исходящий из контейнера
- Чтобы ограничить доступ только к нескольким ненадежным сайтам
- Разрешить доступ в Интернет только из контейнера
Начиная с Microsoft Edge версии 91, имеется встроенная поддержка тегирования сетевого трафика, исходящего из контейнеров Application Guard, что позволяет предприятиям использовать прокси-сервер для фильтрации трафика и применения определенных политик. Вы можете использовать заголовок, чтобы определить, какой трафик проходит через контейнер или узел, используя ApplicationGuardTrafficIdentificationEnabled.
Поддержка расширений внутри контейнера
Поддержка расширений внутри контейнера была одним из самых популярных запросов клиентов. Сценарии варьировались от запуска блокировщиков рекламы внутри контейнера для повышения производительности браузера до возможности запуска собственных расширений внутри контейнера.
Установки расширений в контейнере теперь поддерживаются, начиная с Microsoft Edge версии 81. Этой поддержкой можно управлять с помощью политики.URL-адрес обновления, который используется в политике ExtensionInstallForcelist, следует добавить в качестве нейтральных ресурсов в политиках сетевой изоляции, используемых Application Guard.
Некоторые примеры поддержки контейнеров включают следующие сценарии:
- Принудительная установка расширения на хосте
- Удаление расширения с хоста
- Расширения заблокированы на хосте
Также можно вручную установить отдельные расширения внутри контейнера из магазина расширений. Расширения, установленные вручную, будут сохраняться в контейнере, только если включена политика «Разрешить сохранение».
Идентификация трафика Application Guard через двойной прокси-сервер
Некоторые корпоративные клиенты развертывают Application Guard в конкретном случае, когда им необходимо идентифицировать веб-трафик, исходящий из контейнера Application Guard в Microsoft Defender, на уровне прокси. Начиная со Stable Channel версии 84, Microsoft Edge будет поддерживать двойной прокси-сервер для выполнения этого требования. Эту функцию можно настроить с помощью политики ApplicationGuardContainerProxy.
На следующем рисунке показана архитектура с двумя прокси-серверами для Microsoft Edge.
Страница диагностики для устранения неполадок
Еще одна болевая точка пользователя — устранение неполадок в конфигурации Application Guard на устройстве, когда сообщается о проблеме. В Microsoft Edge есть страница диагностики ( edge://application-guard-internals ) для устранения неполадок пользователей. Одной из таких диагностических возможностей является проверка доверия к URL-адресам на основе конфигурации на устройстве пользователя.
На следующем снимке экрана показана страница диагностики с несколькими вкладками, помогающая диагностировать проблемы, о которых сообщают пользователи на устройстве.
Обновления Microsoft Edge в контейнере
Обновления Microsoft Edge Legacy в контейнере являются частью цикла обновления ОС Windows. Поскольку новая версия Microsoft Edge обновляется независимо от ОС Windows, больше нет зависимости от обновлений контейнера. Канал и версия хоста Microsoft Edge реплицируются внутри контейнера.
Предпосылки
К устройствам, использующим Application Guard с Microsoft Edge, предъявляются следующие требования:
Windows 10 1809 (RS5) и выше.
Только SKU клиента Windows
Application Guard поддерживается только в Windows 10 Pro и Windows 10 Enterprise.
Одно из решений для управления, описанное в разделе Требования к программному обеспечению
Как установить Application Guard
В следующих статьях содержится информация, необходимая для установки, настройки и тестирования Application Guard с Microsoft Edge.
Часто задаваемые вопросы
Работает ли Application Guard в режиме IE?
Режим IE поддерживает функцию Application Guard, но мы не ожидаем широкого использования этой функции в режиме IE. Режим IE рекомендуется развертывать для списка доверенных внутренних сайтов, а Application Guard — только для ненадежных сайтов. Убедитесь, что все сайты или IP-адреса в режиме IE также добавлены в политику сетевой изоляции, чтобы Application Guard считал их доверенными ресурсами.
Нужно ли устанавливать расширение Application Guard для Chrome?
