Editar

Compartir a través de

Preguntas más frecuentes: Protección de aplicaciones de Microsoft Defender

  • Preguntas más frecuentes

Nota

En este artículo se enumeran las preguntas más frecuentes con respuestas para Protección de aplicaciones de Microsoft Defender (Protección de aplicaciones). Las preguntas abarcan características, integración con el sistema operativo Windows y configuración general.

Preguntas más frecuentes

¿Puedo habilitar Application Guard en máquinas equipadas con 4 GB de RAM?

Se recomienda 8 GB de RAM para un rendimiento óptimo, pero puede usar los siguientes valores DWORD del Registro para habilitar Application Guard en máquinas que no cumplen la configuración de hardware recomendada.

HKLM\software\Microsoft\Hvsi\SpecRequiredProcessorCount (El valor predeterminado es cuatro núcleos).

HKLM\software\Microsoft\Hvsi\SpecRequiredMemoryInGB (El valor predeterminado es 8 GB).

HKLM\software\Microsoft\Hvsi\SpecRequiredFreeDiskSpaceInGB (El valor predeterminado es 5 GB).

Mi configuración de red usa un proxy y me estoy ejecutando en "No se pueden resolver direcciones URL externas desde MDAG Browser: Error: err_connection_refused". ¿Cómo puedo resolverlo?

El servidor manual o PAC debe ser un nombre de host (no ip) que sea neutro en la lista de sitios. Además, si el script PAC devuelve un proxy, debe cumplir esos mismos requisitos.

Para asegurarse de que los FQDN (nombres de dominio completos) para el "archivo PAC" y los "servidores proxy a los que redirige el archivo PAC" se agregan como recursos neutros en las directivas de aislamiento de red usadas por Application Guard, puede:

  • Para comprobar esta adición, vaya a edge://application-guard-internals/#utilities y escriba el FQDN del pac/proxy en el campo "check url trust" y compruebe que dice "Neutral".
  • Debe ser un FQDN. Una dirección IP sencilla no funcionará.
  • Opcionalmente, si es posible, las direcciones IP asociadas al servidor que hospeda lo anterior deben quitarse de los intervalos IP empresariales en las directivas de aislamiento de red usadas por Application Guard.

¿Cómo configuro Application Guard de Microsoft Defender para que funcione con mi proxy de red (direcciones IP-literales)?

Application Guard requiere que los servidores proxy tengan un nombre simbólico, no solo una dirección IP. IP-Literal configuración de proxy como 192.168.1.4:81 se puede anotar como itproxy:81 o mediante un registro como P19216810010 para un proxy con una dirección IP de 192.168.100.10. Esta anotación se aplica a la edición Windows 10 Enterprise, versión 1709 o posterior. Estas anotaciones serían para las directivas de proxy en Aislamiento de red en la directiva de grupo o Intune.

¿Qué editores de métodos de entrada (IME) de 19H1 no se admiten?

Los siguientes editores de métodos de entrada (IME) introducidos en Windows 10, versión 1903 no se admiten actualmente en Protección de aplicaciones de Microsoft Defender:

  • Teclado telex de Vietnam
  • Teclado basado en teclas de número de Vietnam
  • Teclado fonético hindi
  • Teclado fonético de Bangla
  • Teclado fonético Marathi
  • Teclado fonético telugu
  • Teclado fonético tamil
  • Teclado fonético kannada
  • Teclado fonético Malayalam
  • Teclado fonético gujarati
  • Odia phonetic keyboard
  • Teclado fonético punjabi

He habilitado la directiva de aceleración de hardware en mi implementación de Windows 10 Enterprise, versión 1803. ¿Por qué mis usuarios solo obtienen representación de CPU?

Esta característica es actualmente solo experimental y no funciona sin una clave del Registro adicional proporcionada por Microsoft. Si desea evaluar esta característica en una implementación de Windows 10 Enterprise, versión 1803, póngase en contacto con Microsoft y trabajaremos con usted para habilitar la característica.

¿Qué es la cuenta local WDAGUtilityAccount?

WDAGUtilityAccount forma parte de Application Guard, a partir de Windows 10, versión 1709 (Fall Creators Update). Permanece deshabilitado de forma predeterminada, a menos que Application Guard esté habilitado en el dispositivo. WDAGUtilityAccount se usa para iniciar sesión en el contenedor de Application Guard como un usuario estándar con una contraseña aleatoria. No es una cuenta malintencionada. Requiere permisos de inicio de sesión como servicio para poder funcionar correctamente. Si se deniega este permiso, es posible que vea el siguiente error:

Error: 0x80070569, error ext: 0x00000001; RDP: Error: 0x00000000, error ext: 0x00000000 Ubicación: 0x00000000

¿Cómo puedo confiar en un subdominio en mi lista de sitios?

