Поделиться через


Поставщик служб конфигурации WindowsDefenderApplicationGuard

Поставщик службы конфигурации WindowsDefenderApplicationGuard (CSP) используется предприятием для настройки параметров в Application Guard в Microsoft Defender. Этот поставщик служб CSP был добавлен в Windows 10 версии 1709.

Требования к выпуску и лицензированию Windows

В следующей таблице перечислены выпуски Windows, поддерживающие настройку Application Guard в Microsoft Defender (MDAG) с помощью MDM:

Windows Pro Windows Корпоративная Windows Pro для образовательных учреждений/SE Windows для образовательных учреждений
Нет Да Нет Да

Application Guard в Microsoft Defender (MDAG), настроенные с помощью лицензий MDM, предоставляются следующими лицензиями:

Windows Pro/Pro для образовательных учреждений/SE Windows Корпоративная E3 Windows Корпоративная E5 Windows для образовательных учреждений A3 Windows для образовательных учреждений A5
Нет Да Да Да Да

Дополнительные сведения о лицензировании Windows см. в статье Обзор лицензирования Windows.

В следующем списке показаны узлы поставщика службы конфигурации WindowsDefenderApplicationGuard:

Аудит

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1709 [10.0.16299] и более поздние
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Audit

Внутренний узел для аудита.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат node
Тип доступа Получите

Audit/AuditApplicationGuard

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1709 [10.0.16299] и более поздние
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Audit/AuditApplicationGuard

Этот параметр политики позволяет решить, можно ли собирать события аудита из Application Guard.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Журналы событий аудита не собираются для Application Guard.
1 Application Guard наследует свои политики аудита от системы и начинает выполнять аудит событий безопасности для Application Guard контейнера.

Сопоставление групповой политики:

Имя Значение
Имя AppHVSI_AuditApplicationGuardConfig
Понятное имя Разрешить аудит событий в Application Guard в Microsoft Defender
Location Конфигурация компьютера
Путь Компоненты > Windows Application Guard в Microsoft Defender
Имя раздела реестра SOFTWARE\Policies\Microsoft\AppHVSI
Имя значения реестра AuditApplicationGuard
Имя файла ADMX AppHVSI.admx

InstallWindowsDefenderApplicationGuard

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1709 [10.0.16299] и более поздние
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/InstallWindowsDefenderApplicationGuard

Инициирует удаленную установку компонента Application Guard.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Exec, Get

Допустимые значения:

Значение Описание
Install Инициирует установку компонента.
Удалить Инициирует удаление компонента.

PlatformStatus

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 2004 [10.0.19041] и более поздние
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/PlatformStatus

Возвращает битовую маску, указывающую состояние установки Application Guard платформы и предварительные требования на устройстве. Бит 0— установите значение 1, если Application Guard включен в режим корпоративного управления. Бит 1— задайте значение 1, если клиентский компьютер поддерживает Hyper-V. Бит 2 — зарезервировано для корпорации Майкрософт. Бит 3. При установке Application Guard на клиентском компьютере задайте значение 1. Бит 4 — зарезервировано для корпорации Майкрософт. Бит 5. Установите значение 1, если клиентский компьютер соответствует минимальным требованиям к оборудованию.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Получите

Параметры

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1709 [10.0.16299] и более поздние
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings

Внутренний узел для параметров.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат node
Тип доступа Получите

Settings/AllowCameraMicrophoneRedirection

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1809 [10.0.17763] и более поздних версий
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/AllowCameraMicrophoneRedirection

Этот параметр политики позволяет определить, могут ли приложения внутри Application Guard в Microsoft Defender получать доступ к камере и микрофону устройства, если эти параметры включены на устройстве пользователя.

  • Если этот параметр политики включен, приложения в Application Guard в Microsoft Defender смогут получать доступ к камере и микрофону на устройстве пользователя.

