Comentários

Perguntas frequentes - Microsoft Defender Application Guard

  • FAQ

Este artigo lista as perguntas frequentes com respostas para o Microsoft Defender Application Guard (Application Guard). As perguntas abrangem recursos, integração com o sistema operacional Windows e configuração geral.

Perguntas frequentes

Posso habilitar o Application Guard em computadores equipados com 4 GB de RAM?

Recomendamos 8 GB de RAM para um desempenho ideal, mas você pode usar os seguintes valores DWORD do Registro para habilitar o Application Guard em computadores que não estão a atender à configuração de hardware recomendada.

HKLM\software\Microsoft\Hvsi\SpecRequiredProcessorCount (O padrão é quatro núcleos.)

HKLM\software\Microsoft\Hvsi\SpecRequiredMemoryInGB (O padrão é 8 GB.)

HKLM\software\Microsoft\Hvsi\SpecRequiredFreeDiskSpaceInGB (O padrão é 5 GB.)

Minha configuração de rede usa um proxy e estou executando uma mensagem "Não é possível resolver URLs externas do navegador MDAG: Erro: err_connection_refused". Como faço para resolver isso?

O servidor pac ou manual deve ser um nome de host (não IP) neutro na lista de sites. Além disso, se o script PAC retornar um proxy, ele deverá atender aos mesmos requisitos.

Para garantir que os FQDNs (Nomes de Domínio Totalmente Qualificados) para o "arquivo PAC" e os "servidores proxy para os qual o arquivo PAC redireciona" sejam adicionados como Recursos Neutros nas políticas de Isolamento de Rede usadas pelo Application Guard, você pode:

  • Verifique isso indo para edge://application-guard-internals/#utilities e inserindo o FQDN para o pac/proxy no campo "verificar a confiança da URL" e verificando se ele diz "Neutro".
  • Deve ser um FQDN. Um endereço IP simples não funcionará.
  • Opcionalmente, se possível, os endereços IP associados ao servidor que hospeda o acima devem ser removidos dos Intervalos de IP corporativos nas políticas de Isolamento de Rede usadas pelo Application Guard.

Como fazer para configurar o Microsoft Defender Application Guard para trabalhar com meu proxy de rede (endereços IP-literais)?

O Application Guard requer que os proxies tenham um nome simbólico, não apenas um endereço IP. IP-Literal configurações de 192.168.1.4:81 proxy, como podem ser anotadas itproxy:81 P19216810010 como ou usando um registro, como para um proxy com um endereço IP de 192.168.100.10. Isso se aplica ao Windows 10 Enterprise Edition, versão 1709 ou superior. Elas seriam para as políticas de proxy em Isolamento de Rede na Política de Grupo ou no Intune.

Quais IME (Editores de Método de Entrada) no 19H1 não têm suporte?

Os seguintes IME (Editores de Método de Entrada) introduzidos no Windows 10, versão 1903, atualmente não têm suporte no Microsoft Defender Application Guard:

  • Teclado Vietnam Telex
  • Teclado baseado em teclas de número do Vietnã
  • Teclado fonético híndi
  • Teclado fonético bangla
  • Teclado fonético Marathi
  • Teclado fonético de telugu
  • Teclado fonético tâmil
  • Teclado fonético Kannada
  • Teclado fonético malaayalam
  • Teclado fonético Gujarati
  • Teclado fonético Odia
  • Teclado fonético do Pani

Habilitei a política de aceleração de hardware na minha implantação do Windows 10 Enterprise, versão 1803. Por que meus usuários ainda estão obtendo apenas a renderização da CPU?

Atualmente, esse recurso é apenas experimental e não funciona sem uma chave do Registro adicional fornecida pela Microsoft. Se você quiser avaliar esse recurso em uma implantação do Windows 10 Enterprise, versão 1803, entre em contato com a Microsoft e trabalharemos com você para habilitar o recurso.

O que é a conta local WDAGUtilityAccount?

