Defender Application Guard
Ustawienia programu Microsoft™ Defender Application Guard (Application Guard) chronią organizację przed złośliwymi atakami, izolując ją w oddzielnym środowisku przeglądania dla niezaufanych serwisów zdefiniowanych w przedsiębiorstwie, do których użytkownicy mogą uzyskać dostęp podczas przeglądania Internetu.
Co to jest Application Guard?
Application Guard, sprzętowy system obrony punktów końcowych, jest narzędziem bezpieczeństwa wbudowanym w program Microsoft Edge. Application Guard izoluje niezaufane serwisy zdefiniowane w przedsiębiorstwie zamykając je w maszynie wirtualnej (VM), aby zapobiec uruchomieniu szkodliwych działań na poziomie systemu. Ta funkcja jest obsługiwana w systemie Windows™ 10 w wersji 1709 lub nowszej. Więcej informacji na temat programu Application Guard znajduje się pod adresem https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-application-guard/md-app-guard-overview.
Jak działa Application Guard
Jeśli użytkownik odwiedza niezaufany serwis przy użyciu przeglądarki, przeglądarka otwiera tę stronę w osobnym kontenerze Hyper-V, który jest oddzielony od komputera hosta. Jeśli niezaufany serwis, który jest uruchamiany w kontenerze, jest niebezpiecznym serwisem, komputer hosta jest chroniony, a atakujący nie może uzyskać dostępu do danych przedsiębiorstwa.
Przeglądarka z włączoną obsługą Application Guard
Ta funkcja jest obsługiwana w przeglądarkach Microsoft Edge . Jeśli przeglądarka działa w trybie Application Guard, na pasku narzędzi przeglądarki zostanie wyświetlona następująca ikona:
Wymagania sprzętowe w celu uruchomienia Application Guard
| Sprzęt | Wymaganie |
|---|---|
| 64-bitowy procesor | Dla hiperwizora i zabezpieczeń opartych na wirtualizacji (VBS) wymagane są co najmniej 4 rdzenie (procesory
logiczne). Więcej informacji na temat Hyper-V zawiera serwis https://docs.microsoft.com/en-us/virtualization/hyper-v-on-windows/about/. |
| Rozszerzenia wirtualizacji procesora | Rozszerzone tabele stron (drugi poziom translacji adresów - SLAT) i jedno z poniższych:
|
| Pamięć sprzętowa | Co najmniej 8 GB |
| Dysk twardy | 5 GB wolnego miejsca, zalecany dysk SSD |
| Obsługa IOMMU (jednostki zarządzania pamięcią wejścia/wyjścia) | Nie jest wymagane, ale zalecane |
Konfigurowanie ustawień programu Application Guard
| Ustawienie zasady | Opis | Obsługiwane urządzenia |
|---|---|---|
| Konfigurowanie aplikacji Defender Application Guard | Jeśli to ustawienie jest włączone, można skonfigurować ustawienia, które chronią użytkowników przed dostępem do szkodliwych/niezaufanych serwisów, izolując te serwisy w osobnym środowisku przeglądania, aby zapobiec rozprzestrzenianiu się złośliwych ataków na komputer hosta. | Windows 10+ Professional, Education, Enterprise |
| Ustawienia aplikacji Defender Application Guard | ||
| Ustawienia schowka | Określa typ treści, którą użytkownicy mogą kopiować z komputera hosta do sesji programu Application Guard. Włącz
ustawienia w polu Zachowanie schowka, aby określić sposób zachowania się schowka w kontenerze
aplikacji. Jeśli użytkownik
spróbuje skopiować treść, która nie jest dozwolona, zostanie wyświetlony komunikat. Dostępne są następujące ustawienia:
|
Windows 10+ Professional, Education, Enterprise |
| Zachowanie schowka | Określa sposób zachowania schowka, gdy użytkownik pracuje w kontenerze Application Guard. Jeśli użytkownik
spróbuje skopiować treść, która nie jest dozwolona, zostanie wyświetlony komunikat. Dostępne są następujące ustawienia:
|
Windows 10+ Professional, Education, Enterprise |
| Ustawienia drukowania | Określa sposób działania funkcji drukowania, gdy użytkownik pracuje w kontenerze Application Guard. Dostępne są następujące ustawienia:
|
Windows 10+ Professional, Education, Enterprise |
| Zezwól na dostęp do kamery i mikrofonu w kontenerze | Jeśli to ustawienie jest włączone, aplikacje w kontenerze Application Guard mogą uzyskać dostęp do kamery i mikrofonu urządzenia, jeśli te ustawienia są również włączone na urządzeniu użytkownika. | Windows 10+ Professional, Education, Enterprise |