Нет, функция Application Guard изначально поддерживается в Microsoft Edge. На самом деле расширение Application Guard для Chrome не поддерживается в Microsoft Edge.
Могут ли сотрудники загружать документы из сеанса Application Guard Edge на хост-устройства?
В редакции Windows 10 Корпоративная версии 1803 пользователи могут загружать документы из изолированного контейнера Application Guard на хост-компьютер. Эта возможность управляется политикой.
В Windows 10 Корпоративная версии 1709 или Windows 10 Профессиональная версия 1803 невозможно загрузить файлы из изолированного контейнера Application Guard на главный компьютер. Однако сотрудники могут использовать параметры «Печать в формате PDF» или «Печать в формате XPS» и сохранять эти файлы на главном устройстве.
Могут ли сотрудники копировать и вставлять между хост-устройством и сеансом Application Guard Edge?
В зависимости от настроек вашей организации сотрудники могут копировать и вставлять изображения (.bmp) и текст в изолированный контейнер и из него.
Почему сотрудники не видят избранное в сеансе Application Guard Edge?
В зависимости от настроек вашей организации синхронизация избранного может быть отключена. Для управления политикой см. Microsoft Edge и Application Guard в Microsoft Defender | Документы Майкрософт.
Почему сотрудники не видят свои расширения в сеансе Application Guard Edge?
Обязательно включите политику расширений в конфигурации Application Guard.
Мое расширение не работает в Edge Application Guard?
Если политика расширений включена для MDAG в конфигурации, проверьте, требуются ли вашему расширению собственные компоненты обработки сообщений, эти расширения не поддерживаются в контейнере Application Guard.
Я пытаюсь воспроизвести видео с HDR, почему отсутствует параметр HDR?
Чтобы воспроизведение HDR-видео работало в контейнере, аппаратное ускорение vGPU должно быть включено в Application Guard.
Microsoft Defender Application Guard для Office (Application Guard для Office) помогает предотвратить доступ ненадежных файлов к надежным ресурсам, защищая ваше предприятие от новых и возникающих атак. В этой статье администраторы знакомятся с настройкой устройств для предварительной версии Application Guard для Office. В нем содержится информация о системных требованиях и этапах установки для включения Application Guard для Office на устройстве.
Предпосылки
Минимальные требования к оборудованию
Минимальные требования к программному обеспечению
- Windows: выпуск Windows 10 Enterprise, клиентская сборка версии 2004 (20H1), сборка 19041 или новее. Поддерживаются все версии Windows 11.
- Office: Office Current Channel и Monthly Enterprise Channel, сборка версии 2011 16.0.13530.10000 или более поздней. Полугодовой корпоративный канал Office, сборка версии 2108 или более поздней. Поддерживаются как 32-разрядные, так и 64-разрядные версии Office.
- Пакет обновления: ежемесячное накопительное обновление для системы безопасности Windows 10 KB4571756
Подробные требования к системе см. в статье Требования к системе для Application Guard в Microsoft Defender. Кроме того, о том, как включить технологию виртуализации, см. в руководствах производителя вашего компьютера. Дополнительные сведения о каналах обновления Office см. в статье Обзор каналов обновления для Microsoft 365.
Лицензионные требования
- Microsoft 365 E5 или безопасность Microsoft 365 E5
Приложения Microsoft 365 для предприятий с лицензией на устройство не имеют доступа к Application Guard для Office.
Развертывание Application Guard для Office
Включить Application Guard для Office
Загрузите и установите ежемесячные накопительные обновления безопасности для Windows 10 KB4571756.
Выберите Application Guard в Microsoft Defender в разделе «Возможности Windows» и нажмите «ОК». Включение функции Application Guard вызовет перезагрузку системы. Вы можете выбрать перезагрузку сейчас или после шага 3.
Эту функцию также можно включить, выполнив следующую команду PowerShell от имени администратора:
Поиск Application Guard в Microsoft Defender в управляемом режиме, групповая политика в разделе Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Microsoft Defender Application Guard. Включите эту политику, задав в разделе «Параметры» значение 2 или 3, а затем выбрав «ОК» или «Применить».
