CSP WindowsDefenderApplicationGuard

O provedor de serviços de configuração do WindowsDefenderApplicationGuard (CSP) é usado pela empresa para configurar as configurações no Microsoft Defender Application Guard. Esse CSP foi adicionado Windows 10 versão 1709.

A seguir, mostra o provedor de serviço de configuração do WindowsDefenderApplicationGuard no formato de árvore.

./Device/Vendor/MSFT
WindowsDefenderApplicationGuard
----Settings
--------AllowWindowsDefenderApplicationGuard
--------ClipboardFileType
--------ClipboardSettings
--------PrintingSettings
--------BlockNonEnterpriseContent
--------AllowPersistence
--------AllowVirtualGPU
--------SaveFilesToHost
--------CertificateThumbprints
--------AllowCameraMicrophoneRedirection
----Status
----PlatformStatus
----InstallWindowsDefenderApplicationGuard
----Audit
--------AuditApplicationGuard

./Device/Vendor/MSFT/WindowsDefenderApplicationGuard
Nó raiz. A operação com suporte é Get.

Configurações
Nó interno. A operação com suporte é Get.

Configurações/AllowWindowsDefenderApplicationGuard
A Microsoft Defender Application Guard no modo Enterprise.

Tipo de valor é número inteiro. As operações com suporte são Adicionar, Obter, Substituir e Excluir.

A lista a seguir mostra os valores com suporte:

  • 0 - Desabilitar Microsoft Defender Application Guard
  • 1 - Habilitar Microsoft Defender Application Guard para Microsoft Edge SOMENTE
  • 2 - Habilitar Microsoft Defender Application Guard somente para ambientes de Windows isolados (adicionado Windows 10, versão 2004)
  • 3 - Habilitar Microsoft Defender Application Guard para Microsoft Edge e ambientes Windows isolados (adicionados Windows 10 versão 2004)

Configurações/ClipboardFileType
Determina o tipo de conteúdo que pode ser copiado do host para o ambiente do Application Guard e vice-versa.

Tipo de valor é número inteiro. As operações com suporte são Adicionar, Obter, Substituir e Excluir.

Essa configuração de política é suportada Microsoft Edge no Windows 10 Enterprise ou Windows 10 Education com Microsoft Defender Application Guard no modo Enterprise.

A lista a seguir mostra os valores com suporte:

  • 1 - Permitir a cópia de texto.
  • 2 - Permitir cópia de imagem.
  • 3 - Permitir a cópia de texto e imagem.

Informações do ADMX:

  • Nome em inglês da GP: Configurar Microsoft Defender Application Guard configurações da área de transferência
  • Nome da GP: AppHVSIClipboardFileType
  • Caminho da GP: Windows componentes/Microsoft Defender Application Guard
  • Nome do arquivo ADMX da GP: AppHVSI.admx

Configurações/ClipboardSettings
Essa configuração de política permite que você decida como a área de transferência se comporta enquanto estiver no Application Guard.

Tipo de valor é número inteiro. As operações com suporte são Adicionar, Obter, Substituir e Excluir.

Essa configuração de política é suportada Microsoft Edge no Windows 10 Enterprise ou Windows 10 Education com Microsoft Defender Application Guard no modo Enterprise.

A lista a seguir mostra os valores com suporte:

  • 0 (padrão) - Desliga completamente a funcionalidade da área de transferência para o Application Guard.
  • 1 - Liga a operação da área de transferência de uma sessão isolada para o host.
  • 2 - Liga a operação de área de transferência do host para uma sessão isolada.
  • 3 - Liga a operação da área de transferência em ambas as direções.

Importante

Permitir que o conteúdo seja transferido do Microsoft Edge para o Application Guard pode causar possíveis riscos de segurança e não é recomendado.

Informações do ADMX:

  • Nome em inglês da GP: Configurar Microsoft Defender Application Guard configurações da área de transferência
  • Nome da GP: AppHVSIClipboardSettings
  • Caminho da GP: Windows componentes/Microsoft Defender Application Guard
  • Nome do arquivo ADMX da GP: AppHVSI.admx

Configurações/PrintingSettings
Essa configuração de política permite que você decida como a funcionalidade de impressão se comporta enquanto estiver no Application Guard.

Tipo de valor é número inteiro. As operações com suporte são Adicionar, Obter, Substituir e Excluir.

Essa configuração de política é suportada Microsoft Edge no Windows 10 Enterprise ou Windows 10 Education com Microsoft Defender Application Guard no modo Enterprise.

