Visão geral do Windows Defender Application Guard

Aplica-se a: Proteção avançada contra ameaças do Microsoft defender (Microsoft defender ATP)

O Windows Defender Application Guard (Application Guard) foi projetado para ajudar a evitar ataques antigos e recentes para ajudar a manter os funcionários produtivos. Ao usar nossa abordagem exclusiva de isolamento de hardware, nosso objetivo é destruir o guia estratégico que os invasores usam para deixar os métodos de ataque atuais obsoletos.

O que é o Application Guard e como ele funciona?

Projetado para o Windows 10 e o Microsoft Edge, o Application Guard ajuda a isolar sites não confiáveis definidos pela empresa, protegendo sua empresa enquanto os funcionários navegam na Internet. Como administrador corporativo, você define o que deve ser listado como sites, recursos de nuvem e redes internas confiáveis. Tudo o que não consta na sua lista será considerado não confiável.

Se um funcionário acessar um site não confiável por meio do Microsoft Edge ou do Internet Explorer, o Microsoft Edge abrirá o site em um contêiner habilitado para Hyper-V, que é separado do sistema operacional do host. Esse isolamento do contêiner significa que, se o site não confiável for mal-intencionado, o computador host estará protegido e o invasor não conseguirá acessar seus dados corporativos. Por exemplo, essa abordagem torna o contêiner isolado anônimo, para que um invasor não consiga acessar as credenciais corporativas do funcionário.

Diagrama de isolamento do hardware

Que tipos de dispositivos devem usar o Application Guard?

O Application Guard foi criado para direcionar vários tipos de sistemas:

  • Desktops empresariais. Esses desktops são ingressados no domínio e gerenciados pela sua organização. O gerenciamento da configuração é realizado principalmente por meio do System Center Configuration Manager ou do Microsoft Intune. Os funcionários normalmente têm privilégios de usuário padrão e usam uma rede corporativa, com fio, de banda larga.

  • Laptops corporativos. Esses laptops são ingressados no domínio e gerenciados pela sua organização. O gerenciamento da configuração é realizado principalmente por meio do System Center Configuration Manager ou do Microsoft Intune. Os funcionários normalmente têm privilégios de usuário padrão e usam uma rede corporativa, sem fio, de banda larga.

  • Laptops BYOD (traga seu próprio dispositivo). Esses laptops pessoais não são ingressados no domínio, mas são gerenciados pela sua organização por meio de ferramentas como o Microsoft Intune. O funcionário é geralmente um administrador no dispositivo e usa uma rede corporativa, sem fio, de banda larga enquanto está no trabalho e uma rede pessoal equivalente enquanto está em casa.

  • Dispositivos pessoais. Esses desktops de propriedade pessoal ou laptops móveis não são associados a um domínio nem gerenciados por uma organização. O usuário é um administrador do dispositivo e usa uma rede pessoal sem fio de alta largura de banda enquanto estiver em casa ou uma rede pública comparável enquanto estiver fora.

Perguntas frequentes

P: Posso habilitar o Application Guard em computadores equipados com 4GB de RAM?
R. Recomendamos 8 GB de RAM para obter ótimo desempenho, mas você pode usar os seguintes valores DWORD do registro para habilitar o Application Guard em máquinas que não atendam à configuração de hardware recomendada.
HKLM\software\Microsoft\Hvsi\SpecRequiredProcessorCount - O padrão é 4 núcleos.
HKLM\software\Microsoft\Hvsi\SpecRequiredMemoryInGB - O padrão é 8GB.
HKLM\software\Microsoft\Hvsi\SpecRequiredFreeDiskSpaceInGB - O padrão é 5GB.


P: Os funcionários podem baixar documentos da sessão Application Guard Edge nos dispositivos host?
R: No Windows 10 Enterprise Edition 1803, os usuários poderão baixar documentos do contêiner do Application Guard isolado para o computador host. Isso é gerenciado pela política.

No Windows 10 Enterprise Edition 1709 ou no Windows 10 Professional Edition 1803, não é possível baixar arquivos do contêiner do Application Guard isolado para o computador host. No entanto, os funcionários podem usar as opções Imprimir em PDF ou Imprimir como XPS e salvar esses arquivos no dispositivo host.


P: Os funcionários podem copiar e colar entre o dispositivo host e a sessão Application Guard Edge?
R: Dependendo das configurações da sua organização, os funcionários podem copiar e colar imagens (. bmp) e texto de e para o contêiner isolado.


P: Por que os funcionários não veem seus favoritos na sessão Application Guard Edge?
R: Para manter a sessão Application Guard Edge segura e isolada do dispositivo host, não copiamos os Favoritos armazenados na sessão Application Guard Edge novamente no dispositivo host.


P: Por que os funcionários não conseguem ver suas Extensões na sessão Application Guard Edge?
R: Atualmente, a sessão Application Guard Edge não é compatível com as Extensões. No entanto, estamos acompanhando seus comentários sobre esse assunto.


P: Como faço para configurar o WDAG para trabalhar com meu proxy de rede (endereços IP-literal)?
R: O WDAG exige que os proxies tenham um nome simbólico, não apenas um endereço IP. As configurações de proxy IP-literal, como "192.168.1.4:81", podem ser anotadas como "itproxy: 81" ou usar um registro como "P19216810010" para um proxy com um endereço IP de 192.168.100.10. Isso se aplica ao Windows 10 Enterprise Edition, 1709 ou superior.


P: Habilitei a política de aceleração de hardware na minha implantação do Windows 10 Enterprise, versão 1803. Por que meus usuários ainda recebem a renderização de CPU?
R: No momento, esse recurso é apenas experimental e não funciona sem uma RegKey adicional fornecida pela Microsoft. Se você quiser avaliar esse recurso em uma implantação do Windows 10 Enterprise, versão 1803, entre em contato com a Microsoft para trabalhar com você para habilitar o recurso.


P: O que é a conta local do WDAGUtilityAccount?
R: Esta conta faz parte do Application Guard a partir do Windows 10, versão 1709 (atualização dos criadores de outono). Esta conta permanece desabilitada até que o Application Guard esteja habilitado no seu dispositivo. Este item está integrado ao sistema operacional e não é considerado como uma ameaça/vírus/malware.


Tópicos relacionados

Tópico Descrição
Requisitos do sistema para o Windows Defender Application Guard Especifica os pré-requisitos necessários para instalar e usar o Application Guard.
Preparar e instalar o Windows Defender Application Guard Fornece instruções sobre como determinar qual modo usar, Autônomo ou Gerenciado pela empresa, e como instalar o Application Guard na sua organização.
Definir as configurações da Política de Grupo do Windows Defender Application Guard Fornece informações sobre as configurações de Política de Grupo e MDM disponíveis.
Cenários de teste usando o Windows Defender Application Guard na empresa ou na organização Fornece uma lista de cenários de teste sugeridos que você pode usar para testar o Windows Defender Application Guard (Application Guard) na organização.