Вместо этого вы можете установить соответствующую политику CSP:
OMA-URI: ./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/AllowWindowsDefenderApplicationGuard
Тип данных: целое
Значение: 2
Перезагрузите систему.
Настройте диагностику и обратную связь для отправки полных данных
Это не обязательно, однако настройка дополнительных диагностических данных поможет диагностировать обнаруженные проблемы.
Этот шаг гарантирует, что данные, необходимые для выявления и устранения проблем, поступят в Microsoft. Выполните следующие действия, чтобы включить диагностику на вашем устройстве Windows:
Откройте "Настройки" в меню "Пуск".
В настройках Windows выберите Конфиденциальность.
В разделе "Конфиденциальность" выберите "Диагностика и отзывы" и выберите "Дополнительные диагностические данные".
Подробнее о настройке параметров диагностики Windows см. в разделе Настройка диагностических данных Windows в вашей организации.
Подтвердите, что Application Guard для Office включен и работает
Прежде чем убедиться, что Application Guard для Office включен, запустите Word, Excel или PowerPoint на устройстве, на котором развернуты политики. Убедитесь, что Office активирован.Возможно, вам потребуется использовать свое рабочее удостоверение, чтобы сначала активировать продукт Office.
Чтобы убедиться, что Application Guard для Office включен, запустите Word, Excel или PowerPoint, а затем откройте ненадежный документ. Например, вы можете открыть документ, загруженный из Интернета, или вложение электронной почты от кого-то за пределами вашей организации.
При первом открытии ненадежного файла может появиться экран-заставка Office, как показано в следующем примере. Он может отображаться в течение некоторого времени, пока активируется Application Guard для Office и открывается файл. Последующие открытия ненадежных файлов должны выполняться быстрее.
После открытия файл должен отображать несколько визуальных индикаторов того, что файл был открыт в Application Guard для Office:
Выноска на ленте
Значок приложения со щитом на панели задач
Настройка Application Guard для Office
Office поддерживает следующие политики, позволяющие настраивать возможности Application Guard для Office. Эти политики можно настроить с помощью групповых политик или облачной службы политик Office.
Настройка этих политик может отключить некоторые функции для файлов, открытых в Application Guard для Office.
Политика | Описание |
---|---|
Не использовать Application Guard для Office | Включение этой политики заставит Word, Excel и PowerPoint использовать изолированный контейнер защищенного просмотра вместо Application Guard для Office. Эту политику можно использовать для временного отключения Application Guard для Office, если есть проблемы с тем, чтобы оставить ее включенной для Microsoft Edge. |
Настроить предварительное создание контейнера Application Guard для Office | Эта политика определяет, создается ли предварительно контейнер Application Guard для Office для изоляции ненадежных файлов для повышения производительности во время выполнения. Если вы включите этот параметр, вы можете указать количество дней для продолжения предварительного создания контейнера или позволить встроенной эвристике Office предварительно создать контейнер. |
Не Разрешить копирование/вставку для документов Office, открытых в Application Guard для Office | Включение этой политики не позволит пользователю копировать и вставлять содержимое из документа, открытого в Application Guard для Office, в документ, открытый за его пределами. |
Отключить аппаратное ускорение в Application Guard для Office | Эта политика определяет, использует ли Application Guard для Office аппаратное ускорение для рендеринга графики. Если этот параметр включен, Application Guard для Office использует отрисовку на основе программного обеспечения (ЦП) и не будет загружать сторонние графические драйверы или взаимодействовать с каким-либо подключенным графическим оборудованием. |
Отключить защиту неподдерживаемых типов файлов в Application Guard для Office | Эта политика определяет, будет ли Application Guard для Office блокировать открытие неподдерживаемых типов файлов или разрешать перенаправление в режим защищенного просмотра. | < /tr>
Отключить доступ к камере и микрофону для документов, открытых в Application Guard для Office | Включение этой политики удалит доступ Office к камере и микрофону внутри Application Guard для Office. | td>
Запретить печать из документов, открытых в Application Guard для Office | Включение этой политики ограничит принтеры, на которые пользователь может печатать из файла, открытого в Application Guard для Офис. Например, вы можете использовать эту политику, чтобы разрешить пользователям печатать только в PDF. |
Запретить пользователям снимать защиту Application Guard для Office с файлов | Включение эта политика удалит возможность (в рамках приложения Office) отключить защиту Application Guard для Office или открыть файл вне Application Guard для Office. |
Следующие политики потребуют от пользователя выхода и повторного входа в Windows, чтобы они вступили в силу:
- Отключить копирование и вставку для документов, открытых в Application Guard для Office
- Ограничение печати документов, открытых в Application Guard для Office
- Отключите доступ камеры и микрофона к документам, открытым в Application Guard для Office.
