сценарии тестирования Application Guard

• Применяется к:

  ✅ Windows 11, ✅ Windows 10

Примечание.

• Application Guard в Microsoft Defender, включая API-интерфейсы изолированного средства запуска приложений Windows, будут нерекомендуемыми для Microsoft Edge для бизнеса и больше не будут обновляться. Скачайте технический документ по безопасности Microsoft Edge для бизнеса , чтобы узнать больше о возможностях безопасности Edge для бизнеса.
• Так как Application Guard не рекомендуется, миграция на пограничный манифест версии 3 не будет выполняться. Соответствующие расширения и связанное приложение Магазина Windows будут недоступны после мая 2024 г. Это влияет на следующие браузеры: расширение Application Guard — Chrome и расширение Application Guard — Firefox. Если вы хотите заблокировать незащищенные браузеры до тех пор, пока не будете готовы прекратить использование MDAG на предприятии, рекомендуется использовать политики AppLocker или службу управления Microsoft Edge. Дополнительные сведения см. в статье Microsoft Edge и Application Guard в Microsoft Defender.

Мы придумали список сценариев, которые можно использовать для тестирования аппаратной изоляции в организации.

Application Guard в автономном режиме

Вы сможете увидеть, каким образом сотрудник сможет работать с Application Guard в автономном режиме.

Испытание Application Guard в автономном режиме

1. Установите Application Guard.

2. Перезагрузите устройство, запустите Microsoft Edge, а затем в меню выберите Создать Application Guard окно.

   

3. Подождите, пока Application Guard загрузится в изолированной среде.

   Примечание.

   Не запускайте Application Guard сразу же после перезагрузки устройства — это может привести к увеличению времени загрузки. При этом последующие запуски должны происходить без каких-либо ощутимых задержек.

4. Перейдите по недоверенному, но безопасному URL-адресу (в данном примере мы используем msn.com) и убедитесь, что вы видите в новом окне Microsoft Edge визуальные подсказки Application Guard.

   

Application Guard в режиме "Управляется предприятием"

Порядок установки, настройки и включения Application Guard в режиме "Управляется предприятием".

Установка, настройка и включение Application Guard

Прежде чем использовать Application Guard в управляемом режиме, необходимо установить выпуск Windows 10 Корпоративная версии 1709 и Windows 11, включающую функциональные возможности. Затем для настройки необходимых параметров нужно воспользоваться групповой политикой.

1. Установите Application Guard.

2. Перезапустите устройство, а затем запустите Microsoft Edge.

3. Настройте параметры сетевой изоляции в групповой политике:

   a. Щелкните значок Windows, введите Group Policyи выберите Изменить групповая политика.

   b. Перейдите в раздел Административные шаблоны\Сеть\Сетевая изоляция\Домены корпоративных ресурсов, размещенные в облаке.

   c. Для целей этого сценария введите .microsoft.com в поле Корпоративные облачные ресурсы .

   

   d. Перейдите в раздел Административные шаблоны\Сеть\Сетевая изоляция\Домены, отнесенные к рабочим и личным одновременно.

   e. Для этого сценария введите bing.com в поле Нейтральные ресурсы .

   

4. Перейдите в раздел Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Application Guard в Microsoft Defender\Включить Application Guard в Microsoft Defender в управляемом режиме.

5. Выберите Включено, выберите Вариант 1 и нажмите кнопку ОК.

   

   Примечание.

   Включение данного параметра позволяет убедиться, что все необходимые параметры надлежащим образом настроены на устройствах ваших сотрудников, в том числе параметры сетевой изоляции, настроенные ранее по этому сценарию.

6. Запустите Microsoft Edge и введите https://www.microsoft.com.

   После отправки URL-адреса Application Guard определяет, что URL-адрес является доверенным, так как использует домен, помеченный как доверенный, и отображает сайт непосредственно на хост-компьютере, а не в Application Guard.

   

7. В том же браузере Microsoft Edge введите любой URL-адрес, который не входит в список доверенных или нейтральных сайтов.

   После отправки URL-адреса Application Guard определит, что данный URL-адрес является недоверенным и перенаправит запрос в изолированную среду.

   

Настройка Application Guard

Application Guard позволяет задавать собственную конфигурацию, чтобы добиться оптимального соотношения безопасности на основе изоляции и эффективности ваших сотрудников.

Application Guard предусматривает следующие стандартные ограничения для ваших сотрудников:

• запрет операций копирования и вставки между главным компьютером и изолированным контейнером;

• запрет печати из изолированного контейнера;

• отсутствие сохраняемости данных из одного изолированного контейнера в другой.

Вы можете изменить любой из этих параметров в групповой политике.

Относится к:

• выпуски Windows 10 Корпоративная или Pro версии 1803 или более поздней
• выпуски Windows 11 Корпоративная или Pro

Параметры копирования и вставки

1. Перейдите в раздел Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Application Guard в Microsoft Defender\Настройка параметров буфера обмена Application Guard в Microsoft Defender.

2. Выберите Включено и нажмите кнопку ОК.

   

3. Выберите, каким образом будет работать буфер обмена:

   • Копирование и вставка из изолированного сеанса на главный компьютер

   • Копирование и вставка из главного компьютера в изолированный сеанс

   • Копирование и вставка в обоих направлениях

4. Выберите, что именно можно будет копировать.

   • Между главным компьютером и изолированным контейнером можно копировать только текст.

   • Между главным компьютером и изолированным контейнером можно копировать только образы.

   • Текст и изображения можно копировать между главным компьютером и изолированным контейнером.

5. Нажмите ОК.

Параметры печати

1. Перейдите в раздел Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Application Guard в Microsoft Defender\Настройка параметров печати Application Guard в Microsoft Defender.