  • Если этот параметр политики отключен или не настроен, приложения в Application Guard в Microsoft Defender не смогут получить доступ к камере и микрофону на устройстве пользователя.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Application Guard в Microsoft Defender не удается получить доступ к камере и микрофону устройства. Если политика не настроена, она совпадает с отключенной (0).
1 Включает функциональные возможности, позволяющие Application Guard в Microsoft Defender получать доступ к камере и микрофону устройства.

Сопоставление групповой политики:

Имя Значение
Имя AppHVSI_AllowCameraMicrophoneRedirectionConfig
Понятное имя Разрешить доступ к камере и микрофону в Application Guard в Microsoft Defender
Location Конфигурация компьютера
Путь Компоненты > Windows Application Guard в Microsoft Defender
Имя раздела реестра SOFTWARE\Policies\Microsoft\AppHVSI
Имя значения реестра AllowCameraMicrophoneRedirection
Имя файла ADMX AppHVSI.admx

Параметры/AllowPersistence

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1709 [10.0.16299] и более поздние
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/AllowPersistence

Этот параметр политики позволяет решить, должны ли данные сохраняться в разных сеансах в Application Guard.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить

Допустимые значения:

Значение Описание
0 Application Guard удаляет загруженные пользователем файлы и другие элементы (например, файлы cookie, избранное и т. д.) во время перезапуска компьютера или выхода пользователя из системы.
1 Application Guard сохраняет загруженные пользователем файлы и прочие элементы (например файлы cookie, избранное и т.д.) для использования в будущих сеансах Application Guard.

Сопоставление групповой политики:

Имя Значение
Имя AppHVSI_AllowPersistence
Понятное имя Разрешить сохраняемость данных для Application Guard в Microsoft Defender
Location Конфигурация компьютера
Путь Компоненты > Windows Application Guard в Microsoft Defender
Имя раздела реестра SOFTWARE\Policies\Microsoft\AppHVSI
Имя значения реестра AllowPersistence
Имя файла ADMX AppHVSI.admx

Параметры/AllowVirtualGPU

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1803 [10.0.17134] и более поздние
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/AllowVirtualGPU

Этот параметр политики позволяет определить, могут ли Application Guard использовать виртуальный графический процессор (GPU) для обработки графики. Если этот параметр включен, Application Guard в Microsoft Defender использует Hyper-V для доступа к поддерживаемму графическому оборудованию (GPU) с высоким уровнем безопасности. Эти графические процессоры повышают производительность отрисовки и время работы батареи при использовании Application Guard в Microsoft Defender, особенно для воспроизведения видео и других вариантов использования с интенсивным использованием графики. Если этот параметр включен без подключения графического оборудования для отрисовки с высоким уровнем безопасности, Application Guard в Microsoft Defender автоматически отменить изменения к программной (ЦП) отрисовке.

Warning

Включение этого параметра с потенциально скомпрометированных графических устройств или драйверов может представлять угрозу для хост-устройства.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Не удается получить доступ к vGPU и использует ЦП для поддержки отрисовки графики. Если политика не настроена, она совпадает с отключенной (0).
1 Включает функциональные возможности для доступа к разгрузке отрисовки графики vGPU с ЦП. Это может ускорить работу с графическими веб-сайтами или просмотром видео в контейнере.

Сопоставление групповой политики:

Имя Значение
Имя AppHVSI_AllowVirtualGPU
Понятное имя Разрешить отрисовку с аппаратным ускорением для Application Guard в Microsoft Defender
Location Конфигурация компьютера
Путь Компоненты > Windows Application Guard в Microsoft Defender
Имя раздела реестра SOFTWARE\Policies\Microsoft\AppHVSI
Имя значения реестра AllowVirtualGPU
Имя файла ADMX AppHVSI.admx

Settings/AllowWindowsDefenderApplicationGuard

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1709 [10.0.16299] и более поздние
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/AllowWindowsDefenderApplicationGuard

Включите Application Guard в Microsoft Defender в режиме предприятия.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить

Допустимые значения:

Значение Описание
0 Отключите Application Guard в Microsoft Defender.
1 Включите Application Guard в Microsoft Defender только для Microsoft Edge.
2 Включите Application Guard в Microsoft Defender только для изолированных сред Windows.
3 Включите Application Guard в Microsoft Defender для Microsoft Edge и изолированных сред Windows.