Отправить отзыв
Отправить отзыв через Центр отзывов
Если у вас возникнут проблемы при запуске Application Guard для Office, рекомендуем отправить отзыв через Центр отзывов:
Откройте приложение "Центр отзывов" и войдите в систему.
Введите сводку в поле "Обобщить отзыв", если оно еще не заполнено за вас.
Введите подробное описание проблемы, с которой вы столкнулись, и действий, которые вы предприняли, в поле «Объяснить подробнее», затем нажмите «Далее».
Выберите кружок рядом с проблемой. Убедитесь, что выбрана категория «Безопасность и конфиденциальность» > Application Guard в Microsoft Defender — Office, затем нажмите «Далее».
Выберите Новый отзыв, а затем Далее.
Соберите следы проблемы:
Разверните плитку Воссоздать мою проблему.
Если проблема, с которой вы столкнулись, возникает во время работы Application Guard, откройте экземпляр Application Guard. Открытие экземпляра позволяет собирать дополнительные трассировки из контейнера Application Guard.
Выберите «Начать запись» и подождите, пока плитка перестанет вращаться, и скажите Остановить запись.
Полностью воспроизведите проблему с Application Guard. Воспроизведение может включать попытку запуска экземпляра Application Guard и ожидание до тех пор, пока не произойдет сбой, или воспроизведение проблемы в работающем экземпляре Application Guard.
Выберите плитку Остановить запись.
Держите все запущенные экземпляры Application Guard открытыми даже в течение нескольких минут после отправки, чтобы также можно было собрать диагностические данные контейнера.
Прикрепите все соответствующие снимки экрана или файлы, связанные с проблемой.
Выберите "Отправить".
Отправить отзыв через Office Customer Voice
Вы также можете отправить отзыв из Office, если проблема возникает при открытии документов Office в Application Guard. Чтобы оставить отзыв, обратитесь к Справочнику участников программы предварительной оценки Office.
Интеграция с Microsoft Defender для конечной точки и Microsoft Defender для Office 365
Application Guard для Office интегрирован с Защитником Microsoft для конечной точки, чтобы обеспечить мониторинг и оповещение о вредоносных действиях, происходящих в изолированной среде.
Безопасные документы в Microsoft E365 E5 — это функция, использующая Microsoft Defender for Endpoint для сканирования документов, открытых в Application Guard для Office. В качестве дополнительного уровня защиты пользователи не могут выйти из Application Guard для Office, пока не будут определены результаты сканирования.
Microsoft Defender for Endpoint – это платформа безопасности, которая помогает корпоративным сетям предотвращать, обнаруживать, исследовать сложные угрозы и реагировать на них. Дополнительные сведения об этой платформе см. в статье Защитник Microsoft для конечной точки. Дополнительные сведения о подключении устройств к этой платформе см. в разделе Подключение устройств к службе Microsoft Defender for Endpoint.
Вы также можете настроить Защитник Microsoft для Office 365 для работы с Защитником для конечной точки. Дополнительные сведения см. в разделе Интеграция Защитника для Office 365 с Защитником Microsoft для конечной точки.
