Configurar Microsoft Defender Application Guard de política
Aplicável a:
- Windows 10
- Windows 11
Microsoft Defender Application Guard (Application Guard) funciona com a Política de Grupo para ajudá-lo a gerenciar as configurações do computador da sua organização. Com a Política de Grupo, você pode definir uma configuração uma vez e, depois, copiá-la para vários computadores. Por exemplo, você pode configurar várias configurações de segurança em um Objeto de Política de Grupo, que está vinculado a um domínio e, em seguida, aplicar todas essas configurações a cada ponto de extremidade no domínio.
O Aplicativo Guard usa o isolamento da rede e configurações específicas do aplicativo.
Configurações de isolamento da rede
Essas configurações, localizadas em Computer Configuration\Administrative Templates\Network\Network Isolation, ajudam você a definir e gerenciar os limites de rede da sua organização. O Application Guard usa essas informações para transferir automaticamente todas as solicitações de acesso aos recursos não corporativos no contêiner do Application Guard.
Observação
Você deve configurar os domínios de recursos empresariais hospedados na nuvem ou os intervalos de rede privada das configurações definidas nos dispositivos do funcionário para ativar o Application Guard usando o modo empresarial. Os servidores proxy devem ser um recurso neutro listado nos Domínios categorizados como política pessoal e de trabalho.
| Nome da política | Versões com suporte | Descrição |
|---|---|---|
| Intervalos de rede privada dos aplicativos | Pelo menos Windows Server 2012, Windows 8 ou Windows RT | Uma lista dos intervalos de endereços IP da sua rede corporativa, separados por vírgula. Os pontos de extremidade incluídos ou os pontos de extremidade que estão incluídos em um intervalo de endereços IP especificado são renderizados por meio do Microsoft Edge e não poderão ser acessados pelo ambiente do Application Guard. |
| Domínios de recursos empresariais hospedados na nuvem | Pelo menos Windows Server 2012, Windows 8 ou Windows RT | Uma lista separada por pipe (|) dos recursos de nuvem de domínio. Os pontos de extremidade incluídos são renderizados por meio do Microsoft Edge e não poderão ser acessados no ambiente do Application Guard. Observe que essa lista dá suporte aos caracteres curinga detalhados na tabela Caracteres curinga de configurações de isolamento de rede. |
| Domínios categorizados como profissional e pessoal | Pelo menos Windows Server 2012, Windows 8 ou Windows RT | Uma lista de nomes de domínio usados como recursos profissionais ou pessoais, separados por vírgula. Os pontos de extremidade incluídos são renderizados usando Microsoft Edge e serão acessíveis do Application Guard e do ambiente de Borda regular. Observe que essa lista dá suporte aos caracteres curinga detalhados na tabela Caracteres curinga de configurações de isolamento de rede. |
Caracteres curinga de configurações de isolamento de rede
| Value | Número de pontos à esquerda | Significado |
|---|---|---|
contoso.com |
0 | Confie apenas no valor literal de contoso.com. |
www.contoso.com |
0 | Confie apenas no valor literal de www.contoso.com. |
.contoso.com |
1 | Confie em qualquer domínio que termine com o texto contoso.com. Sites correspondentes incluem spearphishingcontoso.com, contoso.come www.contoso.com. |
..contoso.com |
2 | Confie em todos os níveis da hierarquia de domínio que estão à esquerda do ponto. Os sites correspondentes incluem shop.contoso.com, us.shop.contoso.com, www.us.shop.contoso.com, mas NÃO em contoso.com si. |
Configurações específicas de aplicativos
Essas configurações, localizadas em Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application Guard, podem ajudá-lo a gerenciar a implementação do Application Guard da sua organização.
