Настройка параметров политики Application Guard в Microsoft Defender
Примечание.
- Application Guard в Microsoft Defender, включая API-интерфейсы изолированного средства запуска приложений Windows, будут нерекомендуемыми для Microsoft Edge для бизнеса и больше не будут обновляться. Скачайте технический документ по безопасности Microsoft Edge для бизнеса , чтобы узнать больше о возможностях безопасности Edge для бизнеса.
- Так как Application Guard не рекомендуется, миграция на пограничный манифест версии 3 не будет выполняться. Соответствующие расширения и связанное приложение Магазина Windows будут недоступны после мая 2024 г. Это влияет на следующие браузеры: расширение Application Guard — Chrome и расширение Application Guard — Firefox. Если вы хотите заблокировать незащищенные браузеры до тех пор, пока не будете готовы прекратить использование MDAG на предприятии, рекомендуется использовать политики AppLocker или службу управления Microsoft Edge. Дополнительные сведения см. в статье Microsoft Edge и Application Guard в Microsoft Defender.
Application Guard в Microsoft Defender (Application Guard) работает с групповая политика, чтобы помочь вам управлять параметрами компьютера вашей организации. С помощью групповой политики вы можете настроить параметр политики один раз, а затем скопировать его на несколько компьютеров. Например, можно настроить несколько параметров безопасности в объекте групповая политика, связанном с доменом, а затем применить все эти параметры к каждой конечной точке в домене.
Application Guard использует параметры сетевой изоляции и параметры, относящиеся к конкретным приложениям.
Требования к выпуску и лицензированию Windows
В следующей таблице перечислены выпуски Windows, поддерживающие Application Guard в Microsoft Defender (MDAG) для режима предприятия Edge и управления предприятием.
| Windows Pro | Windows Корпоративная | Windows Pro для образовательных учреждений/SE | Windows для образовательных учреждений |
|---|---|---|---|
| Нет | Да | Нет | Да |
Application Guard в Microsoft Defender (MDAG) для режима предприятия Edge и прав на лицензии на управление предприятием предоставляются следующими лицензиями:
| Windows Pro/Pro для образовательных учреждений/SE | Windows Корпоративная E3 | Windows Корпоративная E5 | Windows для образовательных учреждений A3 | Windows для образовательных учреждений A5 |
|---|---|---|---|---|
| Нет | Да | Да | Да | Да |
Дополнительные сведения о лицензировании Windows см. в статье Обзор лицензирования Windows.
Дополнительные сведения о Application Guard в Microsoft Defender (MDAG) для Edge в автономном режиме см. в разделе обзор Application Guard в Microsoft Defender.
Параметры сетевой изоляции
Эти параметры, расположенные по адресу Computer Configuration\Administrative Templates\Network\Network Isolation, помогают определить границы сети организации и управлять ими. Application Guard использует эту информацию для автоматической передачи всех запросов на доступ к некорпоративным ресурсам в контейнер Application Guard.
Примечание.
Для Windows 10, если вы KB5014666 установлены, а для Windows 11, если вы установили KB5014668, вам не нужно настраивать политику сетевой изоляции, чтобы включить Application Guard для Microsoft Edge в управляемом режиме.
Примечание.
Вам необходимо настроить либо домены корпоративных ресурсов, расположенные в облаке, либо диапазоны частных сетей для параметров приложений на устройствах ваших сотрудников, чтобы успешно включить Application Guard в корпоративном режиме. Прокси-серверы должны быть нейтральным ресурсом, перечисленным в разделе Домены, классифицированные как рабочие и личные политики.
| Имя политики | Поддерживаемые версии | Описание |
|---|---|---|
| Диапазоны частных сетей для приложений | Как минимум Windows Server 2012, Windows 8 или Windows RT | Разделенный запятыми список диапазонов IP-адресов, которые находятся в вашей корпоративной сети. Включенные конечные точки или конечные точки, включенные в заданный диапазон IP-адресов, обрабатываются с помощью Microsoft Edge и из среды Application Guard к ним не будет доступа. |
| Домены корпоративных ресурсов, расположенные в облаке | Как минимум Windows Server 2012, Windows 8 или Windows RT | Разделенный по каналу (|) список облачных ресурсов домена. Включенные конечные точки обрабатываются с помощью Microsoft Edge и из среды Application Guard к ним не будет доступа. Этот список поддерживает подстановочные знаки, описанные в таблице Подстановочные знаки параметров сетевой изоляции . |
| Домены, классифицируемые и как рабочие, и как личные | Как минимум Windows Server 2012, Windows 8 или Windows RT | Разделенный запятыми список имен доменов, используемых и как рабочие, и как личные ресурсы. Включенные конечные точки отрисовываются с помощью Microsoft Edge и будут доступны из Application Guard и обычной среды Edge. Этот список поддерживает подстановочные знаки, описанные в таблице Подстановочные знаки параметров сетевой изоляции . |
Подстановочные знаки параметров сетевой изоляции
| Значение | Количество точек слева | Значение |
|---|---|---|
contoso.com |
0 | Доверяйте только литеральное значение contoso.com. |
www.contoso.com |
0 | Доверяйте только литеральное значение www.contoso.com. |
.contoso.com |
1 | Доверяйте любому домену, который заканчивается текстом contoso.com. Соответствующие сайты включают spearphishingcontoso.com, contoso.comи www.contoso.com. |
..contoso.com |
2 | Доверяйте всем уровням иерархии домена, которые находятся слева от точки. Совпадающие сайты включают shop.contoso.com, us.shop.contoso.com, www.us.shop.contoso.com, но НЕ contoso.com сами по себе. |
Параметры, относящиеся к конкретным приложениям
Эти параметры, расположенные по адресу Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application Guard, помогут вам управлять реализацией Application Guard в организации.