A lista a seguir mostra os valores com suporte:

  • 0 (padrão) - Desabilita toda a funcionalidade de impressão.
  • 1 - Habilita somente a impressão XPS.
  • 2 - Habilita somente impressão PDF.
  • 3 - Habilita a impressão PDF e XPS.
  • 4 - Habilita somente impressão local.
  • 5 - Habilita a impressão local e XPS.
  • 6 - Habilita a impressão local e PDF.
  • 7 - Habilita a impressão local, PDF e XPS.
  • 8 - Permite somente impressão de rede.
  • 9 - Habilita a impressão de rede e XPS.
  • 10 - Habilita a impressão de rede e PDF.
  • 11 - Habilita a impressão de rede, PDF e XPS.
  • 12 - Habilita a impressão local e de rede.
  • 13 - Habilita a impressão de rede, local e XPS.
  • 14 - Habilita a impressão de rede, local e PDF.
  • 15 - Habilita toda a impressão.

Informações do ADMX:

  • Nome em inglês da GP: Configurar Microsoft Defender Application Guard configurações de impressão
  • Nome da GP: AppHVSIPrintingSettings
  • Caminho da GP: Windows componentes/Microsoft Defender Application Guard
  • Nome do arquivo ADMX da GP: AppHVSI.admx

Configurações/BlockNonEnterpriseContent
Essa configuração de política permite que você decida se os sites podem carregar conteúdo não corporativo no Microsoft Edge e no Internet Explorer.

Tipo de valor é número inteiro. As operações com suporte são Adicionar, Obter, Substituir e Excluir.

Essa configuração de política é suportada Microsoft Edge no Windows 10 Enterprise ou Windows 10 Education com Microsoft Defender Application Guard no modo Enterprise.

A lista a seguir mostra os valores com suporte:

  • 0 (padrão) - O conteúdo não empresarial inserido em sites corporativos tem permissão para abrir fora do contêiner Microsoft Defender Application Guard, diretamente no Internet Explorer e Microsoft Edge.
  • 1 - O conteúdo não corporativo inserido em sites corporativos é impedido de abrir no Internet Explorer ou Microsoft Edge fora do Microsoft Defender Application Guard.

Observação

Essa configuração de política não é mais suportada no novo Microsoft Edge navegador. A política será preterida e removida em uma versão futura. As páginas da Web que contêm conteúdo misto, tanto corporativa quanto não corporativa, podem ser carregadas incorretamente ou falhar completamente se esse recurso estiver habilitado.

Informações do ADMX:

  • Nome em inglês da GP: impedir que sites corporativos carregam conteúdo não empresarial no Microsoft Edge e no Internet Explorer
  • Nome da GP: BlockNonEnterpriseContent
  • Caminho da GP: Windows componentes/Microsoft Defender Application Guard
  • Nome do arquivo ADMX da GP: AppHVSI.admx

Configurações/AllowPersistence
Essa configuração de política permite que você decida se os dados devem persistir em sessões diferentes no Application Guard.

Tipo de valor é número inteiro. As operações com suporte são Adicionar, Obter, Substituir e Excluir.

Essa configuração de política é suportada Microsoft Edge no Windows 10 Enterprise ou Windows 10 Education com Microsoft Defender Application Guard no modo Enterprise.

A lista a seguir mostra os valores com suporte:

  • 0 - O Application Guard descarta arquivos baixados pelo usuário e outros itens (como cookies, favoritos e assim por diante) durante a reinicialização do computador ou o logon do usuário.
  • 1 - O Application Guard salva arquivos baixados pelo usuário e outros itens (como cookies, favoritos e assim por diante) para uso em futuras sessões do Application Guard.

Informações do ADMX:

  • Nome em inglês da GP: Permitir persistência de dados para Microsoft Defender Application Guard
  • Nome da GP: AllowPersistence
  • Caminho da GP: Windows componentes/Microsoft Defender Application Guard
  • Nome do arquivo ADMX da GP: AppHVSI.admx

Configurações/AllowVirtualGPU
Adicionado no Windows 10, versão 1803. Essa configuração de política permite determinar se o Application Guard pode usar a GPU (Unidade de Processamento de Gráficos) virtual para processar gráficos.

Tipo de valor é número inteiro. As operações com suporte são Adicionar, Obter, Substituir e Excluir.

Essa configuração de política é suportada Microsoft Edge no Windows 10 Enterprise ou Windows 10 Education com Microsoft Defender Application Guard no modo Enterprise.