Ограничения и соображения
Application Guard для Office — это защищенный режим, который изолирует ненадежные документы, чтобы они не могли получить доступ к надежным корпоративным ресурсам, интрасети, удостоверению пользователя и произвольным файлам на компьютере. В результате, если пользователь попытается получить доступ к функции, которая зависит от такого доступа, например к вставке изображения из локального файла на диске, доступ завершится ошибкой и появится запрос, похожий на следующий пример. Чтобы предоставить ненадежному документу доступ к доверенным ресурсам, пользователи должны снять с документа защиту Application Guard.
Рекомендуйте пользователям снимать защиту только в том случае, если они доверяют файлу и его источнику или тому, откуда он взялся.
Если ненадежный документ хранится в надежном расположении, доверие из этого расположения наследуется документом. Как правило, облачное хранилище организации определяется как надежное расположение.
Активное содержимое в документах, такое как макросы и элементы управления ActiveX, отключено в Application Guard для Office. Пользователям необходимо снять защиту Application Guard, чтобы активировать активное содержимое.
Ненадежные файлы из общих сетевых ресурсов или файлы, к которым предоставлен общий доступ из OneDrive, OneDrive для бизнеса или SharePoint Online из другой организации, открываются в Application Guard только для чтения. Пользователи могут сохранить локальную копию таких файлов, чтобы продолжить работу в контейнере, или снять защиту, чтобы напрямую работать с исходным файлом.
Файлы, защищенные системой управления правами на доступ к данным (IRM), по умолчанию блокируются. Если пользователи хотят открывать такие файлы в режиме защищенного просмотра, администратор должен настроить параметры политики для неподдерживаемых в организации типов файлов.
Любые настройки приложений Office в Application Guard для Office не сохранятся после выхода пользователя из системы и повторного входа в нее или после перезагрузки устройства.
Только инструменты специальных возможностей, использующие платформу UIA, могут обеспечить специальные возможности для файлов, открытых в Application Guard для Office.
Подключение к сети требуется для первого запуска Application Guard после установки.Для проверки лицензии Application Guard требуется подключение.
В информационном разделе документа свойство Кем было выполнено последнее изменение может отображать WDAGUtilityAccount в качестве пользователя. WDAGUtilityAccount — это анонимный пользователь, настроенный в Application Guard. Идентификация пользователя рабочего стола не передается внутри контейнера Application Guard.
Оптимизация производительности Application Guard для Office
В этом разделе представлен обзор оптимизаций производительности, используемых в Application Guard для Office. Эта информация может помочь администраторам диагностировать отчеты пользователей, касающиеся производительности Office или системы в целом, когда включен Application Guard.
Application Guard использует виртуализированный контейнер для изоляции ненадежных документов от системы. Процесс создания контейнера и настройки контейнера Application Guard для открытия документов Office снижает производительность, что может отрицательно сказаться на работе пользователей, когда пользователи открывают ненадежный документ.
Чтобы предоставить пользователям ожидаемые возможности открытия файлов, Application Guard использует логику для предварительного создания контейнера, когда в системе выполняется следующая эвристика: пользователь открывал файл в режиме защищенного просмотра или Application Guard в прошлом. 28 дней.
При выполнении этой эвристики Office предварительно создаст контейнер Application Guard для пользователя после входа в Windows. Пока выполняется эта операция предварительного создания, производительность системы может снизиться, но проблема исчезнет, как только операция завершится.
Подсказки, необходимые эвристике для предварительного создания контейнера, генерируются приложениями Office по мере их использования пользователем. Если пользователь устанавливает Office в новую систему, где включен Application Guard, Office не будет предварительно создавать контейнер до тех пор, пока пользователь не откроет в системе ненадежный документ в первый раз. Пользователь заметит, что этот первый файл дольше открывается в Application Guard.
