Обзор microsoft Defender Application GuardMicrosoft Defender Application Guard overview

Область применения: Microsoft Defender для конечной точкиApplies to: Microsoft Defender for Endpoint

Microsoft Defender Application Guard (Application Guard) предназначен для предотвращения старых и новых атак, чтобы поддерживать производительность сотрудников.Microsoft Defender Application Guard (Application Guard) is designed to help prevent old and newly emerging attacks to help keep employees productive. С помощью нашего уникального подхода к изоляции оборудования наша цель состоит в том, чтобы уничтожить книгу воспроизведения, используемую злоумышленниками, из-за того, что современные методы атаки устарели.Using our unique hardware isolation approach, our goal is to destroy the playbook that attackers use by making current attack methods obsolete.

Что представляет собой Application Guard и как он работает?What is Application Guard and how does it work?

Для Microsoft Edge служба application Guard помогает изолировать сайты, не защищенные корпоративными данными, защищая вашу компанию во время просмотра сотрудниками Интернета.For Microsoft Edge, Application Guard helps to isolate enterprise-defined untrusted sites, protecting your company while your employees browse the Internet. Как администратор предприятия вы определяете, какие веб-сайты, облачные ресурсы и внутренние сети можно считать доверенными.As an enterprise administrator, you define what is among trusted web sites, cloud resources, and internal networks. Все элементы, отсутствующие в вашем списке, расцениваются как ненадежные.Everything not on your list is considered untrusted. Если сотрудник отправляется на ненарушимый сайт через Microsoft Edge или Internet Explorer, Microsoft Edge открывает сайт в изолированном контейнере с Hyper-V включенной поддержкой.If an employee goes to an untrusted site through either Microsoft Edge or Internet Explorer, Microsoft Edge opens the site in an isolated Hyper-V-enabled container.

Для Microsoft Office application Guard помогает предотвратить доступ к доверенным ресурсам файлов Word, PowerPoint и Excel.For Microsoft Office, Application Guard helps prevents untrusted Word, PowerPoint and Excel files from accessing trusted resources. Application Guard открывает ненавязаные файлы в изолированном Hyper-V с включенной поддержкой.Application Guard opens untrusted files in an isolated Hyper-V-enabled container. Изолированный контейнер Hyper-V отдельно от хост-операционной системы.The isolated Hyper-V container is separate from the host operating system. Это изолирование контейнера означает, что если ненарушенный сайт или файл окажется вредоносным, хост-устройство защищено, а злоумышленник не может получить данные предприятия.This container isolation means that if the untrusted site or file turns out to be malicious, the host device is protected, and the attacker can't get to your enterprise data. Данная концепция предполагает работу изолированного контейнера в анонимном режиме, поэтому злоумышленник не сможет заполучить корпоративные учетные данные вашего сотрудника.For example, this approach makes the isolated container anonymous, so an attacker can't get to your employee's enterprise credentials.

Схема аппаратной изоляции

На каких типах устройств необходимо использовать Application Guard?What types of devices should use Application Guard?

Приложение Guard было создано для целей нескольких типов устройств:Application Guard has been created to target several types of devices:

  • Корпоративные настольные компьютеры.Enterprise desktops. Эти настольные компьютеры присоединены к домену и контролируются вашей организацией.These desktops are domain-joined and managed by your organization. Управление конфигурацией в основном делается с помощью Microsoft Endpoint Manager или Microsoft Intune.Configuration management is primarily done through Microsoft Endpoint Manager or Microsoft Intune. Сотрудники, как правило, имеют стандартные привилегии пользователя и используют высокоскоростную проводную корпоративную сеть.Employees typically have Standard User privileges and use a high-bandwidth, wired, corporate network.