| Nome | Versões com suporte | Descrição | Opções |
|---|---|---|---|
| Configurar Microsoft Defender Application Guard de área de transferência | Windows 10 Enterprise, 1709 ou superior Windows 10 Pro, 1803 ou superior Windows 11 |
Determina se o Application Guard pode usar a funcionalidade de área de transferência. | Habilitado. Ativa a funcionalidade de área de transferência e permite que você escolha se deseja: - Desabilite completamente a funcionalidade da área de transferência quando a Segurança de Virtualização estiver habilitada. - Habilitar a cópia de determinado conteúdo do Application Guard para Microsoft Edge. - Habilitar a cópia de determinado conteúdo de Microsoft Edge no Application Guard. Importante: Permitir que o conteúdo copiado vá de Microsoft Edge para o Application Guard pode causar possíveis riscos de segurança e não é recomendado. Desabilitado ou não configurado. Desativa completamente a funcionalidade de área de transferência do Application Guard. |
| Configurar Microsoft Defender Application Guard configurações de impressão | Windows 10 Enterprise, 1709 ou superior Windows 10 Pro, 1803 ou superior Windows 11 |
Determina se o Application Guard pode usar a funcionalidade de impressão. | Habilitado. Ativa a funcionalidade de impressão e permite que você escolha se deseja: - Habilitar o Application Guard para imprimir no formato XPS. - Habilitar o Application Guard para imprimir no formato PDF. - Habilitar o Application Guard para imprimir em impressoras anexadas localmente. - Habilitar o Application Guard para imprimir de impressoras de rede conectadas anteriormente. Os funcionários não podem procurar impressoras adicionais. Desabilitado ou não configurado. Desativa completamente a funcionalidade de impressão do Application Guard. |
| Impedir que sites corporativos carregam conteúdo não corporativo no Microsoft Edge e no Internet Explorer | Windows 10 Enterprise, 1709 ou superior Windows 11 |
Determina se será permitido o acesso à Internet para aplicativos não incluídos na lista Aplicativos Permitidos. | Habilitado. Impede o tráfego de rede do Internet Explorer e do Microsoft Edge para sites não corporativo que não pode ser renderizado no contêiner do Application Guard. OBSERVAÇÃO: Essa ação também pode bloquear ativos armazenados em cache por CDNs e referências a sites de análise. Adicione-os aos recursos corporativos confiáveis para evitar páginas quebradas. Desabilitado ou não configurado. Impede Microsoft Edge renderizar o tráfego de rede em sites que não são corporativos que não podem renderizar no Application Guard. |
| Permitir Persistência | Windows 10 Enterprise, 1709 ou superior Windows 10 Pro, 1803 ou superior Windows 11 |
Determina se os dados persistem em sessões diferentes Microsoft Defender Application Guard. | Habilitado. O Application Guard salva os arquivos baixados pelo usuário e outros itens (como cookies, Favoritos etc.) para uso em sessões futuras do Application Guard. Desabilitado ou não configurado. Todos os dados de usuário no Application Guard é redefinido entre as sessões. OBSERVAÇÃO: se você decidir mais tarde parar de oferecer suporte à persistência de dados para seus funcionários, poderá usar nosso utilitário fornecido Windows para redefinir o contêiner e descartar quaisquer dados pessoais. Para redefinir o contêiner: |
| Ativar o Microsoft Defender Application Guard no Modo Gerenciado | Windows 10 Enterprise, 1809 ou superior Windows 11 |
Determina se o Application Guard deve ser Microsoft Edge e Microsoft Office. | Enabled. A turns on Application Guard for Microsoft Edge and/or Microsoft Office, honoring the network isolation settings, rendering non-enterprise domains in the Application Guard container. Esteja ciente de que o Application Guard não será realmente ligado, a menos que os pré-requisitos necessários e as configurações de isolamento de rede já sejam definidas no dispositivo. Opções disponíveis: - Habilitar Microsoft Defender Application Guard somente para Microsoft Edge - Habilitar Microsoft Defender Application Guard somente para Microsoft Office - Habilitar Microsoft Defender Application Guard para Microsoft Edge e Microsoft Office Desabilitado. Desliga o Application Guard, permitindo que todos os aplicativos executem Microsoft Edge e Microsoft Office. |
| Permitir que arquivos baixem para hospedar o sistema operacional | Windows 10 Enterprise, 1803 ou superior Windows 11 |