Крис Хоффман
Крис Хоффман
Главный редактор
Крис Хоффман – главный редактор How-To Geek. Он писал о технологиях более десяти лет и два года был обозревателем PCWorld. Крис писал для The New York Times, давал интервью в качестве эксперта по технологиям на телевизионных станциях, таких как NBC 6 в Майами, и освещал свою работу в таких новостных агентствах, как BBC. С 2011 года Крис написал более 2000 статей, которые были прочитаны почти миллиард раз — и это только здесь, в How-To Geek. Подробнее.
Функция Application Guard в Защитнике Windows в Windows 10 запускает браузер Microsoft Edge в изолированном виртуализированном контейнере. Даже если вредоносный веб-сайт воспользуется уязвимостью в Edge, он не сможет поставить под угрозу ваш компьютер. Application Guard отключен по умолчанию.
Начиная с обновления за апрель 2018 г., любой пользователь Windows 10 Профессиональная теперь может включить Application Guard. Ранее эта функция была доступна только в Windows 10 Enterprise. Если у вас Windows 10 Домашняя и вам нужен Application Guard, вам придется перейти на Pro.
Системные требования
Application Guard в Защитнике Windows, также известный как Application Guard или WDAG, работает только с браузером Microsoft Edge. Если вы включите эту функцию, Windows сможет запускать Edge в защищенном изолированном контейнере.
В частности, Windows использует технологию виртуализации Microsoft Hyper-V. Вот почему Application Guard требует, чтобы у вас был ПК с аппаратным обеспечением виртуализации Intel VT-X или AMD-V. Microsoft также перечисляет другие системные требования, включая 64-разрядный процессор с не менее чем 4 ядрами, 8 ГБ ОЗУ и 5 ГБ свободного места.
Как включить Application Guard в Защитнике Windows
Чтобы включить эту функцию, откройте Панель управления > Программы > Включение или отключение компонентов Windows.
Отметьте опцию «Защитник приложений Windows Defender» в списке здесь, а затем нажмите кнопку «ОК».
Если вы не видите этот параметр в этом списке, значит, вы либо используете домашнюю версию Windows 10, либо еще не обновились до обновления за апрель 2018 года.
Если вы видите этот параметр, но он неактивен, ваш компьютер не поддерживает эту функцию. Возможно, у вас нет ПК с аппаратным обеспечением Intel VT-x или AMD-V, или вам может потребоваться включить Intel VT-X в BIOS вашего компьютера. Этот параметр также будет недоступен, если у вас менее 8 ГБ ОЗУ.
Windows установит компонент Application Guard в Защитнике Windows. Когда это будет сделано, вам будет предложено перезагрузить компьютер. Перед использованием этой функции необходимо перезагрузить компьютер.
Как запустить Edge в Application Guard
Edge по-прежнему работает в обычном режиме просмотра по умолчанию, но теперь вы можете открыть безопасное окно просмотра, защищенное функцией Application Guard.
Для этого сначала запустите Microsoft Edge в обычном режиме. В Edge нажмите Меню > Новое окно Application Guard.
Откроется новое отдельное окно браузера Microsoft Edge. Оранжевый текст «Application Guard» в верхнем левом углу окна информирует вас о том, что окно браузера защищено с помощью Application Guard.
Здесь вы можете открыть дополнительные окна браузера — даже дополнительные окна InPrivate для частного просмотра — и они также будут иметь оранжевый текст «Application Guard».
Окно Application Guard также имеет отдельный значок на панели задач, отличный от обычного значка браузера Microsoft Edge. Он имеет синий логотип Edge «e» с серым значком щита над ним.
Когда вы загружаете и открываете некоторые типы файлов, Edge может запускать средства просмотра документов или другие типы приложений в режиме Application Guard. Если приложение работает в режиме Application Guard, вы увидите тот же значок серого щита поверх значка на панели задач.
Загрузки также ограничены. Изолированный браузер Edge не может получить доступ к вашей обычной файловой системе, поэтому вы не можете загружать файлы в свою систему или загружать файлы из обычных папок на веб-сайты в режиме Application Guard. Вы не можете загружать и открывать большинство типов файлов в режиме Application Guard, включая файлы .exe, хотя вы можете просматривать PDF-файлы и другие типы документов. Загружаемые файлы хранятся в специальной файловой системе Application Guard и стираются после выхода из системы.
