Настройка параметров политики Application Guard в Microsoft Defender
Примечание.
- Application Guard в Microsoft Defender, включая API изолированного средства запуска приложений Windows, не рекомендуется использовать для Microsoft Edge для бизнеса и больше не будет обновляться. Дополнительные сведения о возможностях безопасности Microsoft Edge см. в статье Безопасность Microsoft Edge для бизнеса.
- Начиная с Windows 11, версия 24H2, Application Guard в Microsoft Defender, включая API изолированного средства запуска приложений Windows, больше не доступна.
- Так как Application Guard не рекомендуется, миграция на пограничный манифест версии 3 не будет выполняться. Соответствующие расширения браузера и связанное приложение Магазина Windows больше не доступны. Если вы хотите заблокировать незащищенные браузеры до тех пор, пока не будете готовы прекратить использование MDAG на предприятии, рекомендуется использовать политики AppLocker или службу управления Microsoft Edge. Дополнительные сведения см. в статье Microsoft Edge и Application Guard в Microsoft Defender.
Application Guard в Microsoft Defender (Application Guard) работает с групповая политика, чтобы помочь вам управлять параметрами компьютера вашей организации. С помощью групповой политики вы можете настроить параметр политики один раз, а затем скопировать его на несколько компьютеров. Например, можно настроить несколько параметров безопасности в объекте групповая политика, связанном с доменом, а затем применить все эти параметры к каждой конечной точке в домене.
Application Guard использует параметры сетевой изоляции и параметры, относящиеся к конкретным приложениям.
Требования к выпуску и лицензированию Windows
В следующей таблице перечислены выпуски Windows, поддерживающие Application Guard в Microsoft Defender (MDAG) для режима предприятия Edge и управления предприятием.
| Windows Pro | Windows Корпоративная | Windows Pro для образовательных учреждений/SE | Windows для образовательных учреждений |
|---|---|---|---|
| Нет | Да | Нет | Да |
Application Guard в Microsoft Defender (MDAG) для режима предприятия Edge и прав на лицензии на управление предприятием предоставляются следующими лицензиями:
| Windows Pro/Pro для образовательных учреждений/SE | Windows Корпоративная E3 | Windows Корпоративная E5 | Windows для образовательных учреждений A3 | Windows для образовательных учреждений A5 |
|---|---|---|---|---|
| Нет | Да | Да | Да | Да |
Дополнительные сведения о лицензировании Windows см. в статье Обзор лицензирования Windows.
Дополнительные сведения о Application Guard в Microsoft Defender (MDAG) для Microsoft Edge в автономном режиме см. в статье Обзор Application Guard в Microsoft Defender.
Параметры сетевой изоляции
Эти параметры, расположенные по адресу Computer Configuration\Administrative Templates\Network\Network Isolation, помогают определить границы сети организации и управлять ими. Application Guard использует эти сведения для автоматической передачи запросов на доступ к некорпоратным ресурсам в контейнер Application Guard.
Примечание.
Для Windows 10, если вы KB5014666 установлены, а для Windows 11, если вы установили KB5014668, вам не нужно настраивать политику сетевой изоляции, чтобы включить Application Guard для Microsoft Edge в управляемом режиме.
Примечание.
Вам необходимо настроить либо домены корпоративных ресурсов, расположенные в облаке, либо диапазоны частных сетей для параметров приложений на устройствах ваших сотрудников, чтобы успешно включить Application Guard в корпоративном режиме. Прокси-серверы должны быть нейтральным ресурсом, перечисленным в разделе Домены, классифицированные как рабочие и личные политики.
| Имя политики | Поддерживаемые версии | Описание |
|---|---|---|
| Диапазоны частных сетей для приложений | Как минимум Windows Server 2012, Windows 8 или Windows RT | Разделенный запятыми список диапазонов IP-адресов, которые находятся в вашей корпоративной сети. Включенные конечные точки или конечные точки, включенные в заданный диапазон IP-адресов, обрабатываются с помощью Microsoft Edge и из среды Application Guard к ним не будет доступа. |
| Домены корпоративных ресурсов, расположенные в облаке | Как минимум Windows Server 2012, Windows 8 или Windows RT | Разделенный по каналу (|) список облачных ресурсов домена. Включенные конечные точки обрабатываются с помощью Microsoft Edge и из среды Application Guard к ним не будет доступа. Этот список поддерживает подстановочные знаки, описанные в таблице Подстановочные знаки параметров сетевой изоляции . |
| Домены, классифицируемые и как рабочие, и как личные | Как минимум Windows Server 2012, Windows 8 или Windows RT | Разделенный запятыми список имен доменов, используемых и как рабочие, и как личные ресурсы. Включенные конечные точки отрисовываются с помощью Microsoft Edge и будут доступны из Application Guard и обычной среды Microsoft Edge. Этот список поддерживает подстановочные знаки, описанные в таблице Подстановочные знаки параметров сетевой изоляции . |
Подстановочные знаки параметров сетевой изоляции
| Значение | Количество точек слева | Значение |
|---|---|---|
contoso.com |
0 | Доверяйте только литеральное значение contoso.com. |
www.contoso.com |
0 | Доверяйте только литеральное значение www.contoso.com. |
.contoso.com |
1 | Доверяйте любому домену, который заканчивается текстом contoso.com. Соответствующие сайты включают spearphishingcontoso.com, contoso.comи www.contoso.com. |
..contoso.com |
2 | Доверяйте всем уровням иерархии домена, которые находятся слева от точки. Совпадающие сайты включают shop.contoso.com, us.shop.contoso.com, www.us.shop.contoso.com, но НЕ contoso.com сами по себе. |
Параметры, относящиеся к конкретным приложениям
Эти параметры, расположенные по адресу Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application Guard, помогут вам управлять реализацией Application Guard в организации.
