Вопросы и ответы об Application Guard в Microsoft Defender

Примечание.

В этой статье перечислены часто задаваемые вопросы с ответами по Application Guard в Microsoft Defender (Application Guard). Вопросы охватывают функции, интеграцию с операционной системой Windows и общую конфигурацию.

Часто задаваемые вопросы

Можно ли включить Application Guard на компьютерах с 4 ГБ ОЗУ?

Для оптимальной производительности рекомендуется использовать 8 ГБ ОЗУ, но для включения Application Guard на компьютерах, которые не соответствуют рекомендуемой конфигурации оборудования, можно использовать следующие значения DWORD реестра.

HKLM\software\Microsoft\Hvsi\SpecRequiredProcessorCount (По умолчанию используется четыре ядра.)

HKLM\software\Microsoft\Hvsi\SpecRequiredMemoryInGB (По умолчанию — 8 ГБ.)

HKLM\software\Microsoft\Hvsi\SpecRequiredFreeDiskSpaceInGB (По умолчанию — 5 ГБ.)

В конфигурации сети используется прокси-сервер, и у меня возникает сообщение "Не удается разрешить внешние URL-адреса из браузера MDAG: Ошибка: err_connection_refused". Разделы справки решить эту проблему?

Вручную или PAC-сервер должен быть именем узла (не IP-адресом), нейтральным в списке сайтов. Кроме того, если скрипт PAC возвращает прокси-сервер, он должен соответствовать тем же требованиям.

Чтобы полные доменные имена (полные доменные имена) для "PAC-файла" и "прокси-серверов, на которые перенаправляется PAC-файл", добавлены в качестве нейтральных ресурсов в политиках сетевой изоляции, используемых Application Guard, можно:

  • Проверьте это добавление, перейдя в edge://application-guard-internals/#utilities и введя полное доменное имя для pac/proxy в поле "проверка URL-адрес доверия" и убедившись, что в поле "проверка URL-адрес доверия" указано "Нейтральный".
  • Это должно быть полное доменное имя. Простой IP-адрес не будет работать.
  • При необходимости, если это возможно, IP-адреса, связанные с сервером, на котором размещен указанный выше сервер, должны быть удалены из диапазонов IP-адресов предприятия в политиках сетевой изоляции, используемых Application Guard.

Разделы справки настроить Application Guard в Microsoft Defender для работы с сетевым прокси-сервером (IP-литеральными адресами)?

Application Guard требуется, чтобы прокси-серверы имели символическое имя, а не только IP-адрес. IP-Literal параметры прокси-сервера, например 192.168.1.4:81 , могут быть помечены как itproxy:81 или с помощью записи, P19216810010 например для прокси-сервера с IP-адресом 192.168.100.10. Эта заметка относится к выпуску Windows 10 Корпоративная версии 1709 или более поздней. Эти заметки будут использоваться для политик прокси-сервера в разделе Сетевая изоляция в групповая политика или Intune.

Какие редакторы методов ввода (IME) в 19H1 не поддерживаются?

Следующие редакторы методов ввода (IME), представленные в Windows 10 версии 1903, в настоящее время не поддерживаются в Application Guard в Microsoft Defender:

  • Клавиатура вьетнамского телекса
  • Вьетнамская клавиатура на основе клавиши с номером
  • Фонетическая клавиатура хинди
  • Фонетическая клавиатура Bangla
  • Фонетическая клавиатура Маратхи
  • Фонетическая клавиатура Telugu
  • Фонетическая клавиатура тамильского языка
  • Фонетическая клавиатура Kannada
  • Фонетическая клавиатура Malayalam
  • Фонетическая клавиатура Гуджарати
  • Фонетическая клавиатура Odia
  • Пенджабская фонетическая клавиатура

Я включил политику аппаратного ускорения в развертывании Windows 10 Корпоративная версии 1803. Почему мои пользователи по-прежнему получают только отрисовку ЦП?

В настоящее время эта функция является экспериментальной и не работает без дополнительного раздела реестра, предоставленного корпорацией Майкрософт. Если вы хотите оценить эту функцию при развертывании Windows 10 Корпоративная версии 1803, обратитесь в корпорацию Майкрософт, и мы поможем вам включить эту функцию.

Что такое локальная учетная запись WDAGUtilityAccount?