  • Корпоративные мобильные ноутбуки.Enterprise mobile laptops. Эти ноутбуки присоединены к домену и контролируются вашей организацией.These laptops are domain-joined and managed by your organization. Управление конфигурацией в основном делается с помощью Microsoft Endpoint Manager или Microsoft Intune.Configuration management is primarily done through Microsoft Endpoint Manager or Microsoft Intune. Сотрудники, как правило, имеют стандартные привилегии пользователя и используют высокоскоростную беспроводную корпоративную сеть.Employees typically have Standard User privileges and use a high-bandwidth, wireless, corporate network.

  • Принесите свои собственные мобильные ноутбуки (BYOD).Bring your own device (BYOD) mobile laptops. Эти персональные ноутбуки не являются доменными, но управляются вашей организацией с помощью таких средств, как Microsoft Intune.These personally-owned laptops are not domain-joined, but are managed by your organization through tools, such as Microsoft Intune. Сотрудник, как правило, является администратором на своем устройстве и использует высокоскоростную беспроводную корпоративную сеть на работе и аналогичную личную сеть дома.The employee is typically an admin on the device and uses a high-bandwidth wireless corporate network while at work and a comparable personal network while at home.

  • Личные устройства.Personal devices. Эти персональные настольные компьютеры или мобильные ноутбуки не присоединяются к домену и не управляются организацией.These personally-owned desktops or mobile laptops are not domain-joined or managed by an organization. Пользователь является администратором на устройстве и использует беспроводную личную сеть с высокой пропускной способностью в то время как дома или сопоставимой общественной сети во время снаружи.The user is an admin on the device and uses a high-bandwidth wireless personal network while at home or a comparable public network while outside.

СтатьяArticle ОписаниеDescription
Требования к системе для microsoft Defender Application GuardSystem requirements for Microsoft Defender Application Guard Указывает необходимые условия для установки и использования Application Guard.Specifies the prerequisites necessary to install and use Application Guard.
Подготовка и установка microsoft Defender Application GuardPrepare and install Microsoft Defender Application Guard Содержит инструкции по определению оптимального режима (автономного или режима "Управляется предприятием") и процедуру установки Application Guard в организации.Provides instructions about determining which mode to use, either Standalone or Enterprise-managed, and how to install Application Guard in your organization.
Настройка параметров групповой политики для microsoft Defender Application GuardConfigure the Group Policy settings for Microsoft Defender Application Guard Содержит сведения о доступных параметрах групповой политики и MDM.Provides info about the available Group Policy and MDM settings.
Тестирование сценариев с помощью microsoft Defender Application Guard в вашем бизнесе или организацииTesting scenarios using Microsoft Defender Application Guard in your business or organization Предоставляет список предлагаемых сценариев тестирования, которые можно использовать для тестирования Application Guard в организации.Provides a list of suggested testing scenarios that you can use to test Application Guard in your organization.
Расширение охраны приложений Microsoft Defender для веб-браузеровMicrosoft Defender Application Guard Extension for web browsers Описывает расширение Application Guard для Chrome и Firefox, включая известные проблемы, и руководство по устранению неполадокDescribes the Application Guard extension for Chrome and Firefox, including known issues, and a troubleshooting guide
Защита приложений Microsoft Defender для Microsoft OfficeMicrosoft Defender Application Guard for Microsoft Office Описывает охрану приложений для Microsoft Office, включая минимальные требования к оборудованию, конфигурацию и руководство по устранению неполадокDescribes Application Guard for Microsoft Office, including minimum hardware requirements, configuration, and a troubleshooting guide
Вопросы и ответы об Application Guard в Microsoft DefenderFrequently asked questions - Microsoft Defender Application Guard Предоставляет ответы на часто задамые вопросы о функции Application Guard, интеграции с операционной системой Windows и общей конфигурации.Provides answers to frequently asked questions about Application Guard features, integration with the Windows operating system, and general configuration.
Использование сетевой границы для добавления надежных сайтов на устройствах Windows в Microsoft IntuneUse a network boundary to add trusted sites on Windows devices in Microsoft Intune Граница сети , функция, которая помогает защитить окружающую среду от сайтов, которые не доверяют вашей организации.Network boundary, a feature that helps you protect your environment from sites that aren't trusted by your organization.