| Имя | Поддерживаемые версии | Описание | Параметры |
|---|---|---|---|
| Настройка параметров буфера обмена Application Guard в Microsoft Defender | Windows 10 Корпоративная, 1709 или более поздней версии Windows 10 для образовательных учреждений, 1809 или более поздней версии Windows 11 Корпоративная и образование |
Определяет, может ли Application Guard использовать функции буфера обмена. | Включено. Это действует только в управляемом режиме. Включает функции буфера обмена и позволяет выбрать, следует ли дополнительно: — полностью отключить функцию буфера обмена, если включена безопасность виртуализации. — Включение копирования определенного содержимого из Application Guard в Microsoft Edge. — Включение копирования определенного содержимого из Microsoft Edge в Application Guard. Важно: Разрешение копирования содержимого из Microsoft Edge в Application Guard может вызвать потенциальные угрозы безопасности и не рекомендуется. 1 или не настроено. Полностью отключает функциональность буфера обмена для Application Guard. |
| Настройка параметров печати Application Guard в Microsoft Defender | Windows 10 Корпоративная, 1709 или более поздней версии Windows 10 для образовательных учреждений, 1809 или более поздней версии Windows 11 Корпоративная и образование |
Определяет, может ли Application Guard использовать функции печати. | Включено. Это действует только в управляемом режиме. Включает функцию печати и позволяет выбрать, следует ли дополнительно: — Включение Application Guard для печати в формате XPS. — Включение Application Guard для печати в формате PDF. — Включение Application Guard для печати на локально подключенных принтерах. — включите Application Guard для печати с подключенных ранее сетевых принтеров. Сотрудники не могут искать другие принтеры. 1 или не настроено. Полностью отключает функции печати для Application Guard. |
| Разрешить сохраняемость | Windows 10 Корпоративная, 1709 или более поздней версии Windows 10 для образовательных учреждений, 1809 или более поздней версии Windows 11 Корпоративная и образование |
Определяет, сохраняются ли данные в разных сеансах в Application Guard в Microsoft Defender. | Включено. Это действует только в управляемом режиме. Application Guard сохраняет загруженные пользователем файлы и прочие элементы (например файлы cookie, избранное и т.д.) для использования в будущих сеансах Application Guard. 1 или не настроено. Все данные пользователя в Application Guard сбрасывается между сеансами. ПРИМЕЧАНИЕ. Если позже вы решите прекратить поддержку сохраняемости данных для своих сотрудников, вы можете использовать нашу служебную программу, предоставляемую Windows, для сброса контейнера и для отмены любых персональных данных. Сброс контейнера: |
| Включение Application Guard в Microsoft Defender в управляемом режиме | Windows 10 Корпоративная, 1709 или более поздней версии Windows 10 для образовательных учреждений, 1809 или более поздней версии Windows 11 Корпоративная и образование |
Определяет, следует ли включать Application Guard для Microsoft Edge и Microsoft Office. | Включено. Включает Application Guard для Microsoft Edge и (или) Microsoft Office, соблюдая параметры сетевой изоляции, отображая ненадежное содержимое в контейнере Application Guard. Application Guard фактически не будут включены, если на устройстве не установлены необходимые предварительные требования и параметры сетевой изоляции. Доступные варианты: — включение Application Guard в Microsoft Defender только для Microsoft Edge — включение Application Guard в Microsoft Defender только для Microsoft Office — Включение Application Guard в Microsoft Defender для Microsoft Edge и Microsoft Office Служба отключена. Отключает Application Guard, позволяя запускать все приложения в Microsoft Edge и Microsoft Office. Примечание: Для Windows 10, если вы установили KB5014666, а для Windows 11, если вы установили KB5014668, вам больше не нужно настраивать политику сетевой изоляции, чтобы включить Application Guard для Edge. |
| Разрешить скачивание файлов для размещения операционной системы | Windows 10 Корпоративная или Pro, 1803 или более поздней версии Windows 10 для образовательных учреждений, 1809 или более поздней версии Windows 11 Корпоративная, Pro или Education |