Другие функции, включая копирование, вставку и печать, также отключены для окон Application Guard.
Microsoft добавила некоторые параметры для снятия этих ограничений, если хотите, но это настройки по умолчанию.
Как настроить Application Guard в Защитнике Windows
Вы можете настроить Application Guard в Защитнике Windows и его ограничения с помощью групповой политики. Если вы используете Application Guard на своем автономном ПК с Windows 10 Professional, вы можете запустить редактор локальной групповой политики, нажав кнопку «Пуск», введя «gpedit.msc» и нажав Enter.
(Редактор групповой политики недоступен в домашних выпусках Windows 10, как и функция Application Guard в Защитнике Windows.)
Перейдите в раздел Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Application Guard в Защитнике Windows.
Чтобы разрешить Edge загружать файлы в ваши обычные системные папки, дважды щелкните параметр «Разрешить загрузку и сохранение файлов в основной операционной системе из Application Guard в Защитнике Windows», установите для него значение «Включено» и нажмите «ОК». ”
Файлы, загруженные вами в режиме Application Guard, будут сохранены в папке «Ненадежные файлы» внутри обычной папки «Загрузки» вашей учетной записи пользователя Windows.
Чтобы предоставить Edge доступ к обычному системному буферу обмена, дважды щелкните параметр «Настроить параметры буфера обмена Application Guard в Защитнике Windows». Нажмите «Включено» и настройте параметры буфера обмена, следуя приведенным здесь инструкциям.Например, вы можете включить операции с буфером обмена из браузера Application Guard в обычную операционную систему, из обычной операционной системы в браузер Application Guard или обоими способами. Вы также можете выбрать, хотите ли вы разрешить копирование текста, копирование изображений или и то, и другое. Когда закончите, нажмите «ОК».
Microsoft рекомендует не разрешать копирование из операционной системы хоста в сеанс Application Guard. В противном случае скомпрометированный сеанс браузера Application Guard может считать данные из буфера обмена вашего компьютера.
Чтобы включить печать, дважды щелкните параметр «Настройка параметров печати Application Guard в Защитнике Windows». Нажмите «Включено» и настройте параметры принтера, используя параметры здесь. Например, вы можете ввести «4», чтобы разрешить печать только на локальные принтеры, «2», чтобы разрешить печать только на файлы PDF, или «6», чтобы разрешить печать только на локальные принтеры и файлы PDF. Когда закончите, нажмите «ОК».
Если вы включите печать в файлы PDF или XPS, Application Guard позволит вам сохранять эти файлы в обычной файловой системе основной операционной системы.
После изменения этих настроек необходимо перезагрузить компьютер. Они не вступят в силу, пока вы этого не сделаете.
Несмотря на то, что редактор групповой политики сообщил, что для этих настроек требуется Windows 10 Enterprise, мы обнаружили, что они отлично работают в Windows 10 Professional с обновлением за апрель 2018 г. Вероятно, кто-то в Microsoft забыл обновить документацию.
Если вам нужна дополнительная информация о том, что делают эти параметры групповой политики, обратитесь к документации по групповой политике Microsoft Defender Application Guard.
И если вас интересуют функции безопасности Windows 10, обязательно ознакомьтесь с Контролируемым доступом к папкам, который помогает защитить ваши файлы от программ-вымогателей. Эта функция также отключена по умолчанию.
- › Что нового в обновлении Windows 10 за октябрь 2018 г.
- › Новый Microsoft Edge теперь «готов к повседневному использованию»
- › Как Microsoft собирается сделать Google Chrome еще лучше
- › Что нового в обновлении Windows 10 от мая 2021 г. (21H1), уже доступно
- › Что означает XD и как вы его используете?
- › Как восстановить метки панели задач в Windows 11
- › Почему прозрачные чехлы для телефонов желтеют?
- › Худшее, что есть в телефонах Samsung, — это программное обеспечение Samsung.
Читайте также: