сценарии тестирования Application Guard
Примечание.
- Application Guard в Microsoft Defender, включая API-интерфейсы изолированного средства запуска приложений Windows, будут нерекомендуемыми для Microsoft Edge для бизнеса и больше не будут обновляться. Скачайте технический документ по безопасности Microsoft Edge для бизнеса , чтобы узнать больше о возможностях безопасности Edge для бизнеса.
- Так как Application Guard не рекомендуется, миграция на пограничный манифест версии 3 не будет выполняться. Соответствующие расширения и связанное приложение Магазина Windows будут недоступны после мая 2024 г. Это влияет на следующие браузеры: расширение Application Guard — Chrome и расширение Application Guard — Firefox. Если вы хотите заблокировать незащищенные браузеры до тех пор, пока не будете готовы прекратить использование MDAG на предприятии, рекомендуется использовать политики AppLocker или службу управления Microsoft Edge. Дополнительные сведения см. в статье Microsoft Edge и Application Guard в Microsoft Defender.
Мы придумали список сценариев, которые можно использовать для тестирования аппаратной изоляции в организации.
Application Guard в автономном режиме
Вы сможете увидеть, каким образом сотрудник сможет работать с Application Guard в автономном режиме.
Испытание Application Guard в автономном режиме
Перезагрузите устройство, запустите Microsoft Edge, а затем в меню выберите Создать Application Guard окно.
Подождите, пока Application Guard загрузится в изолированной среде.
Примечание.
Не запускайте Application Guard сразу же после перезагрузки устройства — это может привести к увеличению времени загрузки. При этом последующие запуски должны происходить без каких-либо ощутимых задержек.
Перейдите по недоверенному, но безопасному URL-адресу (в данном примере мы используем msn.com) и убедитесь, что вы видите в новом окне Microsoft Edge визуальные подсказки Application Guard.
Application Guard в режиме "Управляется предприятием"
Порядок установки, настройки и включения Application Guard в режиме "Управляется предприятием".
Установка, настройка и включение Application Guard
Прежде чем использовать Application Guard в управляемом режиме, необходимо установить выпуск Windows 10 Корпоративная версии 1709 и Windows 11, включающую функциональные возможности. Затем для настройки необходимых параметров нужно воспользоваться групповой политикой.
Перезапустите устройство, а затем запустите Microsoft Edge.
Настройте параметры сетевой изоляции в групповой политике:
a. Щелкните значок Windows, введите
Group Policy
и выберите Изменить групповая политика.b. Перейдите в раздел Административные шаблоны\Сеть\Сетевая изоляция\Домены корпоративных ресурсов, размещенные в облаке.
c. Для целей этого сценария введите
.microsoft.com
в поле Корпоративные облачные ресурсы .d. Перейдите в раздел Административные шаблоны\Сеть\Сетевая изоляция\Домены, отнесенные к рабочим и личным одновременно.
e. Для этого сценария введите
bing.com
в поле Нейтральные ресурсы .Перейдите в раздел Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Application Guard в Microsoft Defender\Включить Application Guard в Microsoft Defender в управляемом режиме.
Выберите Включено, выберите Вариант 1 и нажмите кнопку ОК.
Примечание.
Включение данного параметра позволяет убедиться, что все необходимые параметры надлежащим образом настроены на устройствах ваших сотрудников, в том числе параметры сетевой изоляции, настроенные ранее по этому сценарию.
Запустите Microsoft Edge и введите
https://www.microsoft.com
.После отправки URL-адреса Application Guard определяет, что URL-адрес является доверенным, так как использует домен, помеченный как доверенный, и отображает сайт непосредственно на хост-компьютере, а не в Application Guard.
В том же браузере Microsoft Edge введите любой URL-адрес, который не входит в список доверенных или нейтральных сайтов.
После отправки URL-адреса Application Guard определит, что данный URL-адрес является недоверенным и перенаправит запрос в изолированную среду.
Настройка Application Guard
Application Guard позволяет задавать собственную конфигурацию, чтобы добиться оптимального соотношения безопасности на основе изоляции и эффективности ваших сотрудников.
Application Guard предусматривает следующие стандартные ограничения для ваших сотрудников:
запрет операций копирования и вставки между главным компьютером и изолированным контейнером;
запрет печати из изолированного контейнера;
отсутствие сохраняемости данных из одного изолированного контейнера в другой.
Вы можете изменить любой из этих параметров в групповой политике.
Относится к:
- выпуски Windows 10 Корпоративная или Pro версии 1803 или более поздней
- выпуски Windows 11 Корпоративная или Pro
Параметры копирования и вставки
Перейдите в раздел Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Application Guard в Microsoft Defender\Настройка параметров буфера обмена Application Guard в Microsoft Defender.
Выберите Включено и нажмите кнопку ОК.
Выберите, каким образом будет работать буфер обмена:
Копирование и вставка из изолированного сеанса на главный компьютер
Копирование и вставка из главного компьютера в изолированный сеанс
Копирование и вставка в обоих направлениях
Выберите, что именно можно будет копировать.
Между главным компьютером и изолированным контейнером можно копировать только текст.
Между главным компьютером и изолированным контейнером можно копировать только образы.
Текст и изображения можно копировать между главным компьютером и изолированным контейнером.
Нажмите ОК.
Параметры печати
Перейдите в раздел Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Application Guard в Microsoft Defender\Настройка параметров печати Application Guard в Microsoft Defender.
Выберите Включено и нажмите кнопку ОК.