| Zezwól na zapisywanie danych użytkownika | Jeśli to ustawienie jest włączone, można zapisywać dane w różnych sesjach w kontenerze Application Guard. Application Guard zapisuje pobrane przez użytkownika pliki i inne elementy (informacje cookie, Ulubione) na pasku narzędzi przeglądarki, aby można było ich używać w przyszłych sesjach programu Application Guard. Aby zachować bezpieczną i odizolowaną sesję programu Application Guard od komputera hosta, ulubione serwisy, które zostały zapisane w sesji programu Application Guard, nie są kopiowane do komputera hosta. Pliki, które są pobierane w kontenerze Application Guard, są pobierane do katalogu C:\Users\wdagutilityaccount\Downloads. Jeśli w tym pliku będzie ukryty szkodliwy skrypt, skrypt ten nie będzie mógł uzyskać dostępu do danych firmowych na komputerze hosta. Resetowanie kontenera Application Guard Jeśli użytkownik nie zezwoli lub wyłączy zapisywanie danych, restartowanie urządzenia lub zalogowanie się i wylogowanie z izolowanego kontenera wyzwoli zdarzenie czyszczenia, które usunie wszystkie wygenerowane dane, w tym informacje cookie sesji i Ulubione, usuwając dane z Application Guard. Jeśli zapisywanie danych zostanie włączone, wszystkie wygenerowane przez użytkownika artefakty zostaną zachowane pomiędzy restartami kontenera. Te artefakty istnieją jednak tylko w izolowanym kontenerze i nie są współużytkowane z komputerem hosta. Dane te będą dostępne po zrestartowaniu i aktualizacji wersji systemu Windows 10. Aby zatrzymać obsługę zapisywania danych dla użytkowników, należy użyć następującego programu narzędziowego udostępnianego przez system Windows w celu zresetowania kontenera i usunięcia wszelkich osobistych danych. Aby zresetować kontener:
|
Windows 10+ Professional, Education, Enterprise |
| Zezwól wirtualnej jednostce GPU na przetwarzanie grafiki | Jeśli to ustawienie jest włączone, Application Guard może korzystać z wirtualnej jednostki GPU do przetwarzania
grafiki. To ustawienie jest obsługiwane w systemie Windows 10 w wersji 1803 i nowszych. Application Guard używa mechanizmu Hyper-V, aby uzyskać dostęp do obsługiwanych, wysokowydajnych sprzętowych kart graficznych (GPU). Aplikacja Guard wykorzystuje GPU do zwiększenia wydajności wyświetlania i czasu pracy na baterii baterii przy odtwarzaniu wideo i innych sytuacjach intensywnego przetwarzania graficznego. Jeśli to ustawienie zostanie włączone bez dostępnego wydajnego sprzętu graficznego o wysokim poziomie zabezpieczeń, aplikacja Guard automatycznie wróci do programowego renderowania grafiki z wykorzystaniem CPU. Uwaga: Jeśli dla
urządzeń graficznych lub sterowników zostanie naruszona ochrona danych, włączenie tego ustawienia może stanowić ryzyko
dla urządzenia hosta.
|
Windows 10+ Professional, Education, Enterprise |
| Zapisz pobrane pliki w systemie operacyjnym hosta | Jeśli to ustawienie jest włączone, użytkownicy mogą pobierać pliki z kontenera Application Guard do komputera hosta. To ustawienie jest obsługiwane w systemie Windows 10 w wersji 1803 i nowszych. | Windows 10+ Professional, Education, Enterprise |
| Blokowanie treści innych niż firmowe | Jeśli to ustawienie jest włączone, uniemożliwia serwisom ładowanie treści innych niż korporacyjne (treści z niezaufanych serwisów) w przeglądarkach Microsoft Edge i Internet Explorer. To ustawienie jest obsługiwane w programie Microsoft Edge w systemie Windows 10 + Enterprise lub Windows 10 + Education z programem Microsoft Defender Application Guard w trybie Enterprise. |
Windows 10+ Education, Enterprise |
| Odciski palca certyfikatu | Umożliwia współużytkowanie wybranych certyfikatów głównych zainstalowane na poziomie urządzenia z kontenerem
Application Guard. Do kontenera są przesyłane certyfikaty z podanymi odciskami. W przypadku wielu certyfikatów należy rozdzielić przecinkami odcisku palca dla każdego certyfikatu, który ma zostać przesłany. Na przykład: b4e72779a8a362c860c36a6461f31e3aa7e58c14,1b1d49f06d2a697a544a1059bd59a7b058cda924 To ustawienie obsługuje następujące wersje:
|
Windows 10+ Education, Enterprise |