| Имя | Поддерживаемые версии | Описание | Параметры |
|---|---|---|---|
| Настройка параметров буфера обмена Application Guard в Microsoft Defender | Windows 10 Корпоративная, 1709 или более поздней версии Windows 10 для образовательных учреждений, 1809 или более поздней версии Windows 11 Корпоративная и образование |
Определяет, может ли Application Guard использовать функции буфера обмена. | Включено. Это действует только в управляемом режиме. Включает функции буфера обмена и позволяет выбрать, следует ли дополнительно: — полностью отключить функцию буфера обмена, если включена безопасность виртуализации. — Включение копирования определенного содержимого из Application Guard в Microsoft Edge. — Включение копирования определенного содержимого из Microsoft Edge в Application Guard. Важный: Разрешение копирования содержимого из Microsoft Edge в Application Guard может вызвать потенциальные угрозы безопасности и не рекомендуется. 1 или не настроено. Полностью отключает функциональность буфера обмена для Application Guard. |
| Настройка параметров печати Application Guard в Microsoft Defender | Windows 10 Корпоративная, 1709 или более поздней версии Windows 10 для образовательных учреждений, 1809 или более поздней версии Windows 11 Корпоративная и образование |
Определяет, может ли Application Guard использовать функции печати. | Включено. Это действует только в управляемом режиме. Включает функцию печати и позволяет выбрать, следует ли дополнительно: — Включение Application Guard для печати в формате XPS. — Включение Application Guard для печати в формате PDF. — Включение Application Guard для печати на локально подключенных принтерах. — включите Application Guard для печати с подключенных ранее сетевых принтеров. Сотрудники не могут искать другие принтеры. 1 или не настроено. Полностью отключает функции печати для Application Guard. |
| Разрешить сохраняемость | Windows 10 Корпоративная, 1709 или более поздней версии Windows 10 для образовательных учреждений, 1809 или более поздней версии Windows 11 Корпоративная и образование |
Определяет, сохраняются ли данные в разных сеансах в Application Guard в Microsoft Defender. | Включено. Это действует только в управляемом режиме. Application Guard сохраняет загруженные пользователем файлы и прочие элементы (например файлы cookie, избранное и т.д.) для использования в будущих сеансах Application Guard. 1 или не настроено. Все данные пользователя в Application Guard сбрасывается между сеансами. ПРИМЕЧАНИЕ. Если позже вы решите прекратить поддержку сохраняемости данных для своих сотрудников, вы можете использовать нашу служебную программу, предоставляемую Windows, для сброса контейнера и для отмены любых персональных данных.