WDAGUtilityAccount является частью Application Guard, начиная с Windows 10 версии 1709 (Fall Creators Update). Он остается отключенным по умолчанию, если на устройстве не включена Application Guard. WDAGUtilityAccount используется для входа в контейнер Application Guard в качестве стандартного пользователя со случайным паролем. Это НЕ вредоносная учетная запись. Для правильной работы ему требуются разрешения на вход в качестве службы . Если в этом разрешении отказано, может возникнуть следующая ошибка:

Ошибка: 0x80070569, ошибка Ext: 0x00000001; RDP: Ошибка: 0x00000000, ошибка Ext: 0x00000000 Расположение: 0x00000000

Разделы справки доверять поддомену в списке моих сайтов?

Чтобы доверять поддомену, необходимо перед доменом с двумя точками (..). Например: ..contoso.com гарантирует, что mail.contoso.com или news.contoso.com являются доверенными. Первая точка представляет строки для имени поддомена (почта или новости), а вторая точка распознает начало доменного имени (contoso.com). Эти две точки не позволяют сайтам fakesitecontoso.com быть доверенными.

Существуют ли различия между использованием Application Guard в Windows Pro и Windows Корпоративная?

При использовании Windows Pro или Windows Enterprise у вас есть доступ к использованию Application Guard в автономном режиме. Однако при использовании enterprise у вас есть доступ к Application Guard в режиме Enterprise-Managed. В этом режиме есть некоторые дополнительные функции, которые нет в автономном режиме. Дополнительные сведения см. в статье Подготовка к установке Application Guard в Microsoft Defender.

Существует ли ограничение на размер списков доменов, которые необходимо настроить?

Да, домены корпоративных ресурсов, размещенные в облаке, и домены, которые классифицируются как рабочие и личные, имеют ограничение в 16383 байта.

Почему драйвер шифрования нарушает Application Guard в Microsoft Defender?

Application Guard в Microsoft Defender обращается к файлам из виртуального жесткого диска, подключенного к узлу, который необходимо записать во время установки. Если драйвер шифрования предотвращает подключение или запись виртуального жесткого диска, Application Guard не работает и приводит к появляется сообщение об ошибке (0x80070013 ERROR_WRITE_PROTECT).

Почему политики сетевой изоляции в групповая политика и CSP выглядят иначе?

Между CSP и GP не существует сопоставления "один к одному" среди всех политик сетевой изоляции. Обязательные политики сетевой изоляции для развертывания Application Guard отличаются между CSP и GP.

  • Обязательная политика групповой политики сетевой изоляции для развертывания Application Guard: DomainSubnets или CloudResources

  • Обязательная политика CSP сетевой изоляции для развертывания Application Guard: EnterpriseCloudResources или (EnterpriseIpRange и EnterpriseNetworkDomainNames)

  • Для EnterpriseNetworkDomainNames не существует сопоставленной политики CSP.

Application Guard обращается к файлам из виртуального жесткого диска, подключенного к узлу, который необходимо записать во время установки. Если драйвер шифрования предотвращает подключение или запись виртуального жесткого диска, Application Guard не работает и приводит к появляется сообщение об ошибке (0x80070013 ERROR_WRITE_PROTECT).

Почему Application Guard перестал работать после отключения гиперпоточности?

Если гиперпоточность отключена (из-за обновления, примененного через статью базы знаний или с помощью параметров BIOS), существует вероятность, Application Guard больше не соответствует минимальным требованиям.

Почему появляется сообщение об ошибке "ERROR_VIRTUAL_DISK_LIMITATION"?

Application Guard могут неправильно работать на сжатых томах NTFS. Если эта проблема не исчезнет, попробуйте распаковку тома.

Почему я получаю сообщение об ошибке "ERR_NAME_NOT_RESOLVED" после того, как не удается получить доступ к PAC-файлу?

Эта проблема известна. Чтобы устранить эту проблему, необходимо создать два правила брандмауэра. Сведения о создании правила брандмауэра с групповая политика см. в статье Настройка правил брандмауэра Windows с помощью групповой политики.

Первое правило (DHCP-сервер)

  • Путь к программе: %SystemRoot%\System32\svchost.exe

  • Локальная служба: Sid: S-1-5-80-2009329905-444645132-2728249442-922493431-93864177 (Internet Connection Service (SharedAccess))

  • Протокол UDP

  • Порт 67

Второе правило (DHCP-клиент)

Это правило совпадает с первым правилом, но ограничивается локальным портом 68. В пользовательском интерфейсе брандмауэра Microsoft Defender выполните следующие действия.

