应用程序防护测试方案
注意
Microsoft Defender 应用程序防护(包括 Windows 独立应用启动器 API)将弃用Microsoft Edge 商业版,并且将不再更新。 请下载 Microsoft Edge For Business Security 白皮书 ,了解有关 Edge for Business 安全功能的详细信息。
我们提供了可用于测试组织中基于硬件的隔离的方案列表。
独立模式下的应用程序防护
你可以了解员工应如何在独立模式下使用应用程序防护。
使用以下方式在独立模式下测试应用程序防护
重启设备,启动 Microsoft Edge,然后从菜单中选择“新建应用程序防护窗口”。
等待应用程序防护设置隔离环境。
注意
重启设备后立即启动应用程序防护可能会导致加载时间稍长。 但是,后续启动应该不会出现任何可以察觉的延迟。
转到不受信任但安全的 URL(对于本示例,我们使用 msn.com),并查看新的 Microsoft Edge 窗口,确保你会看到应用程序防护视觉提示。
企业托管模式下的应用程序防护
如何在企业托管模式下安装、设置、打开和配置应用程序防护。
安装、设置和打开应用程序防护
在托管模式下使用应用程序防护之前,必须安装Windows 10 企业版版本、版本 1709 和包含功能Windows 11。 然后,你必须使用组策略进行所需的设置。
重启设备,然后启动 Microsoft Edge。
在组策略中设置网络隔离设置:
a. 选择 Windows 图标,键入
Group Policy,然后选择编辑组策略。b. 转到管理模板\网络\网络隔离\托管在云中的企业资源域设置。
c. 对于此方案,请在
.microsoft.com“ 企业云资源 ”框中键入内容。
d. 转到管理模板\网络\网络隔离\分类为工作和个人的域设置。
e. 对于此方案,请在
bing.com“ 非特定资源 ”框中键入 。
转到计算机配置\管理模板\Windows 组件\Microsoft Defender 应用程序防护\在托管模式下打开Microsoft Defender 应用程序防护设置。
选择 “已启用”,选择“选项 1”,然后选择“ 确定”。
注意
启用此设置将验证员工设备上是否正确配置了所有必要的设置,包括本方案前面部分设置的网络隔离设置。
启动 Microsoft Edge 并键入
https://www.microsoft.com。提交 URL 后,应用程序防护确定该 URL 受信任,因为它使用已标记为受信任的域,并直接在主机电脑上而不是在应用程序防护中显示站点。
在同一 Microsoft Edge 浏览器中,键入不属于受信任或非特定站点列表的任何 URL。
当你提交 URL 后,应用程序防护将确定该 URL 是不受信任的 URL,并将请求重定向到硬件隔离环境。
自定义应用程序防护
应用程序防护可让你指定相关配置,以便在基于隔离的安全性与员工工作效率之间创造适当平衡。
应用程序防护提供以下默认员工行为:
不允许在主机电脑与隔离容器之间进行复制和粘贴。
不允许从隔离容器进行打印。
数据在不同隔离容器之间不具备持久性。
你可以选择更改每项设置,以便在组策略内使用企业数据。
适用于:
- Windows 10 企业版 版或专业版、版本 1803 或更高版本
- Windows 11 企业版或专业版
复制和粘贴选项
转到“计算机配置\管理模板\Windows 组件\Microsoft Defender 应用程序防护\配置Microsoft Defender 应用程序防护剪贴板设置”。
选择 “已启用 ”,然后选择“ 确定”。
选择剪贴板的工作原理:
从隔离会话复制并粘贴到主机电脑
从主机电脑复制并粘贴到隔离会话
两个方向分别复制并粘贴
选择可复制的内容:
只能在主机电脑和隔离的容器之间复制文本。
只能在主机电脑和隔离容器之间复制映像。
可以在主机电脑和独立容器之间复制文本和图像。
选择“确定”。
打印选项
转到“计算机配置\管理模板\Windows 组件\Microsoft Defender 应用程序防护\配置Microsoft Defender 应用程序防护打印设置”。
选择 “已启用 ”,然后选择“ 确定”。
根据设置中提供的列表,选择最能代表应向员工提供的打印类型的编号。 你可以允许本地、网络、PDF 和 XPS 打印的任意组合。
选择“确定”。
数据暂留选项
转到计算机配置\管理模板\Windows 组件\Microsoft Defender 应用程序防护\允许数据暂留Microsoft Defender 应用程序防护设置。
选择 “已启用 ”,然后选择“ 确定”。
打开 Microsoft Edge,然后浏览不受信任但安全的 URL。
