Preguntas más frecuentes: Protección de aplicaciones de Microsoft Defender

En este artículo se enumeran las preguntas más frecuentes con respuestas para Protección de aplicaciones de Microsoft Defender (Protección de aplicaciones). Las preguntas abarcan características, integración con el Windows operativo y configuración general.

Preguntas más frecuentes

¿Puedo habilitar Application Guard en equipos equipados con 4 GB de RAM?

Se recomienda una RAM de 8 GB para un rendimiento óptimo, pero puede usar los siguientes valores DWORD del Registro para habilitar Application Guard en máquinas que no se ajusten a la configuración de hardware recomendada.

HKLM\software\Microsoft\Hvsi\SpecRequiredProcessorCount (El valor predeterminado es cuatro núcleos).

HKLM\software\Microsoft\Hvsi\SpecRequiredMemoryInGB (El valor predeterminado es 8 GB).

HKLM\software\Microsoft\Hvsi\SpecRequiredFreeDiskSpaceInGB (El valor predeterminado es 5 GB).

Mi configuración de red usa un proxy y me estoy ejecutando con un "No se pueden resolver direcciones URL externas desde el explorador MDAG: Error: err_connection_refused". ¿Cómo puedo resolverlo?

El servidor manual o PAC debe ser un nombre de host (no IP) que sea neutro en la lista de sitios. Además, si el script PAC devuelve un proxy, debe cumplir los mismos requisitos.

Para asegurarse de que los FQDN (nombres de dominio completos) del "archivo PAC" y los "servidores proxy a los que redirige el archivo PAC" se agregan como recursos neutros en las directivas de aislamiento de red que usa Application Guard, puede:

  • Para comprobarlo, vaya edge://application-guard-internals/#utilities escriba el FQDN del pac/proxy en el campo "comprobar la confianza de la dirección URL" y compruebe que diga "Neutral".
  • Debe ser un FQDN. Una dirección IP sencilla no funcionará.
  • Opcionalmente, si es posible, las direcciones IP asociadas con el servidor que hospeda lo anterior deben quitarse de los intervalos IP de Enterprise en las directivas de aislamiento de red usadas por Application Guard.

¿Cómo puedo configurar Protección de aplicaciones de Microsoft Defender para que funcione con mi proxy de red (direcciones IP literales)?

Application Guard requiere que los servidores proxy tengan un nombre simbólico, no solo una dirección IP. IP-Literal configuración de proxy como puede anotarse como o usar un registro como para un proxy con una 192.168.1.4:81 itproxy:81 dirección IP de P19216810010 192.168.100.10 . Esto se aplica a Windows 10 Enterprise edición, versión 1709 o posterior. Estas serían para las directivas de proxy en Aislamiento de red en la directiva de grupo o Intune.

¿Qué editores de métodos de entrada (IME) en 19H1 no se admiten?

Los siguientes editores de métodos de entrada (IME) introducidos en Windows 10, la versión 1903 actualmente no se admiten en Protección de aplicaciones de Microsoft Defender:

  • Teclado De Vietnam Telex
  • Teclado basado en teclas número de Vietnam
  • Teclado fonético hindi
  • Teclado fonético de Bangla
  • Teclado fonético Marathi
  • Teclado fonético telugu
  • Teclado fonético tamil
  • Teclado fonético kannada
  • Teclado fonético Malayalam
  • Teclado fonético gujarati
  • Teclado fonético Odia
  • Teclado fonético Punjabi

He habilitado la directiva de aceleración de hardware en mi Windows 10 Enterprise, versión 1803. ¿Por qué mis usuarios siguen obteniendo solo representación de CPU?

Esta característica es actualmente solo experimental y no es funcional sin una clave del Registro adicional proporcionada por Microsoft. Si desea evaluar esta característica en una implementación de Windows 10 Enterprise, versión 1803, póngase en contacto con Microsoft y trabajaremos con usted para habilitar la característica.

¿Qué es la cuenta local WDAGUtilityAccount?