  1. Щелкните правой кнопкой мыши правила для входящих подключений и создайте новое правило.

  2. Выберите пользовательское правило.

  3. Укажите следующий путь к программе: %SystemRoot%\System32\svchost.exe.

  4. Укажите следующие параметры:

    • Тип протокола: UDP
    • Конкретные порты: 67
    • Удаленный порт: любой
  5. Укажите все IP-адреса.

  6. Разрешите подключение.

  7. Укажите, чтобы использовать все профили.

  8. Новое правило должно отображаться в пользовательском интерфейсе. Щелкнитеправой кнопкой мыши свойства правила>.

  9. На вкладке Программы и службы в разделе Службы выберите параметры.

  10. Выберите Применить к этой службе и общий доступ к подключению к Интернету (ICS).

Как отключить части службы подключения к Интернету (ICS) без нарушения Application Guard?

ICS включена по умолчанию в Windows, и для правильной работы Application Guard необходимо включить ICS. Не рекомендуется отключает ICS; однако можно частично отключить ICS с помощью групповая политика и редактирования разделов реестра.

  1. В параметре групповая политика запретить использование общего доступа к подключению к Интернету в сети домена DNS установите для него значение Отключено.

  2. Отключите IpNat.sys от загрузки ICS следующим образом:
    System\CurrentControlSet\Services\SharedAccess\Parameters\DisableIpNat = 1

  3. Настройте ICS (SharedAccess) для включения следующим образом:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Start = 3

  4. (Этот шаг является необязательным) Отключите IPNAT следующим образом:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPNat\Start = 4

  5. Перезагрузите устройство.

Почему контейнер не загружается полностью, если включены политики управления устройствами?

Элементы, перечисленные в списке разрешенных, должны быть настроены как разрешенные в объекте групповая политика, чтобы убедиться, что AppGuard работает правильно.

Политика: разрешить установку устройств, соответствующих любому из следующих идентификаторов устройств:

  • SCSI\DiskMsft____Virtual_Disk____
  • {8e7bd593-6e6c-4c52-86a6-77175494dd8e}\msvhdhba
  • VMS_VSF
  • root\Vpcivsp
  • root\VMBus
  • vms_mp
  • VMS_VSP
  • ROOT\VKRNLINTVSP
  • ROOT\VID
  • root\storvsp
  • vms_vsmp
  • VMS_PP

Политика: разрешить установку устройств с помощью драйверов, соответствующих этим классам установки устройств

  • {71a27cdd-812a-11d0-bec7-08002be2092f}

У меня возникают проблемы с фрагментацией TCP и не удается включить VPN-подключение. Разделы справки устранить эту проблему?

WinNAT удаляет сообщения ICMP/UDP с пакетами, превышающими MTU, при использовании коммутатора по умолчанию или сети NAT Docker. Поддержка этого решения добавлена в KB4571744. Чтобы устранить эту проблему, установите обновление и включите исправление, выполнив следующие действия.

  1. Убедитесь, что параметр FragmentAware DWORD имеет значение 1 в этом параметре реестра: \Registry\Machine\SYSTEM\CurrentControlSet\Services\Winnat.

  2. Перезагрузите устройство.

Что _Allow пользователям доверять файлам, которые открываются в Microsoft Defender параметр Application Guard_ в групповой политике?

Эта политика существовала в Windows 10 до версии 2004. Он был удален из более поздних версий Windows, так как он не применяет ничего для Microsoft Edge или Office.

Разделы справки открыть запрос в службу поддержки для Application Guard в Microsoft Defender?

  • См . раздел Создание запроса на поддержку.
  • В разделе Семейство продуктов выберите Windows. Выберите продукт и версию продукта, с которым требуется помощь. Для категории, которая лучше всего описывает проблему, выберите Безопасность Windows Технологии. В последнем варианте выберите Защитник Windows Application Guard.

Можно ли включить или отключить поведение, при котором вкладка Microsoft Edge узла автоматически закрывается при переходе на ненадежный сайт?

Да. Используйте этот флаг Microsoft Edge, чтобы включить или отключить это поведение: --disable-features="msWdagAutoCloseNavigatedTabs"