2. Выберите Включено и нажмите кнопку ОК.

   

3. В списке, приведенном для данного параметра, выберите пункт, который лучше всего описывает функции печати, которые должны быть доступны вашим сотрудников. Вы можете разрешить любую комбинацию операций локальной, сетевой печати, сохранения в PDF и XPS.

4. Нажмите ОК.

Параметры сохраняемости данных

1. Перейдите к параметру Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Application Guard в Microsoft Defender\Разрешить сохраняемость данных для Application Guard в Microsoft Defender.

2. Выберите Включено и нажмите кнопку ОК.

   

3. Откройте Microsoft Edge и перейдите по недоверенному, но безопасному URL-адресу.

   Веб-сайт откроется в изолированном сеансе.

4. Добавьте веб-сайт в список Избранное и закройте изолированный сеанс.

5. Выйдите и вернитесь на устройство, снова открыв Microsoft Edge в Application Guard.

   Ранее добавленный веб-сайт должен по-прежнему отображаться в вашем списке Избранное.

   Примечание.

   Начиная с Windows 11 версии 22H2 сохраняемость данных по умолчанию отключена. Если вы не разрешаете или отключаете сохраняемость данных, перезапуск устройства, вход и выход из изолированного контейнера инициирует событие перезапуска. Это действие удаляет все созданные данные, такие как файлы cookie сеанса и избранное, и удаляет данные из Application Guard. Если вы включите сохраняемость данных, все созданные сотрудниками объекты будут сохраняться при перезапуске контейнера. Однако эти артефакты существуют только в изолированном контейнере и не являются общими для главного компьютера. Эти данные сохраняются после перезапуска и даже при обновлении Windows 10 и Windows 11 от сборки.

   Если вы включите сохраняемость данных, а позже решите отменить поддержку сохраняемости для ваших сотрудников, вы сможете с помощью нашей служебной программы, предусмотренной в Windows, сбросить содержимое контейнера и удалить все личные данные.

   Чтобы сбросить контейнер, выполните следующие действия.
   1. Откройте программу командной строки и перейдите к Windows/System32.
   2. Введите wdagtool.exe cleanup. Среда контейнера будет сброшена за исключением данных, созданных сотрудниками.
   3. Введите wdagtool.exe cleanup RESET_PERSISTENCE_LAYER. Среда контейнера будет сброшена, включая все данные, созданные сотрудниками.

   Microsoft Edge версии 90 или более поздней больше не поддерживает RESET_PERSISTENCE_LAYER.

Относится к:

• выпуски Windows 10 Корпоративная или Pro, версия 1803
• выпуски Windows 11 Корпоративная или Pro версии 21H2. Сохраняемость данных отключена по умолчанию в Windows 11 версии 22H2 и более поздних.

Варианты скачивания

1. Перейдите в раздел Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Application Guard в Microsoft Defender\Разрешить скачивание и сохранение файлов в операционной системе узла из Application Guard в Microsoft Defender.

2. Выберите Включено и нажмите кнопку ОК.

   

3. Выйдите и вернитесь на устройство, снова открыв Microsoft Edge в Application Guard.

4. Скачайте файл из Application Guard в Microsoft Defender.

5. Убедитесь, что файл был загружен в этот компьютер > скачивает ненадежные > файлы.

Параметры аппаратного ускорения

1. Перейдите к параметру Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Application Guard в Microsoft Defender\Разрешить отрисовку с аппаратным ускорением для Application Guard в Microsoft Defender.

2. Выберите Включено и нажмите кнопку ОК.

   

3. После включения этой функции откройте Microsoft Edge и перейдите по ненадежный, но безопасный URL-адрес с видео, трехмерным или другим графическим контентом. Веб-сайт открывается в изолированном сеансе.

4. Оцените визуальный интерфейс и производительность батареи.

Параметры камеры и микрофона

1. Перейдите в раздел Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Application Guard в Microsoft Defender\Разрешить доступ к камере и микрофону в Application Guard в Microsoft Defender.

2. Выберите Включено и нажмите кнопку ОК.

   

3. Выйдите и вернитесь на устройство, снова открыв Microsoft Edge в Application Guard.

4. Откройте приложение с возможностью видео или звука в Edge.

5. Убедитесь, что камера и микрофон работают должным образом.

Параметры общего доступа к корневому сертификату

1. Перейдите в раздел Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Application Guard в Microsoft Defender\Разрешить Application Guard в Microsoft Defender использовать корневые центры сертификации из параметра устройства пользователя.

2. Выберите Включено, скопируйте отпечаток каждого сертификата для совместного использования, разделенный запятой, и нажмите кнопку ОК.

   

3. Выйдите и вернитесь на устройство, снова открыв Microsoft Edge в Application Guard.

Расширение Application Guard для сторонних веб-браузеров

Расширение Application Guard, доступное для Chrome и Firefox, позволяет Application Guard защищать пользователей, даже если они используют веб-браузер, отличный от Microsoft Edge или интернет-Обозреватель.

После установки расширения и приложения-компаньона на корпоративном устройстве можно выполнить следующие сценарии.

1. Откройте Firefox или Chrome в любом браузере, в котором установлено расширение.

2. Перейдите на веб-сайт организации. Другими словами, внутренний веб-сайт, обслуживаемый вашей организацией. Эта страница оценки может появиться в течение мгновенного времени, прежде чем сайт будет полностью загружен.

3. Перейдите на не корпоративный внешний веб-сайт, например www.bing.com. Сайт должен быть перенаправлен на Application Guard в Microsoft Defender Edge.

4. Откройте новое окно Application Guard, щелкнув значок Application Guard в Microsoft Defender, а затем — Новое окно Application Guard.