Determina se é preciso salvar arquivos baixados no sistema operacional host do contêiner Microsoft Defender Application Guard host. | Enabled. Permite que os usuários salvem arquivos baixados do contêiner Microsoft Defender Application Guard para o sistema operacional host. Essa ação cria um compartilhamento entre o host e o contêiner que também permite carregamentos do host para o contêiner do Application Guard. Desabilitado ou não configurado. Os usuários não são capazes de salvar arquivos baixados do Application Guard para o sistema operacional host. |
| Permitir renderização acelerada por hardware para Microsoft Defender Application Guard | Windows 10 Enterprise, 1803 ou superior Windows 10 Pro, 1803 ou superior Windows 11 |
Determina se a Microsoft Defender Application Guard renderiza elementos gráficos usando aceleração de hardware ou software. | Enabled. Microsoft Defender Application Guard usa o Hyper-V para acessar GPUs (hardware gráfico de renderização de alta segurança) com suporte. Essas GPUs melhoram o desempenho de renderização e a duração da bateria enquanto usam Microsoft Defender Application Guard, especialmente para reprodução de vídeo e outros casos de uso intenso de elementos gráficos. Se essa configuração estiver habilitada sem conectar qualquer hardware gráfico de renderização de alta segurança, o Microsoft Defender Application Guard será revertido automaticamente para a renderização baseada em software (CPU). Importante: Esteja ciente de que a habilitação dessa configuração com dispositivos gráficos ou drivers de elementos gráficos potencialmente comprometidos pode representar um risco para o dispositivo host. Desabilitado ou não configurado. Microsoft Defender Application Guard usa renderização baseada em software (CPU) e não carregará drivers gráficos de terceiros ou interagirá com qualquer hardware de elementos gráficos conectados. |
| Permitir acesso de câmera e microfone em Microsoft Defender Application Guard | Windows 10 Enterprise, 1809 ou superior Windows 10 Pro, 1809 ou superior Windows 11 |
Determina se é possível permitir o acesso de câmera e microfone dentro Microsoft Defender Application Guard. | Enabled. Os aplicativos Microsoft Defender Application Guard são capazes de acessar a câmera e o microfone no dispositivo do usuário. Importante: Esteja ciente de que a habilitação dessa política com um contêiner potencialmente comprometido pode ignorar as permissões de câmera e microfone e acessar a câmera e o microfone sem o conhecimento do usuário. Desabilitado ou não configurado. Os aplicativos Microsoft Defender Application Guard não conseguem acessar a câmera e o microfone no dispositivo do usuário. |
| Permitir Microsoft Defender Application Guard usar autoridades de certificado raiz do dispositivo de um usuário | Windows 10 Enterprise, 1809 ou superior Windows 10 Pro, 1809 ou superior Windows 11 |
Determina se os Certificados Raiz são compartilhados com Microsoft Defender Application Guard. | Enabled. Certificados que coincidem com a impressão digital especificada são transferidos para o contêiner. Use uma vírgula para separar vários certificados. Desabilitado ou não configurado. Certificados não são compartilhados com Microsoft Defender Application Guard. |
| Permitir eventos de auditoria em Microsoft Defender Application Guard | Windows 10 Enterprise, 1809 ou superior Windows 10 Pro, 1809 ou superior Windows 11 |
Essa configuração de política permite que você decida se os eventos de auditoria podem ser coletados de Microsoft Defender Application Guard. | Enabled. O Application Guard herda políticas de auditoria do dispositivo e registra eventos do sistema do contêiner do Application Guard para o host. Desabilitado ou não configurado. os logs de eventos não são coletados do contêiner do Application Guard. |
Configurações de caixa de diálogo de suporte do Application Guard
Essas configurações estão localizadas em Administrative Templates\Windows Components\Windows Security\Enterprise Customization. Se um erro for encontrado, você será apresentado com uma caixa de diálogo. Por padrão, essa caixa de diálogo contém apenas as informações de erro e um botão para você reportá-la à Microsoft por meio do hub de comentários. No entanto, é possível fornecer informações adicionais na caixa de diálogo.
Use a Política de Grupo para habilitar e personalizar informações de contato.
Comentários
Submeter e ver comentários