此时将在隔离会话中打开网站。
将该站点添加到收藏夹列表,然后关闭隔离会话。
注销并重新登录到设备,再次在 应用程序防护 中打开 Microsoft Edge。
以前添加的站点仍会显示在你的收藏夹列表中。
注意
从 Windows 11 版本 22H2 开始,默认禁用数据暂留。 如果不允许或关闭数据暂留,重启设备或登录和注销隔离容器将触发回收事件。 此操作会丢弃所有生成的数据,例如会话 Cookie 和收藏夹,并从应用程序防护中删除数据。 如果打开数据持久性,则会在容器回收事件中保留员工生成的所有项目。 但是,这些项目仅存在于隔离的容器中,不会与主机电脑共享。 此数据在重启后保留,甚至通过Windows 10和Windows 11的内部版本到内部版本升级。
如果你打开数据持久性,但后来决定停止为员工提供数据持久性支持,则可以使用 Windows 提供的实用程序来重置容器并放弃任何个人数据。
若要重置容器,请执行以下步骤:
1. 打开命令行程序并导航到 Windows/System32。
2.键入wdagtool.exe cleanup。 容器环境将会重置,从而仅保留员工生成的数据。
3.键入wdagtool.exe cleanup RESET_PERSISTENCE_LAYER。 容器环境将会重置,包括放弃员工生成的所有数据。Microsoft Edge 版本 90 或更高版本不再支持
RESET_PERSISTENCE_LAYER。
适用于:
- Windows 10 企业版 或 Pro 版本 1803
- Windows 11 企业版 或 Pro 版本,版本 21H2。 默认情况下,Windows 11版本 22H2 及更高版本中禁用数据暂留。
下载选项
转到“计算机配置\管理模板\Windows 组件\Microsoft Defender 应用程序防护\允许从Microsoft Defender 应用程序防护下载文件并将其保存到主机操作系统”设置。
选择 “已启用 ”,然后选择“ 确定”。
注销并重新登录到设备,再次在 应用程序防护 中打开 Microsoft Edge。
从 Microsoft Defender 应用程序防护 下载文件。
查看文件是否已下载到此电脑 > 下载 > 不受信任的文件。
硬件加速选项
转到计算机配置\管理模板\Windows 组件\Microsoft Defender 应用程序防护\允许硬件加速呈现Microsoft Defender 应用程序防护设置。
选择 “已启用 ”,然后选择 “确定”。
启用此功能后,打开 Microsoft Edge 并浏览到包含视频、3D 或其他图形密集型内容的不受信任但安全的 URL。 网站在独立会话中打开。
评估视觉体验和电池性能。
相机和麦克风选项
转到“计算机配置\管理模板\Windows 组件\Microsoft Defender 应用程序防护\在Microsoft Defender 应用程序防护中允许相机和麦克风访问”设置。
选择 “已启用 ”,然后选择“ 确定”。
注销并重新登录到设备,再次在 应用程序防护 中打开 Microsoft Edge。
在 Edge 中打开具有视频或音频功能的应用程序。
检查相机和麦克风是否按预期工作。
根证书共享选项
转到“计算机配置\管理模板\Windows 组件\Microsoft Defender 应用程序防护\允许Microsoft Defender 应用程序防护使用用户设备中的根证书颁发机构”设置。
选择“ 启用”,复制要共享的每个证书的指纹(用逗号分隔),然后选择“ 确定”。
注销并重新登录到设备,再次在 应用程序防护 中打开 Microsoft Edge。
适用于第三方 Web 浏览器的应用程序防护扩展
Chrome 和 Firefox 提供的 应用程序防护 扩展允许应用程序防护保护用户,即使他们运行的是 Microsoft Edge 或 Internet Explorer 以外的 Web 浏览器。
用户在其企业设备上安装扩展及其配套应用后,可以运行以下方案。
打开 Firefox 或 Chrome,以安装了扩展的浏览器为准。
导航到组织网站。 换句话说,由组织维护的内部网站。 在网站完全加载之前,你可能会在一瞬间看到此评估页。
导航到非企业外部网站,例如 www.bing.com。 应将站点重定向到 Microsoft Defender 应用程序防护 Edge。
通过选择“Microsoft Defender 应用程序防护”图标,然后选择“新建应用程序防护窗口”打开新的应用程序防护
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