Panoramica di Windows Defender Application Guard

Si applica a: Microsoft Defender Advanced Threat Protection (Microsoft Defender ATP)

Windows Defender Application Guard (Application Guard) è progettato per evitare attacchi vecchi e nuovi emergenti per aiutare a tenere produttivi i dipendenti. Usando il nostro approccio di isolamento hardware univoco, il nostro obiettivo è quello di distruggere il PlayBook usato dagli aggressori rendendo obsoleto il metodo degli attacchi correnti.

Che cos'è Application Guard e come funziona?

Progettato per Windows 10 e Microsoft Edge, Application Guard aiuta a isolare i siti non attendibili definiti dall'azienda, proteggendo la società mentre i dipendenti esplorano Internet. Come amministratore dell'organizzazione, puoi definire quali tra siti Web, risorse del cloud e reti interne sono attendibili. Tutti gli elementi non inclusi nell'elenco sono considerati non attendibili.

Se un dipendente accede a un sito non attendibile tramite Microsoft Edge o Internet Explorer, Microsoft Edge apre il sito in un contenitore abilitato Hyper-V isolato, che è separato dal sistema operativo host. Questo isolamento contenitore significa che se il sito non attendibile risulta essere dannoso, il PC host è protetto e l'utente malintenzionato non può ottenere i dati aziendali. Questo approccio, ad esempio, rende il contenitore isolato anonimo, in modo che un utente malintenzionato non può accedere alle credenziali dell'organizzazione del dipendente.

Diagramma isolamento hardware

Quali tipi di dispositivi deve utilizzare Application Guard?

Application Guard è stato creato per la destinazione di diversi tipi di sistemi:

  • Desktop aziendali. Questi desktop vengono aggiunti a un dominio e gestiti dall'organizzazione. La gestione della configurazione viene eseguita principalmente tramite System Center Configuration Manager o Microsoft Intune. I dipendenti in genere dispongono di privilegi utente standard e utilizzano una rete aziendale cablata con larghezza di banda elevata.

  • Laptop mobili aziendali. Questi laptop vengono aggiunti a un dominio e gestiti dall'organizzazione. La gestione della configurazione viene eseguita principalmente tramite System Center Configuration Manager o Microsoft Intune. I dipendenti in genere dispongono di privilegi utente standard e utilizzano una rete aziendale wireless con larghezza di banda elevata.

  • Laptop mobili Bring your own device (BYOD). Questi computer portatili di proprietà personale non sono uniti a un dominio, ma vengono gestiti dall'organizzazione tramite strumenti, ad esempio Microsoft Intune. Il dipendente è in genere un amministratore nel dispositivo e utilizza una rete aziendale wireless con larghezza di banda elevata mentre è in ufficio e una rete personale comparabile mentre è a casa.

  • Dispositivi personali. Questi desktop di proprietà personale o portatili non sono collegati a un dominio o gestiti da un'organizzazione. L'utente è un amministratore del dispositivo e usa una rete personale wireless a larghezza di banda elevata mentre si è in casa o una rete pubblica comparabile mentre è all'esterno.

Articoli correlati

Articolo Descrizione
Requisiti di sistema per Windows Defender Application Guard Specifica i prerequisiti necessari per installare e usare Application Guard.
Preparare e installare Windows Defender Application Guard Vengono fornite istruzioni su come determinare la modalità da utilizzare, autonoma o gestita dall'organizzazione, e come installare Application Guard nell'organizzazione.
Configurare le impostazioni di Criteri di gruppo per Windows Defender Application Guard Vengono fornite informazioni sulle impostazioni di Criteri di gruppo e MDM disponibili.
Scenari di test usando Windows Defender Application Guard nell'azienda o nell'organizzazione Fornisce un elenco di scenari di test suggeriti che possono essere usati per testare l'applicazione di protezione nell'organizzazione.
Domande frequenti: Windows Defender Application Guard Fornisce le risposte alle domande frequenti sulle caratteristiche di guardia delle applicazioni, l'integrazione con il sistema operativo Windows e la configurazione generale.