WDAGUtilityAccount forma parte de Application Guard, empezando por Windows 10, versión 1709 (Fall Creators Update). Permanece deshabilitado de forma predeterminada, a menos que Application Guard esté habilitado en el dispositivo. WDAGUtilityAccount se usa para iniciar sesión en el contenedor de Application Guard como un usuario estándar con una contraseña aleatoria. NO es una cuenta malintencionada. Si se revocan los permisos de ejecución como servicio para esta cuenta, es posible que vea el siguiente error:

Error: 0x80070569, Error ext: 0x00000001; RDP: Error: 0x00000000, Error ext: 0x00000000 ubicación: 0x00000000

Se recomienda no modificar esta cuenta.

¿Cómo puedo confiar en un subdominio en mi lista de sitios?

Para confiar en un subdominio, debe preceder al dominio con dos puntos (..). Por ejemplo: ..contoso.com garantiza que o son de mail.contoso.com news.contoso.com confianza. El primer punto representa las cadenas del nombre del subdominio (correo o noticias) y el segundo punto reconoce el inicio del nombre de dominio ( contoso.com ). Esto evita que sitios como fakesitecontoso.com sean de confianza.

¿Hay diferencias entre usar Application Guard en Windows Pro vs Windows Enterprise?

Al usar Windows Pro o Windows Enterprise, tiene acceso al uso de Application Guard en modo independiente. Sin embargo, al usar Enterprise tiene acceso a Application Guard en Enterprise-Managed modo. Este modo tiene algunas características adicionales que el modo independiente no tiene. Para obtener más información, vea Prepare to install Protección de aplicaciones de Microsoft Defender.

¿Hay un límite de tamaño en las listas de dominios que necesito configurar?

Sí, tanto los dominios Enterprise Resource hospedados en la nube como los dominios que se clasifican como personales y laborales tienen un límite de 16383-B.

¿Por qué mi controlador de cifrado Protección de aplicaciones de Microsoft Defender?

Protección de aplicaciones de Microsoft Defender tiene acceso a los archivos desde un VHD montado en el host que debe escribirse durante la instalación. Si un controlador de cifrado impide que un VHD se monte o se escriba en, Application Guard no funciona y da como resultado un mensaje de error (0x80070013 ERROR_WRITE_PROTECT).

¿Por qué las directivas de aislamiento de red en la directiva de grupo y CSP tienen un aspecto diferente?

No hay una asignación uno a uno entre todas las directivas de aislamiento de red entre CSP y GP. Las directivas de aislamiento de red obligatorias para implementar Application Guard son diferentes entre CSP y GP.

  • Directiva de GP de aislamiento de red obligatoria para implementar Application Guard: DomainSubnets o CloudResources

  • Directiva CSP de aislamiento de red obligatoria para implementar Application Guard: EnterpriseCloudResources o (EnterpriseIpRange y EnterpriseNetworkDomainNames)

  • Para EnterpriseNetworkDomainNames, no hay ninguna directiva CSP asignada.

Application Guard tiene acceso a los archivos de un VHD montado en el host que debe escribirse durante la instalación. Si un controlador de cifrado impide que un VHD se monte o se escriba en, Application Guard no funciona y da como resultado un mensaje de error (0x80070013 ERROR_WRITE_PROTECT).

¿Por qué application guard detuvo el trabajo después de desactivar el hyperthreading?

Si el hyperthreading está deshabilitado (debido a una actualización aplicada a través de un artículo de KB o a través de la configuración del BIOS), existe la posibilidad de que Application Guard ya no cumpla los requisitos mínimos.

¿Por qué se recibe el mensaje de error "ERROR_VIRTUAL_DISK_LIMITATION"?

Es posible que Application Guard no funcione correctamente en volúmenes comprimidos NTFS. Si este problema persiste, intente descomprimir el volumen.

¿Por qué se recibe el mensaje de error "ERR_NAME_NOT_RESOLVED" después de no poder llegar al archivo PAC?