Сброс контейнера: |
| Включение Application Guard в Microsoft Defender в управляемом режиме | Windows 10 Корпоративная, 1709 или более поздней версии Windows 10 для образовательных учреждений, 1809 или более поздней версии Windows 11 Корпоративная и образование |
Определяет, следует ли включать Application Guard для Microsoft Edge и Microsoft Office. | Включено. Включает Application Guard для Microsoft Edge и (или) Microsoft Office, соблюдая параметры сетевой изоляции, отображая ненадежное содержимое в контейнере Application Guard. Application Guard фактически не будут включены, если на устройстве не установлены необходимые предварительные требования и параметры сетевой изоляции. Доступные варианты: — включение Application Guard в Microsoft Defender только для Microsoft Edge — включение Application Guard в Microsoft Defender только для Microsoft Office — Включение Application Guard в Microsoft Defender для Microsoft Edge и Microsoft Office Служба отключена. Отключает Application Guard, позволяя запускать все приложения в Microsoft Edge и Microsoft Office. Заметка: Для Windows 10, если вы установили KB5014666, а для Windows 11, если вы установили KB5014668, вам больше не нужно настраивать политику сетевой изоляции, чтобы включить Application Guard для Microsoft Edge. |
| Разрешить скачивание файлов для размещения операционной системы | Windows 10 Корпоративная или Pro, 1803 или более поздней версии Windows 10 для образовательных учреждений, 1809 или более поздней версии Windows 11 Корпоративная, Pro или Education |
Определяет, следует ли сохранять скачанные файлы в операционной системе узла из контейнера Application Guard в Microsoft Defender. | Включено. Позволяет пользователям сохранять скачанные файлы из контейнера Application Guard в Microsoft Defender в операционной системе узла. Это действие создает общую папку между узлом и контейнером, которая также позволяет отправлять данные из узла в контейнер Application Guard. 1 или не настроено. Пользователи не могут сохранять скачанные файлы из Application Guard в операционной системе узла. |
| Разрешить отрисовку с аппаратным ускорением для Application Guard в Microsoft Defender | Windows 10 Корпоративная, 1709 или более поздней версии Windows 10 для образовательных учреждений, 1809 или более поздней версии Windows 11 Корпоративная и образование |
Определяет, выполняет ли Application Guard в Microsoft Defender отрисовку графики с помощью аппаратного или программного ускорения. | Включено. Это действует только в управляемом режиме. Application Guard в Microsoft Defender использует Hyper-V для доступа к поддерживаемму графическому оборудованию (GPU) с высоким уровнем безопасности. Эти графические процессоры повышают производительность отрисовки и время работы батареи при использовании Application Guard в Microsoft Defender, особенно для воспроизведения видео и других вариантов использования с интенсивным использованием графики. Если этот параметр включен без подключения графического оборудования с высоким уровнем безопасности, Application Guard в Microsoft Defender автоматически отменить изменения к программной отрисовке (ЦП).
Важный: Включение этого параметра с потенциально скомпрометированных графических устройств или драйверов может представлять угрозу для хост-устройства. 1 или не настроено. Application Guard в Microsoft Defender использует программную отрисовку (ЦП) и не загружает сторонние графические драйверы и не взаимодействует с подключенным графическим оборудованием. |
| Разрешить доступ к камере и микрофону в Application Guard в Microsoft Defender | Windows 10 Корпоративная, 1709 или более поздней версии Windows 10 для образовательных учреждений, 1809 или более поздней версии Windows 11 Корпоративная и образование |
Определяет, следует ли разрешать доступ к камере и микрофону внутри Application Guard в Microsoft Defender. | Включено. Это действует только в управляемом режиме. Приложения внутри Application Guard в Microsoft Defender могут получать доступ к камере и микрофону на устройстве пользователя.
Важный: Включение этой политики с потенциально скомпрометируемым контейнером может обойти разрешения камеры и микрофона и получить доступ к камере и микрофону без ведома пользователя. 1 или не настроено. Приложения внутри Application Guard в Microsoft Defender не могут получить доступ к камере и микрофону на устройстве пользователя. |
| Разрешить Application Guard в Microsoft Defender использовать корневые центры сертификации с устройства пользователя | Windows 10 Корпоративная или Pro, 1809 или более поздней версии Windows 10 для образовательных учреждений, 1809 или более поздней версии Windows 11 Корпоративная или Pro |
Определяет, используются ли корневые сертификаты совместно с Application Guard в Microsoft Defender. | Включено. Сертификаты, соответствующие указанному отпечатку, передаются в контейнер. Используйте запятую для разделения нескольких сертификатов. 1 или не настроено. Сертификаты не используются совместно с Application Guard в Microsoft Defender. |
| Разрешить аудит событий в Application Guard в Microsoft Defender | Windows 10 Корпоративная, 1709 или более поздней версии Windows 10 для образовательных учреждений, 1809 или более поздней версии Windows 11 Корпоративная и образование |
Этот параметр политики позволяет решить, можно ли собирать события аудита из Application Guard в Microsoft Defender. | Включено. Это действует только в управляемом режиме. Application Guard наследует политики аудита от устройства и записывает системные события из контейнера Application Guard на узел. 1 или не настроено. Журналы событий не собираются из контейнера Application Guard. |
параметры Application Guard поддержки диалоговых окон
Эти параметры находятся в .Administrative Templates\Windows Components\Windows Security\Enterprise Customization Если возникает ошибка, появится диалоговое окно. По умолчанию это диалоговое окно содержит только сведения об ошибке и кнопку, чтобы сообщить об этом корпорации Майкрософт через центр отзывов. Однако в диалоговом окне можно указать дополнительные сведения.
Используйте групповая политика для включения и настройки контактных данных.