Se você habilitar essa configuração, Microsoft Defender Application Guard usar o Hyper-V para acessar GPUs (hardware gráficos de renderização de alta segurança) com suporte. Essas GPUs melhoram o desempenho de renderização e a duração da bateria enquanto usam Microsoft Defender Application Guard, especialmente para reprodução de vídeo e outros casos de uso intenso de elementos gráficos. Se você habilitar essa configuração sem conectar qualquer hardware gráfico de renderização de alta segurança, Microsoft Defender Application Guard reverterá automaticamente para a renderização baseada em software (CPU).

A lista a seguir mostra os valores com suporte:

  • 0 (padrão) - Não é possível acessar o vGPU e usa a CPU para dar suporte a gráficos de renderização. Quando a política não está configurada, ela é a mesma que desabilitada (0).
  • 1 - Ativas a funcionalidade para acessar a renderização de elementos gráficos de descarregamento vGPU da CPU. Isso pode criar uma experiência mais rápida ao trabalhar com gráficos de sites intensos ou assistir a vídeo dentro do contêiner.

Aviso

Habiliar essa configuração com dispositivos gráficos potencialmente comprometidos ou drivers pode representar um risco para o dispositivo host.

Informações do ADMX:

  • Nome em inglês da GP: Permitir renderização acelerada por hardware para Microsoft Defender Application Guard
  • Nome da GP: AllowVirtualGPU
  • Caminho da GP: Windows componentes/Microsoft Defender Application Guard
  • Nome do arquivo ADMX da GP: AppHVSI.admx

Configurações/SaveFilesToHost
Adicionado no Windows 10, versão 1803. Essa configuração de política permite que você determine se os usuários podem optar por baixar arquivos do Edge no contêiner e persistir os arquivos do contêiner para o sistema operacional host. Isso também permite que os usuários elejam arquivos no sistema operacional host e os carreguem por Meio de Borda no contêiner.

Tipo de valor é número inteiro. As operações com suporte são Adicionar, Obter, Substituir e Excluir.

Essa configuração de política é suportada Microsoft Edge no Windows 10 Enterprise ou Windows 10 Education com Microsoft Defender Application Guard no modo Enterprise.

A lista a seguir mostra os valores com suporte:

  • 0 (padrão) - O usuário não pode baixar arquivos do Edge no contêiner para o sistema de arquivos host ou carregar arquivos do sistema de arquivos host para o Edge no contêiner. Quando a política não está configurada, ela é a mesma que desabilitada (0).
  • 1 - Ativos a funcionalidade para permitir que os usuários baixem arquivos do Edge no contêiner para o sistema de arquivos host.

Informações do ADMX:

  • Nome em inglês da GP: Permitir que os arquivos baixem e salvem no sistema operacional host Microsoft Defender Application Guard
  • Nome da GP: SaveFilesToHost
  • Caminho da GP: Windows componentes/Microsoft Defender Application Guard
  • Nome do arquivo ADMX da GP: AppHVSI.admx

Configurações/CertificateThumbprints
Adicionado ao Windows 10, versão 1809. Essa configuração de política permite que determinados Certificados Raiz de nível de dispositivo sejam compartilhados com o contêiner Microsoft Defender Application Guard de segurança.

Tipo de valor é cadeia de caracteres. As operações com suporte são Adicionar, Obter, Substituir e Excluir.

Essa configuração de política é suportada Microsoft Edge no Windows 10 Enterprise ou Windows 10 Education com Microsoft Defender Application Guard no modo Enterprise.

Se você habilitar essa configuração, os certificados com uma impressão digital correspondente aos especificados serão transferidos para o contêiner. Vários certificados podem ser especificados usando uma vírgula para separar as impressões digitais de cada certificado que você deseja transferir.

Veja um exemplo:
b4e72779a8a362c860c36a6461f31e3a7e58c14,1b1d49f06d2a697a544a1059bd59a7b058cda924

Se você desabilitar ou não definir essa configuração, os certificados não serão compartilhados com o Microsoft Defender Application Guard contêiner.

Informações do ADMX:

  • Nome em inglês da GP: permitir Microsoft Defender Application Guard usar autoridades de certificado raiz do dispositivo do usuário
  • Nome da GP: CertificateThumbprints
  • Caminho da GP: Windows componentes/Microsoft Defender Application Guard
  • Nome do arquivo ADMX da GP: AppHVSI.admx

Observação

Para impor essa política, é necessário reiniciar o dispositivo ou o logon/logoff do usuário.

Configurações/AllowCameraMicrophoneRedirection
Adicionado ao Windows 10, versão 1809. Essa configuração de política permite determinar se os aplicativos dentro Microsoft Defender Application Guard podem acessar a câmera e o microfone do dispositivo quando essas configurações estão habilitadas no dispositivo do usuário.

Tipo de valor é número inteiro. As operações com suporte são Adicionar, Obter, Substituir e Excluir.