Este es un problema conocido. Para mitigar esto, debe crear dos reglas de firewall. Para obtener información sobre cómo crear una regla de firewall mediante la directiva de grupo, vea los siguientes recursos:

Primera regla (servidor DHCP)

  • Ruta de acceso del programa: %SystemRoot%\System32\svchost.exe

  • Servicio local: Sid: S-1-5-80-2009329905-444645132-2728249442-922493431-93864177 (Internet Connection Service (SharedAccess))

  • Protocolo UDP

  • Puerto 67

Segunda regla (cliente DHCP)

Esto es lo mismo que la primera regla, pero está en el ámbito del puerto local 68. En la interfaz de usuario de Firewall de Microsoft Defender, siga estos pasos:

  1. Haga clic con el botón secundario en las reglas entrantes y, a continuación, cree una nueva regla.

  2. Elija regla personalizada.

  3. Especifique la siguiente ruta de acceso del programa: %SystemRoot%\System32\svchost.exe .

  4. Especifique la siguiente configuración:

    • Tipo de protocolo: UDP
    • Puertos específicos: 67
    • Puerto remoto: cualquiera
  5. Especifique cualquier dirección IP.

  6. Permitir la conexión.

  7. Especifique para usar todos los perfiles.

  8. La nueva regla debe aparecer en la interfaz de usuario. Haga clic con el botón secundario en las propiedades de la > regla.

  9. En la pestaña Programas y servicios, en la sección Servicios, seleccione configuración.

  10. Elija Aplicar a este servicio y seleccione Acceso compartido de conexión a Internet (ICS).

¿Cómo puedo deshabilitar partes de ICS sin romper la Protección de aplicaciones?

ICS está habilitado de forma predeterminada en Windows y ICS debe estar habilitado para que Application Guard funcione correctamente. No se recomienda deshabilitar ICS; sin embargo, puede deshabilitar ICS en parte mediante una directiva de grupo y editar claves del Registro.

  1. En la configuración de directiva de grupo, Prohíba el uso compartido de conexión a Internet en la red de dominio DNS, estafóla en Deshabilitado.

  2. Deshabilite IpNat.sys la carga de ICS de la siguiente manera:
    System\CurrentControlSet\Services\SharedAccess\Parameters\DisableIpNat = 1

  3. Configure ICS (SharedAccess) para que esté habilitado de la siguiente manera:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Start = 3

  4. (Esto es opcional) Deshabilite IPNAT de la siguiente manera:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPNat\Start = 4

  5. Reinicia el dispositivo.

¿Por qué el contenedor no se carga por completo cuando las directivas de control de dispositivos están habilitadas?

Los elementos permitidos deben configurarse como "permitidos" en el objeto de directiva de grupo para garantizar que AppGuard funciona correctamente.

Directiva: permitir la instalación de dispositivos que coincidan con cualquiera de los siguientes IDs de dispositivo:

  • SCSI\DiskMsft____Virtual_Disk____
  • {8e7bd593-6e6c-4c52-86a6-77175494dd8e}\msvhdhba
  • VMS_VSF
  • root\Vpcivsp
  • root\VMBus
  • vms_mp
  • VMS_VSP
  • ROOT\VKRNLINTVSP
  • ROOT\VID
  • root\storvsp
  • vms_vsmp
  • VMS_PP

Directiva: permitir la instalación de dispositivos con controladores que coincidan con estas clases de configuración de dispositivos

  • {71a27cdd-812a-11d0-bec7-08002be2092f}

Tengo problemas de fragmentación TCP y no puedo habilitar mi conexión VPN. ¿Cómo se soluciona esto?

WinNAT elimina los mensajes ICMP/UDP con paquetes mayores que MTU cuando se usa el conmutador predeterminado o la red NAT de Docker. La compatibilidad con esto se ha agregado en KB4571744. Para solucionar el problema, instale la actualización y habilite la corrección siguiendo estos pasos:

  1. Asegúrese de que fragmentAware DWORD está establecido en 1 en esta configuración del Registro: \Registry\Machine\SYSTEM\CurrentControlSet\Services\Winnat .

  2. Reinicia el dispositivo.