WDAGUtilityAccount faz parte do Application Guard, começando com o Windows 10, versão 1709 (Fall Creators Update). Ele permanece desabilitado por padrão, a menos que o Application Guard esteja habilitado em seu dispositivo. WDAGUtilityAccount é usado para entrar no contêiner do Application Guard como um usuário padrão com uma senha aleatória. Não é uma conta mal-intencionada. Ele requer permissões de logon como serviço para poder funcionar corretamente. Se essa permissão for negada, você poderá ver o seguinte erro:

Erro: 0x80070569, erro ext: 0x00000001; RDP: Erro: 0x00000000, erro ext: 0x00000000 local: 0x00000000

Como fazer para confiar em um subdomínio na minha lista de sites?

Para confiar em um subdomínio, você deve preceder seu domínio com dois pontos (..). Por exemplo: ..contoso.com garante que isso ou mail.contoso.com seja news.contoso.com confiável. O primeiro ponto representa as cadeias de caracteres para o nome do subdomínio (email ou notícias) e o segundo ponto reconhece o início do nome de domínio (contoso.com). Isso impede que sites como sejam fakesitecontoso.com confiáveis.

Há diferenças entre usar o Application Guard no Windows Pro versus Windows Enterprise?

Ao usar o Windows Pro ou o Windows Enterprise, você tem acesso ao uso do Application Guard no Modo Autônomo. No entanto, ao usar o Enterprise, você tem acesso ao Application Guard Enterprise-Managed modo. Esse modo tem alguns recursos extras que o Modo Autônomo não tem. Para obter mais informações, consulte Preparar para instalar o Microsoft Defender Application Guard.

Há um limite de tamanho para as listas de domínios que preciso configurar?

Sim, os domínios do Recurso da Empresa hospedados na nuvem e os domínios categorizados como pessoais e corporativos têm um limite de 1.6383 bytes.

Por que meu driver de criptografia interrompe o Microsoft Defender Application Guard?

O Microsoft Defender Application Guard acessa arquivos de um VHD montado no host que precisa ser gravado durante a instalação. Se um driver de criptografia impedir que um VHD seja montado ou gravado, o Application Guard não funcionará e resultará em uma mensagem de erro (0x80070013 ERROR_WRITE_PROTECT).

Por que as políticas de Isolamento de Rede na Política de Grupo e no CSP têm uma aparência diferente?

Não há um mapeamento um-para-um entre todas as políticas de Isolamento de Rede entre o CSP e a GP. As políticas de isolamento de rede obrigatórias para implantar o Application Guard são diferentes entre o CSP e a GP.

  • Política de GP de isolamento de rede obrigatória para implantar o Application Guard: DomainSubnets ou CloudResources

  • Política de CSP de isolamento de rede obrigatória para implantar o Application Guard: EnterpriseCloudResources ou (EnterpriseIpRange e EnterpriseNetworkDomainNames)

  • Para EnterpriseNetworkDomainNames, não há nenhuma política CSP mapeada.

O Application Guard acessa arquivos de um VHD montado no host que precisa ser gravado durante a instalação. Se um driver de criptografia impedir que um VHD seja montado ou gravado, o Application Guard não funcionará e resultará em uma mensagem de erro (0x80070013 ERROR_WRITE_PROTECT).

Por que o Application Guard parou de funcionar depois que desativei o hyperthreading?

Se o hyperthreading estiver desabilitado (devido a uma atualização aplicada por meio de um artigo de KB ou por meio de configurações de BIOS), há uma possibilidade de o Application Guard não atender aos requisitos mínimos.

Por que estou recebendo a mensagem de erro "ERROR_VIRTUAL_DISK_LIMITATION"?

O Application Guard pode não funcionar corretamente em volumes compactados NTFS. Se esse problema persistir, tente descompactar o volume.

Por que estou recebendo a mensagem de erro "ERR_NAME_NOT_RESOLVED" depois de não conseguir acessar o arquivo PAC?

