Visão geral do Windows Defender Application Guard

Aplica-se a: proteção avançada contra ameaças do Microsoft defender (Microsoft defender ATP)

O Windows Defender Application Guard (Application Guard) foi projetado para ajudar a evitar ataques antigos e recentes para ajudar a manter os funcionários produtivos. Ao usar nossa abordagem exclusiva de isolamento de hardware, nosso objetivo é destruir o guia estratégico que os invasores usam para deixar os métodos de ataque atuais obsoletos.

O que é o Application Guard e como ele funciona?

Projetado para o Windows 10 e o Microsoft Edge, o Application Guard ajuda a isolar sites não confiáveis definidos pela empresa, protegendo sua empresa enquanto os funcionários navegam na Internet. Como administrador corporativo, você define o que deve ser listado como sites, recursos de nuvem e redes internas confiáveis. Tudo o que não consta na sua lista será considerado não confiável.

Se um funcionário acessar um site não confiável por meio do Microsoft Edge ou do Internet Explorer, o Microsoft Edge abrirá o site em um contêiner habilitado para Hyper-V, que é separado do sistema operacional do host. Esse isolamento do contêiner significa que, se o site não confiável for mal-intencionado, o computador host estará protegido e o invasor não conseguirá acessar seus dados corporativos. Por exemplo, essa abordagem torna o contêiner isolado anônimo, para que um invasor não consiga acessar as credenciais corporativas do funcionário.

Diagrama de isolamento do hardware

Que tipos de dispositivos devem usar o Application Guard?

O Application Guard foi criado para direcionar vários tipos de sistemas:

  • Desktops empresariais. Esses desktops são ingressados no domínio e gerenciados pela sua organização. O gerenciamento da configuração é realizado principalmente por meio do System Center Configuration Manager ou do Microsoft Intune. Os funcionários normalmente têm privilégios de usuário padrão e usam uma rede corporativa, com fio, de banda larga.

  • Laptops corporativos. Esses laptops são ingressados no domínio e gerenciados pela sua organização. O gerenciamento da configuração é realizado principalmente por meio do System Center Configuration Manager ou do Microsoft Intune. Os funcionários normalmente têm privilégios de usuário padrão e usam uma rede corporativa, sem fio, de banda larga.

  • Laptops BYOD (traga seu próprio dispositivo). Esses laptops de propriedade pessoal não são adicionados ao domínio, mas são gerenciados pela sua organização por meio de ferramentas, como o Microsoft Intune. O funcionário é geralmente um administrador no dispositivo e usa uma rede corporativa, sem fio, de banda larga enquanto está no trabalho e uma rede pessoal equivalente enquanto está em casa.

  • Dispositivos pessoais. Esses desktops de propriedade pessoal ou laptops móveis não são associados a um domínio nem gerenciados por uma organização. O usuário é um administrador do dispositivo e usa uma rede pessoal sem fio de alta largura de banda enquanto estiver em casa ou uma rede pública comparável enquanto estiver fora.

Artigos relacionados

Artigo Descrição
Requisitos do sistema para o Windows Defender Application Guard Especifica os pré-requisitos necessários para instalar e usar o Application Guard.
Preparar e instalar o Windows Defender Application Guard Fornece instruções sobre como determinar qual modo usar, Autônomo ou Gerenciado pela empresa, e como instalar o Application Guard na sua organização.
Definir as configurações da Política de Grupo do Windows Defender Application Guard Fornece informações sobre as configurações de Política de Grupo e MDM disponíveis.
Cenários de teste usando o Windows Defender Application Guard na empresa ou na organização Fornece uma lista de cenários de teste sugeridos que você pode usar para testar o Application Guard em sua organização.
Perguntas frequentes - Windows Defender Application Guard Fornece respostas para perguntas frequentes sobre recursos do Application Guard, integração com o sistema operacional Windows e configuração geral.