Microsoft Defender Application Guard ilkesi oluşturma ve dağıtma
Uygulama hedefi: Configuration Manager (güncel dalı)
Configuration Manager uç nokta korumasını kullanarak Microsoft Defender Application Guard (Application Guard) ilkeleri oluşturabilir ve dağıtabilirsiniz. Bu ilkeler, güvenilmeyen web sitelerini işletim sisteminin diğer bölümleri tarafından erişilemeyen güvenli bir yalıtılmış kapsayıcıda açarak kullanıcılarınızın korunmasına yardımcı olur.
Önkoşullar
Microsoft Defender Application Guard ilkesi oluşturmak ve dağıtmak için Windows 10 1709 veya sonraki bir sürümü kullanmanız gerekir. İlkeyi dağıttığınız Windows 10 veya sonraki cihazlar bir ağ yalıtım ilkesiyle yapılandırılmalıdır. Daha fazla bilgi için bkz. Microsoft Defender Application Guard genel bakış.
İlke oluşturma ve kullanılabilir ayarlara göz atma
Configuration Manager konsolunda Varlıklar ve Uyumluluk'u seçin.
Varlıklar ve Uyumluluk çalışma alanında Genel Bakış>Endpoint Protection>Microsoft Defender Application Guard'ı seçin.
Giriş sekmesinin Oluştur grubunda, Microsoft Defender Application Guard İlkesi Oluştur'a tıklayın.
Makaleyi başvuru olarak kullanarak, kullanılabilir ayarlara göz atabilir ve yapılandırabilirsiniz. Configuration Manager belirli ilke ayarlarını yapmanızı sağlar:
Ağ Tanımı sayfasında şirket kimliğini belirtin ve kurumsal ağ sınırınızı tanımlayın.
Not
Windows 10 veya sonraki bilgisayarlar istemcide yalnızca bir ağ yalıtım listesi depolar. İki farklı türde ağ yalıtım listesi oluşturabilir ve bunları istemciye dağıtabilirsiniz:
- Windows Information Protection'dan bir tane
- Microsoft Defender Application Guard'dan bir tane
her iki ilkeyi de dağıtırsanız, bu ağ yalıtım listeleri eşleşmelidir. Aynı istemciyle eşleşmeyen listeler dağıtırsanız dağıtım başarısız olur. Daha fazla bilgi için Windows Information Protection belgelerine bakın.
İşiniz bittiğinde sihirbazı tamamlayın ve ilkeyi bir veya daha fazla Windows 10 1709 veya üzeri cihazlara dağıtın.
Uygulama davranışı
Konak cihazlar ve Application Guard kapsayıcısı arasındaki etkileşimleri yapılandırır. Sürüm 1802 Configuration Manager den önce, hem uygulama davranışı hem de konak etkileşimi Ayarlar sekmesinin altındaydı.
- Pano - Configuration Manager 1802 öncesi ayarlar altında
- İzin verilen içerik türü
- Metin
- Görüntü
- İzin verilen içerik türü
- Baskı:
- XPS'de yazdırmayı etkinleştirme
- PDF'ye yazdırmayı etkinleştirme
- Yerel yazıcılarda yazdırmayı etkinleştirme
- Ağ yazıcılarında yazdırmayı etkinleştirme
- Grafik: (Configuration Manager sürüm 1802'den başlayarak)
- Sanal grafik işlemci erişimi
- Dosyalar: (Configuration Manager sürüm 1802'den başlayarak)
- İndirilen dosyaları konağa kaydetme
- İlkeler: (Configuration Manager sürüm 2207'den başlayarak)
- Kameraları ve mikrofonları etkinleştirme veya devre dışı bırakma
- Parmak izlerini yalıtılmış kapsayıcıyla eşleşen sertifika
Konak etkileşim ayarları
Application Guard oturumu içinde uygulama davranışını yapılandırılır. Sürüm 1802 Configuration Manager den önce, hem uygulama davranışı hem de konak etkileşimi Ayarlar sekmesinin altındaydı.
- Diğer:
- Kullanıcı tarafından oluşturulan tarayıcı verilerini saklama
- Yalıtılmış application guard oturumunda güvenlik olaylarını denetleme
Application Guard ayarlarını düzenlemek için Varlıklar ve Uyumluluk çalışma alanında Endpoint Protection'ı genişletin ve ardından Microsoft Defender Application Guard düğümüne tıklayın. Düzenlemek istediğiniz ilkeye sağ tıklayın ve özellikler'i seçin.
Bilinen sorunlar
Sürüm 2203 veya önceki sürümler için geçerlidir
Windows 10, sürüm 2004 çalıştıran cihazlar, Microsoft Defender Application Guard Dosya Güveni Ölçütleri için uyumluluk raporlamasında hatalar gösterir. Bazı alt sınıflar Windows 10, sürüm 2004'te WMI sınıfından MDM_WindowsDefenderApplicationGuard_Settings01 kaldırıldığından bu sorun oluşur. Diğer tüm Microsoft Defender Application Guard ayarları geçerli olmaya devam eder, yalnızca Dosya Güveni Ölçütleri başarısız olur. Şu anda hatayı atlamak için geçici bir çözüm yoktur.
Sürüm 2207 veya üzeri için geçerlidir
İlkenin etkinleştirilmesi varsayılan olarak Microsoft Defender Application Guard özelliği yüklemez. ConfigMgr aracılığıyla bir PowerShell betiğini tüm uygun makinelere dağıtın.
Özelliği etkinleştirmek için aşağıdaki komutları kullanın. Enable-WindowsOptionalFeature -online -FeatureName "Windows-Defender-ApplicationGuard"
Sonraki adımlar
Microsoft Defender Application Guard hakkında daha fazla bilgi için bkz.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin