Defender Application Guard

Microsoft Defender Application Guard (Application Guard) 设置通过在单独的浏览环境中隔离用户在浏览因特网时可能访问的企业定义的不可信站点，保护您的组织免受恶意攻击。

什么是 Application Guard?

Application Guard (基于硬件的端点防御) 是内置到 Microsoft Edge中的安全工具。 Application Guard 将企业定义的不可信站点与虚拟机 (VM) 中的桌面 (主机) 隔离，以防止恶意活动到达桌面。此功能在 Windows 10 V1709 及更高版本上受支持。有关 Application Guard 的更多信息，请参阅 https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-application-guard/md-app-guard-overview。

Application Guard 工作方式

如果用户通过浏览器访问不可信站点，那么浏览器将在独立于主机的支持 Hyper-V 的容器中打开该站点。如果处于容器隔离的不可信站点是恶意站点，那么主机会受到保护，并且攻击者无法访问企业数据。

启用 Application Guard 的浏览器

此功能在 Microsoft Edge 浏览器上受支持。如果您的浏览器处于 Application Guard 方式，那么浏览器工具栏中将显示以下图标:

运行 Application Guard 的硬件需求

必须满足以下硬件需求才能在环境中运行 Application Guard:

硬件	要求
64 位 CPU	系统管理程序和基于虚拟化的安全性 (VBS) 需要最少 4 个核心 (逻辑处理器)。有关 Hyper-V 的更多信息，请参阅 https://docs.microsoft.com/en-us/virtualization/hyper-v-on-windows/about/。
CPU 虚拟化扩展	扩展页面表 (二级地址转换或 SLAT) 以及下列其中一项: VT-x（英特尔）或 AMD-V
硬件内存	最小 8 GB
硬盘	5 GB 可用空间，建议使用固态磁盘 (SSD)
输入/输出内存管理单元 (IOMMU) 支持	不需要，但建议