Определяет, следует ли сохранять скачанные файлы в операционной системе узла из контейнера Application Guard в Microsoft Defender. | Включено. Позволяет пользователям сохранять скачанные файлы из контейнера Application Guard в Microsoft Defender в операционной системе узла. Это действие создает общую папку между узлом и контейнером, которая также позволяет отправлять данные из узла в контейнер Application Guard. 1 или не настроено. Пользователи не могут сохранять скачанные файлы из Application Guard в операционной системе узла. |
| Разрешить отрисовку с аппаратным ускорением для Application Guard в Microsoft Defender | Windows 10 Корпоративная, 1709 или более поздней версии Windows 10 для образовательных учреждений, 1809 или более поздней версии Windows 11 Корпоративная и образование |
Определяет, выполняет ли Application Guard в Microsoft Defender отрисовку графики с помощью аппаратного или программного ускорения. | Включено. Это действует только в управляемом режиме. Application Guard в Microsoft Defender использует Hyper-V для доступа к поддерживаемму графическому оборудованию (GPU) с высоким уровнем безопасности. Эти графические процессоры повышают производительность отрисовки и время работы батареи при использовании Application Guard в Microsoft Defender, особенно для воспроизведения видео и других вариантов использования с интенсивным использованием графики. Если этот параметр включен без подключения графического оборудования с высоким уровнем безопасности, Application Guard в Microsoft Defender автоматически отменить изменения к программной отрисовке (ЦП). Важно: Включение этого параметра с потенциально скомпрометированных графических устройств или драйверов может представлять угрозу для хост-устройства. 1 или не настроено. Application Guard в Microsoft Defender использует программную отрисовку (ЦП) и не загружает сторонние графические драйверы и не взаимодействует с подключенным графическим оборудованием. |
| Разрешить доступ к камере и микрофону в Application Guard в Microsoft Defender | Windows 10 Корпоративная, 1709 или более поздней версии Windows 10 для образовательных учреждений, 1809 или более поздней версии Windows 11 Корпоративная и образование |
Определяет, следует ли разрешать доступ к камере и микрофону внутри Application Guard в Microsoft Defender. | Включено. Это действует только в управляемом режиме. Приложения внутри Application Guard в Microsoft Defender могут получать доступ к камере и микрофону на устройстве пользователя. Важно: Включение этой политики с потенциально скомпрометируемым контейнером может обойти разрешения камеры и микрофона и получить доступ к камере и микрофону без ведома пользователя. 1 или не настроено. Приложения внутри Application Guard в Microsoft Defender не могут получить доступ к камере и микрофону на устройстве пользователя. |
| Разрешить Application Guard в Microsoft Defender использовать корневые центры сертификации с устройства пользователя | Windows 10 Корпоративная или Pro, 1809 или более поздней версии Windows 10 для образовательных учреждений, 1809 или более поздней версии Windows 11 Корпоративная или Pro |
Определяет, используются ли корневые сертификаты совместно с Application Guard в Microsoft Defender. | Включено. Сертификаты, соответствующие указанному отпечатку, передаются в контейнер. Используйте запятую для разделения нескольких сертификатов. 1 или не настроено. Сертификаты не используются совместно с Application Guard в Microsoft Defender. |
| Разрешить аудит событий в Application Guard в Microsoft Defender | Windows 10 Корпоративная, 1709 или более поздней версии Windows 10 для образовательных учреждений, 1809 или более поздней версии Windows 11 Корпоративная и образование |
Этот параметр политики позволяет решить, можно ли собирать события аудита из Application Guard в Microsoft Defender. | Включено. Это действует только в управляемом режиме. Application Guard наследует политики аудита от устройства и записывает системные события из контейнера Application Guard на узел. 1 или не настроено. Журналы событий не собираются из контейнера Application Guard. |
параметры Application Guard поддержки диалоговых окон
Эти параметры находятся в .Administrative Templates\Windows Components\Windows Security\Enterprise Customization Если возникает ошибка, появится диалоговое окно. По умолчанию это диалоговое окно содержит только сведения об ошибке и кнопку, чтобы сообщить об этом корпорации Майкрософт через центр отзывов. Однако в диалоговом окне можно указать дополнительные сведения.
Используйте групповая политика для включения и настройки контактных данных.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по