Сопоставление групповой политики:

Имя Значение
Имя AllowAppHVSI
Путь Компоненты > Windows Application Guard в Microsoft Defender

Settings/BlockNonEnterpriseContent

Примечание.

Эта политика является устаревшей и может быть удалена в будущем выпуске.

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1709 [10.0.16299] и более поздние
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/BlockNonEnterpriseContent

Этот параметр политики позволяет решить, могут ли веб-сайты загружать не корпоративное содержимое в Microsoft Edge и Интернет-Обозреватель.

Примечание.

Этот параметр политики больше не поддерживается в новом браузере Microsoft Edge. Политика будет устаревшей и удалена в будущем выпуске. Веб-страницы, содержащие смешанное содержимое, как корпоративное, так и не корпоративное, могут загружаться неправильно или полностью сбой, если эта функция включена.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Содержимое, внедренное в корпоративные сайты, может открываться за пределами контейнера Application Guard в Microsoft Defender непосредственно в Интернет-Обозреватель и Microsoft Edge.
1 Не корпоративное содержимое, внедренное на корпоративных сайтах, не открывается в Интернет-Обозреватель или Microsoft Edge за пределами Application Guard в Microsoft Defender.

Сопоставление групповой политики:

Имя Значение
Имя AppHVSI_BlockNonEnterpriseContentConfig
Понятное имя Запретить корпоративным веб-сайтам загрузку содержимого, отличного от предприятия, в Microsoft Edge и Интернете Обозреватель
Location Конфигурация компьютера
Путь Компоненты > Windows Application Guard в Microsoft Defender
Имя раздела реестра SOFTWARE\Policies\Microsoft\AppHVSI
Имя значения реестра BlockNonEnterpriseContent
Имя файла ADMX AppHVSI.admx

Параметры/CertificateThumbprints

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1809 [10.0.17763] и более поздних версий
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/CertificateThumbprints

Этот параметр политики позволяет предоставлять доступ к определенным корневым сертификатам уровня устройства Application Guard в Microsoft Defender контейнеру.

  • Если этот параметр включен, сертификаты с отпечатком, соответствующим указанным, будут передаваться в контейнер. Несколько сертификатов можно указать с помощью запятой для разделения отпечатков для каждого сертификата, который требуется передать. Пример: b4e72779a8a362c860c36a6461f31e3aa7e58c14,1b1d49f06d2a697a544a1059bd59a7b058cda924.

  • Если этот параметр отключен или не настроен, сертификаты не будут совместно использоваться контейнером Application Guard в Microsoft Defender.

Примечание.

Чтобы применить эту политику, требуется перезагрузка устройства или вход или выход пользователя.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Список (разделитель: ,)

Сопоставление групповой политики:

Имя Значение
Имя AppHVSI_CertificateThumbprints
Понятное имя Разрешить Application Guard в Microsoft Defender использовать корневые центры сертификации с устройства пользователя
Location Конфигурация компьютера
Путь Компоненты > Windows Application Guard в Microsoft Defender
Имя раздела реестра SOFTWARE\Policies\Microsoft\AppHVSI
Имя файла ADMX AppHVSI.admx

Settings/ClipboardFileType

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1709 [10.0.16299] и более поздние
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/ClipboardFileType

Определяет тип содержимого, которое можно скопировать с узла в среду Application Guard и наоборот.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить

Допустимые значения:

Значение Описание
1 Разрешить копирование текста.
2 Разрешить копирование изображений.
3 Разрешить копирование текста и изображений.