Esse é um problema conhecido. Para atenuar isso, você precisa criar duas regras de firewall. Para obter informações sobre como criar uma regra de firewall usando a Política de Grupo, consulte os seguintes recursos:

Primeira regra (Servidor DHCP)

  • Caminho do programa: %SystemRoot%\System32\svchost.exe

  • Serviço Local: Sid: S-1-5-80-2009329905-444645132-2728249442-922493431-93864177 (Internet Connection Service (SharedAccess))

  • Protocolo UDP

  • Porta 67

Segunda regra (Cliente DHCP)

Isso é o mesmo que a primeira regra, mas com escopo para a porta local 68. Na interface do usuário do Microsoft Defender Firewall, siga as seguintes etapas:

  1. Clique com o botão direito do mouse em regras de entrada e crie uma nova regra.

  2. Escolha a regra personalizada.

  3. Especifique o seguinte caminho de programa: %SystemRoot%\System32\svchost.exe.

  4. Especifique as seguintes configurações:

    • Tipo de protocolo: UDP
    • Portas específicas: 67
    • Porta remota: qualquer

  5. Especifique quaisquer endereços IP.

  6. Permitir a conexão.

  7. Especifique para usar todos os perfis.

  8. A nova regra deve aparecer na interface do usuário. Clique com o botão direito do mouse nas propriedades da > regra.

  9. Na guia Programas e serviços , na seção Serviços , selecione as configurações.

  10. Escolha Aplicar a este Serviço e selecione Acesso Compartilhado de Compartilhamento de Conexão com a Internet (ICS).

Como posso desabilitar partes do ICS sem interromper o Application Guard?

O ICS é habilitado por padrão no Windows e o ICS deve ser habilitado para que o Application Guard funcione corretamente. Não recomendamos desabilitar o ICS; No entanto, você pode desabilitar o ICS em parte usando uma Política de Grupo e editando chaves do Registro.

  1. Na configuração política de grupo, proibir o uso do compartilhamento de conexão com a Internet em sua rede de domínio DNS, defina-o como Desabilitado.

  2. Desabilite IpNat.sys do carregamento do ICS da seguinte maneira:
    System\CurrentControlSet\Services\SharedAccess\Parameters\DisableIpNat = 1

  3. Configure o ICS (SharedAccess) para habilitado da seguinte maneira:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Start = 3

  4. (Isso é opcional) Desabilite o IPNAT da seguinte maneira:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPNat\Start = 4

  5. Reinicialize o dispositivo.

Por que o contêiner não carrega totalmente quando as políticas de controle de dispositivo estão habilitadas?

Os itens listados em permissão devem ser configurados como "permitidos" no Objeto de Política de Grupo para garantir que o AppGuard funcione corretamente.

Política: permitir a instalação de dispositivos que correspondam a qualquer uma das seguintes IDs de dispositivo:

  • SCSI\DiskMsft____Virtual_Disk____
  • {8e7bd593-6e6c-4c52-86a6-77175494dd8e}\msvhdhba
  • VMS_VSF
  • root\Vpcivsp
  • root\VMBus
  • vms_mp
  • VMS_VSP
  • ROOT\VKRNLINTVSP
  • ROOT\VID
  • root\storvsp
  • vms_vsmp
  • VMS_PP

Política: permitir a instalação de dispositivos usando drivers que correspondam a essas classes de configuração de dispositivo

  • {71a27cdd-812a-11d0-bec7-08002be2092f}

Estou encontrando problemas de fragmentação de TCP e não consigo habilitar minha conexão VPN. Como faço para corrigir isso?

O WinNAT descarta mensagens ICMP/UDP com pacotes maiores que o MTU ao usar o Comutador Padrão ou a rede NAT do Docker. O suporte para isso foi adicionado ao KB4571744. Para corrigir o problema, instale a atualização e habilite a correção seguindo estas etapas:

  1. Verifique se o FragmentAware DWORD está definido como 1 nesta configuração do Registro: \Registry\Machine\SYSTEM\CurrentControlSet\Services\Winnat.

  2. Reinicialize o dispositivo.

O que a _opção Permitir que os usuários confiem em arquivos abertos no Microsoft Defender Application Guard_ na política de grupo faz?

Essa política estava presente no Windows 10 antes da versão 2004. Ele foi removido de versões posteriores do Windows, pois não impõe nada para o Edge ou o Office.

Consulte também

Definir configurações de política do Microsoft Defender Application Guard