В списке, приведенном для данного параметра, выберите пункт, который лучше всего описывает функции печати, которые должны быть доступны вашим сотрудников. Вы можете разрешить любую комбинацию операций локальной, сетевой печати, сохранения в PDF и XPS.
Нажмите ОК.
Параметры сохраняемости данных
Перейдите к параметру Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Application Guard в Microsoft Defender\Разрешить сохраняемость данных для Application Guard в Microsoft Defender.
Выберите Включено и нажмите кнопку ОК.
Откройте Microsoft Edge и перейдите по недоверенному, но безопасному URL-адресу.
Веб-сайт откроется в изолированном сеансе.
Добавьте веб-сайт в список Избранное и закройте изолированный сеанс.
Выйдите и вернитесь на устройство, снова открыв Microsoft Edge в Application Guard.
Ранее добавленный веб-сайт должен по-прежнему отображаться в вашем списке Избранное.
Примечание.
Начиная с Windows 11 версии 22H2 сохраняемость данных по умолчанию отключена. Если вы не разрешаете или отключаете сохраняемость данных, перезапуск устройства, вход и выход из изолированного контейнера инициирует событие перезапуска. Это действие удаляет все созданные данные, такие как файлы cookie сеанса и избранное, и удаляет данные из Application Guard. Если вы включите сохраняемость данных, все созданные сотрудниками объекты будут сохраняться при перезапуске контейнера. Однако эти артефакты существуют только в изолированном контейнере и не являются общими для главного компьютера. Эти данные сохраняются после перезапуска и даже при обновлении Windows 10 и Windows 11 от сборки.
Если вы включите сохраняемость данных, а позже решите отменить поддержку сохраняемости для ваших сотрудников, вы сможете с помощью нашей служебной программы, предусмотренной в Windows, сбросить содержимое контейнера и удалить все личные данные.
Чтобы сбросить контейнер, выполните следующие действия.
1. Откройте программу командной строки и перейдите к Windows/System32.
2. Введитеwdagtool.exe cleanup
. Среда контейнера будет сброшена за исключением данных, созданных сотрудниками.
3. Введитеwdagtool.exe cleanup RESET_PERSISTENCE_LAYER
. Среда контейнера будет сброшена, включая все данные, созданные сотрудниками.Microsoft Edge версии 90 или более поздней больше не поддерживает
RESET_PERSISTENCE_LAYER
.
Относится к:
- выпуски Windows 10 Корпоративная или Pro, версия 1803
- выпуски Windows 11 Корпоративная или Pro версии 21H2. Сохраняемость данных отключена по умолчанию в Windows 11 версии 22H2 и более поздних.
Варианты скачивания
Перейдите в раздел Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Application Guard в Microsoft Defender\Разрешить скачивание и сохранение файлов в операционной системе узла из Application Guard в Microsoft Defender.
Выберите Включено и нажмите кнопку ОК.
Выйдите и вернитесь на устройство, снова открыв Microsoft Edge в Application Guard.
Скачайте файл из Application Guard в Microsoft Defender.
Убедитесь, что файл был загружен в этот компьютер > скачивает ненадежные > файлы.
Параметры аппаратного ускорения
Перейдите к параметру Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Application Guard в Microsoft Defender\Разрешить отрисовку с аппаратным ускорением для Application Guard в Microsoft Defender.
Выберите Включено и нажмите кнопку ОК.
После включения этой функции откройте Microsoft Edge и перейдите по ненадежный, но безопасный URL-адрес с видео, трехмерным или другим графическим контентом. Веб-сайт открывается в изолированном сеансе.
Оцените визуальный интерфейс и производительность батареи.
Параметры камеры и микрофона
Перейдите в раздел Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Application Guard в Microsoft Defender\Разрешить доступ к камере и микрофону в Application Guard в Microsoft Defender.
Выберите Включено и нажмите кнопку ОК.
Выйдите и вернитесь на устройство, снова открыв Microsoft Edge в Application Guard.
Откройте приложение с возможностью видео или звука в Edge.
Убедитесь, что камера и микрофон работают должным образом.
Параметры общего доступа к корневому сертификату
Перейдите в раздел Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Application Guard в Microsoft Defender\Разрешить Application Guard в Microsoft Defender использовать корневые центры сертификации из параметра устройства пользователя.
Выберите Включено, скопируйте отпечаток каждого сертификата для совместного использования, разделенный запятой, и нажмите кнопку ОК.
Выйдите и вернитесь на устройство, снова открыв Microsoft Edge в Application Guard.
Расширение Application Guard для сторонних веб-браузеров
Расширение Application Guard, доступное для Chrome и Firefox, позволяет Application Guard защищать пользователей, даже если они используют веб-браузер, отличный от Microsoft Edge или интернет-Обозреватель.
После установки расширения и приложения-компаньона на корпоративном устройстве можно выполнить следующие сценарии.
Откройте Firefox или Chrome в любом браузере, в котором установлено расширение.
Перейдите на веб-сайт организации. Другими словами, внутренний веб-сайт, обслуживаемый вашей организацией. Эта страница оценки может появиться в течение мгновенного времени, прежде чем сайт будет полностью загружен.
Перейдите на не корпоративный внешний веб-сайт, например www.bing.com. Сайт должен быть перенаправлен на Application Guard в Microsoft Defender Edge.
Откройте новое окно Application Guard, щелкнув значок Application Guard в Microsoft Defender, а затем — Новое окно Application Guard.
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по