Сопоставление групповой политики:

Имя Значение
Имя AppHVSI_ClipboardConfig
Понятное имя Настройка параметров буфера обмена Application Guard в Microsoft Defender
Location Конфигурация компьютера
Путь Компоненты > Windows Application Guard в Microsoft Defender
Имя раздела реестра SOFTWARE\Policies\Microsoft\AppHVSI
Имя файла ADMX AppHVSI.admx

Параметры/буфер обменаНастройки

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1709 [10.0.16299] и более поздние
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/ClipboardSettings

Этот параметр политики позволяет решить, как работает буфер обмена в Application Guard.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Полностью отключает функцию буфера обмена для Application Guard.
1 Включает операцию в буфере обмена из изолированного сеанса на узел.
2 Включает операцию on clipboard из узла в изолированный сеанс.
3 Включает операцию в буфере обмена в обоих направлениях.

Сопоставление групповой политики:

Имя Значение
Имя AppHVSI_ClipboardConfig
Понятное имя Настройка параметров буфера обмена Application Guard в Microsoft Defender
Location Конфигурация компьютера
Путь Компоненты > Windows Application Guard в Microsoft Defender
Имя раздела реестра SOFTWARE\Policies\Microsoft\AppHVSI
Имя файла ADMX AppHVSI.admx

Параметры/PrintingSettings

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1709 [10.0.16299] и более поздние
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/PrintingSettings

Этот параметр политики позволяет решить, как работает функциональность печати в Application Guard.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Отключает все функции печати.
1 Включает только печать XPS.
2 Включает только печать PDF.
3 Включает печать PDF и XPS.
4 Включает только локальную печать.
5 Включает как локальную, так и XPS-печать.
6 Включает как локальную, так и pdf-печать.
7 Включает локальную печать, печать PDF и XPS.
8 Включает только сетевую печать.
9 Включает как сетевую, так и XPS-печать.
10 Включает как сетевую, так и pdf-печать.
11 Включает печать в сети, PDF и XPS.
12 Включает как сетевую, так и локальную печать.
13 Включает сетевую, локальную и XPS-печать.
14 Включает сетевую, локальную и PDF-печать.
15 Включает всю печать.

Сопоставление групповой политики:

Имя Значение
Имя AppHVSI_PrintingConfig
Понятное имя Настройка параметров печати Application Guard в Microsoft Defender
Location Конфигурация компьютера
Путь Компоненты > Windows Application Guard в Microsoft Defender
Имя раздела реестра SOFTWARE\Policies\Microsoft\AppHVSI
Имя файла ADMX AppHVSI.admx

Settings/SaveFilesToHost

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1803 [10.0.17134] и более поздние
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/SaveFilesToHost

Этот параметр политики позволяет определить, могут ли пользователи скачивать файлы из Edge в контейнере и сохранять их из контейнера в операционной системе узла.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Пользователь не может скачивать файлы из Edge в контейнере в файловую систему узла. Если политика не настроена, она совпадает с отключенной (0).
1 Включает функции, позволяющие пользователям скачивать файлы из Edge в контейнере в файловую систему узла.

Сопоставление групповой политики:

Имя Значение
Имя AppHVSI_SaveFilesToHost
Понятное имя Разрешить скачивание и сохранение файлов в операционной системе узла из Application Guard в Microsoft Defender
Location Конфигурация компьютера
Путь Компоненты > Windows Application Guard в Microsoft Defender
Имя раздела реестра SOFTWARE\Policies\Microsoft\AppHVSI
Имя значения реестра SaveFilesToHost
Имя файла ADMX AppHVSI.admx

Состояние

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1709 [10.0.16299] и более поздние
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Status

Возвращает битовую маску, указывающую состояние установки Application Guard и предварительные требования на устройстве. Бит 0— установите значение 1, если Application Guard включен в режим корпоративного управления. Бит 1— задайте значение 1, если клиентский компьютер поддерживает Hyper-V. Бит 2. Установите значение 1, если клиентский компьютер имеет действительную лицензию ОС и номер SKU. Бит 3. При установке Application Guard на клиентском компьютере задайте значение 1. Бит 4. При настройке необходимых политик сетевой изоляции задайте значение 1. Бит 5. Установите значение 1, если клиентский компьютер соответствует минимальным требованиям к оборудованию. Бит 6— установите значение 1, если требуется перезагрузка системы.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Получите

Справочник по поставщикам служб конфигурации