配置 Application Guard 设置

下表描述了可以为 Windows 设备配置的应用程序保护设置。

策略设置	描述	受支持的设备
配置 Defender Application Guard	如果启用了此设置，那么可以通过在单独的浏览环境中隔离这些站点以防止恶意攻击传播到主机，从而配置用于保护用户不访问恶意/不可信站点的设置。	Windows 专业版、教育版、企业版
Defender Application Guard 设置
剪贴板设置	指定用户可以从主机复制到 Application Guard 会话的内容类型。在剪贴板行为中启用设置，以指定用户在 Application Guard 容器中时剪贴板的行为方式。如果用户尝试复制不允许的内容，那么将向用户显示一条消息。设置包括: 允许文本和图像复制允许文本复制允许图像复制	Windows 专业版、教育版、企业版
剪贴板行为	指定当用户位于 Application Guard 容器中时剪贴板的行为方式。如果用户尝试复制不允许的内容，那么将向用户显示一条消息。设置包括: 阻止复制和粘贴允许将隔离式会话复制到主机: 用户可以将特定内容从 Application Guard 复制到 Microsoft Edge。允许主机到隔离式会话: 用户可以将特定内容从 Microsoft Edge 复制到 Application Guard。注: 此操作可能会导致 Application Guard 容器中存在潜在的安全风险。允许双向: 用户可以将特定内容从 Application Guard 复制到 Microsoft Edge ，并从 Microsoft Edge 复制到 Application Guard。注: 此操作可能会导致 Application Guard 容器中存在潜在的安全风险。	Windows 专业版、教育版、企业版
打印设置	指定当用户在 Application Guard 容器中时，打印功能的行为方式。设置包括: 阻止打印允许 XPS 打印: 使 Application Guard 能够打印到 XPS (XML 纸张规范) 文件格式。允许 PDF 打印: 使 Application Guard 能够打印为 PDF 文件格式。允许 PDF 和 XPS 打印允许本地打印: 使 Application Guard 能够打印到本地连接的打印机。允许本地和 PDF 打印允许本地， PDF 和 XPS 打印允许网络打印: 允许 Application Guard 从先前连接的网络打印机打印。用户无法搜索其他打印机。允许网络和 XPS 打印允许网络和 PDF 打印允许网络， PDF 和 XPS 打印允许网络和本地打印	Windows 专业版、教育版、企业版
在容器中允许访问相机和麦克风	如果启用了此设置，那么 Application Guard 容器中的应用程序可以访问设备的摄像头和麦克风 (如果在用户的设备上也启用了这些设置)。	Windows 专业版、教育版、企业版
允许持久存储用户数据	如果启用了此设置，那么数据可以跨 Application Guard 容器中的不同会话持久存储。 Application Guard 将用户下载的文件和其他项 (cookie 和收藏夹) 保存在浏览器工具栏中，以便在将来的 Application Guard 会话中使用。为了使 Application Guard 会话保持安全并与主机隔离，不会将存储在 Application Guard 会话中的收藏夹复制到主机。从 Application Guard 容器下载的文件将下载到 C:\Users\wdagutilityaccount\Downloads。如果该文件中隐藏了恶意脚本，那么该脚本无法访问主机上的企业数据。重置 Application Guard 容器如果您不允许或禁用数据持久性，那么重新启动设备或登录隔离容器会触发重新启动事件，该事件会废弃所有生成的数据 (包括会话 cookie 和收藏夹) ，从而从 Application Guard 中除去数据。如果启用数据持久性，那么将在容器重新启动事件之间保留所有用户生成的工件。但是，这些工件仅存在于隔离式容器中，并且不会与主机共享。这些数据在 Windows 重新启动和构建到构建的升级后仍然存在。如果要停止支持用户的数据持久性，请使用以下 Windows 提供的实用程序来重置容器并废弃任何个人数据。要重置容器: 打开命令行程序，转到 Windows/System32。输入 `wdagtool.exe cleanup`。将重置容器环境，并且仅保留用户生成的数据。输入 `wdagtool.exe cleanup RESET_PERSISTENCE_LAYER`。将重置容器环境并废弃所有用户生成的数据。	Windows 专业版、教育版、企业版
允许虚拟 GPU 来处理图形	如果启用此设置，那么 Application Guard 可以使用虚拟图形处理单元 (GPU) 来处理图形。此设置在 Windows 10 1803 及更高版本上受支持。 Application Guard 使用 Hyper-V 来访问受支持的高安全性呈现图形硬件 (GPU)。 Application Guard 帮助 GPU 提高视频回放和其他图形密集型用例的渲染性能和电池寿命。如果在不连接高安全性渲染图形硬件的情况下启用此设置， Application Guard 会自动还原为基于软件的 (CPU) 渲染。注: 如果图形设备或驱动程序受到损害，那么启用此设置可能会对主机设备造成风险。	Windows 专业版、教育版、企业版
将下载的文件保存到主机操作系统	如果启用了此设置，那么用户可以将文件从其 Application Guard 容器下载到其主机。此设置在 Windows 10 1803 及更高版本上受支持。	Windows 专业版、教育版、企业版
阻止非企业内容	如果启用了此设置，那么将阻止站点在 Microsoft Edge 和 Internet Explorer 中装入非企业内容 (来自不可信站点的内容)。 Microsoft Edge 上支持此设置，Windows Enterprise 或 Windows Education 在企业模式下支持 Microsoft Defender Application Guard。	视窗教育、企业
证书指纹	与 Application Guard 容器共享某些设备级别的根证书。具有与指定的证书相匹配的指纹的证书将传输到容器中。对于多个证书，请使用逗号来分隔要传输的每个证书的指纹。例如：`b4e72779a8a362c860c36a6461f31e3aa7e58c14,1b1d49f06d2a697a544a1059bd59a7b058cda924` 此设置支持以下版本: Windows 10 V1803 和更高版本 Microsoft Edge 在 Windows 企业版或 Windows 教育版上，在企业模式下使用 Microsoft Defender 应用程序防护程序	视窗教育、企业