Essa configuração de política é suportada Microsoft Edge no Windows 10 Enterprise ou Windows 10 Education com Microsoft Defender Application Guard no modo Enterprise.

Se você habilitar essa configuração de política, os aplicativos dentro Microsoft Defender Application Guard poderão acessar a câmera e o microfone no dispositivo do usuário.

Se você desabilitar ou não definir essa configuração de política, os aplicativos dentro Microsoft Defender Application Guard não poderão acessar a câmera e o microfone no dispositivo do usuário.

A lista a seguir mostra os valores com suporte:

  • 0 (padrão) - Microsoft Defender Application Guard não pode acessar a câmera e o microfone do dispositivo. Quando a política não está configurada, ela é a mesma que desabilitada (0).
  • 1 - Liga a funcionalidade para permitir Microsoft Defender Application Guard acessar a câmera e o microfone do dispositivo.

Importante

Se você ativar essa configuração de política, um contêiner comprometido poderá ignorar as permissões de câmera e microfone e acessar a câmera e o microfone sem o conhecimento do usuário. Para impedir o acesso não autorizado, recomendamos que as configurações de privacidade da câmera e do microfone sejam desligadas no dispositivo do usuário quando não são necessárias.

Informações do ADMX:

  • Nome em inglês da GP: Permitir acesso de câmera e microfone Microsoft Defender Application Guard
  • Nome da GP: AllowCameraMicrophoneRedirection
  • Caminho da GP: Windows componentes/Microsoft Defender Application Guard
  • Nome do arquivo ADMX da GP: AppHVSI.admx

Status
Retorna a máscara de bits que indica o status da instalação e pré-requisitos do Application Guard no dispositivo.

Tipo de valor é número inteiro. A operação com suporte é Get.

  • Bit 0 - Definir como 1 quando o Application Guard estiver habilitado para o modo de gerenciamento empresarial.
  • Bit 1 - Definir como 1 quando a máquina cliente for capaz do Hyper-V.
  • Bit 2 - Definir como 1 quando o computador cliente tiver uma licença de sistema operacional válida e SKU.
  • Bit 3 - Definir como 1 quando o Application Guard estiver instalado na máquina cliente.
  • Bit 4 - Definir como 1 quando as Políticas de Isolamento de Rede necessárias estão configuradas.
  • Bit 5 - Definir como 1 quando a máquina cliente atender aos requisitos mínimos de hardware.
  • Bit 6 - Definir como 1 quando a reinicialização do sistema for necessária.

PlatformStatus
Adicionado no Windows 10, versão 2004. Retorna a máscara de bits que indica o status da instalação da plataforma do Application Guard e dos pré-requisitos no dispositivo.

Tipo de valor é número inteiro. A operação com suporte é Get.

  • Bit 0 - Definir como 1 quando o Application Guard estiver habilitado para o modo de gerenciamento empresarial.
  • Bit 1 - Definir como 1 quando a máquina cliente for capaz do Hyper-V.
  • Bit 2 - Reservado para a Microsoft.
  • Bit 3 - Definir como 1 quando o Application Guard estiver instalado no computador cliente.
  • Bit 4 - Reservado para a Microsoft.
  • Bit 5 - Definir como 1 quando a máquina cliente atender aos requisitos mínimos de hardware.

InstallWindowsDefenderApplicationGuard
Inicia a instalação remota do recurso Application Guard.

As operações com suporte são Get e Execute.

A lista a seguir mostra os valores com suporte:

  • Install - Iniciará a instalação do recurso.
  • Desinstalar - Iniciará a desinstalação do recurso.

Auditoria
Nó interno. A operação com suporte é Get.

Audit/AuditApplicationGuard
Essa configuração de política permite que você decida se os eventos de auditoria podem ser coletados do Application Guard.

Tipo de valor inteiro. As operações com suporte são Adicionar, Obter, Substituir e Excluir.

Essa configuração de política é suportada em Windows 10 Enterprise ou Windows 10 Education com Microsoft Defender Application Guard no Enterprise modo.

A lista a seguir mostra os valores com suporte:

  • 0 (padrão) - Os logs de eventos de auditoria não são coletados para o Application Guard.
  • 1 - O Application Guard herda suas políticas de auditoria do sistema e começa a auditar eventos de segurança para contêiner do Application Guard.

Informações do ADMX:

  • Nome em inglês da GP: Permitir eventos de auditoria no Microsoft Defender Application Guard
  • Nome da GP: AuditApplicationGuard
  • Caminho da GP: Windows componentes/Microsoft Defender Application Guard
  • Nome do arquivo ADMX da GP: AppHVSI.admx