Para confiar en un subdominio, debe preceder al dominio con dos puntos (..). Por ejemplo: ..contoso.com garantiza que mail.contoso.com o news.contoso.com son de confianza. El primer punto representa las cadenas del nombre del subdominio (correo o noticias) y el segundo punto reconoce el inicio del nombre de dominio (contoso.com). Estos dos puntos impiden que sitios como fakesitecontoso.com sean de confianza.

¿Hay diferencias entre el uso de Application Guard en Windows Pro frente a Windows Enterprise?

Al usar Windows Pro o Windows Enterprise, tiene acceso al uso de Protección de aplicaciones en modo independiente. Sin embargo, al usar Enterprise, tiene acceso a Application Guard en modo Enterprise-Managed. Este modo tiene algunas características adicionales que el modo independiente no tiene. Para obtener más información, consulte Preparación para instalar Protección de aplicaciones de Microsoft Defender.

¿Hay un límite de tamaño para las listas de dominios que necesito configurar?

Sí, tanto los dominios de recursos empresariales hospedados en la nube como los dominios que se clasifican como profesionales y personales tienen un límite de 1.6383 bytes.

¿Por qué mi controlador de cifrado interrumpe La Protección de aplicaciones de Microsoft Defender?

Protección de aplicaciones de Microsoft Defender accede a los archivos desde un VHD montado en el host que debe escribirse durante la instalación. Si un controlador de cifrado impide que un VHD se monte o se escriba en, Application Guard no funciona y genera un mensaje de error (0x80070013 ERROR_WRITE_PROTECT).

¿Por qué las directivas de aislamiento de red de la directiva de grupo y CSP tienen un aspecto diferente?

No hay una asignación uno a uno entre todas las directivas de aislamiento de red entre CSP y GP. Las directivas de aislamiento de red obligatorias para implementar Application Guard son diferentes entre CSP y GP.

  • Directiva de GP de aislamiento de red obligatoria para implementar Application Guard: DomainSubnets o CloudResources

  • Directiva CSP de aislamiento de red obligatoria para implementar Application Guard: EnterpriseCloudResources o (EnterpriseIpRange y EnterpriseNetworkDomainNames)

  • Para EnterpriseNetworkDomainNames, no hay ninguna directiva CSP asignada.

Application Guard accede a los archivos desde un VHD montado en el host que debe escribirse durante la instalación. Si un controlador de cifrado impide que un VHD se monte o se escriba en, Application Guard no funciona y genera un mensaje de error (0x80070013 ERROR_WRITE_PROTECT).

¿Por qué Application Guard detuvo el trabajo después de desactivar el hiperthreading?

Si el hiperthreading está deshabilitado (debido a una actualización aplicada a través de un artículo de KB o a través de la configuración del BIOS), existe la posibilidad de que Application Guard ya no cumpla los requisitos mínimos.

¿Por qué recibo el mensaje de error "ERROR_VIRTUAL_DISK_LIMITATION"?

Es posible que Application Guard no funcione correctamente en volúmenes comprimidos NTFS. Si este problema persiste, intente descomprimir el volumen.

¿Por qué recibo el mensaje de error "ERR_NAME_NOT_RESOLVED" después de no poder acceder al archivo PAC?

Este problema es conocido. Para mitigar este problema, debe crear dos reglas de firewall. Para obtener información sobre cómo crear una regla de firewall con directiva de grupo, consulte Configuración de reglas de Firewall de Windows con directiva de grupo.

Primera regla (servidor DHCP)

  • Ruta de acceso del programa: %SystemRoot%\System32\svchost.exe

  • Servicio local: Sid: S-1-5-80-2009329905-444645132-2728249442-922493431-93864177 (Internet Connection Service (SharedAccess))

  • Protocolo UDP

  • Puerto 67

Segunda regla (cliente DHCP)

Esta regla es la misma que la primera, pero se limita al puerto local 68. En la interfaz de usuario de Firewall de Microsoft Defender, siga estos pasos:

  1. Haga clic con el botón derecho en las reglas de entrada y, a continuación, cree una nueva regla.

  2. Elija una regla personalizada.

  3. Especifique la siguiente ruta de acceso del programa: %SystemRoot%\System32\svchost.exe.

  4. Especifique la siguiente configuración:

    • Tipo de protocolo: UDP
    • Puertos específicos: 67
    • Puerto remoto: cualquiera

  5. Especifique las direcciones IP.

  6. Permitir la conexión.

  7. Especifique para usar todos los perfiles.

  8. La nueva regla debe aparecer en la interfaz de usuario. Haga clic con el botón derecho en laspropiedades de la regla>.

  9. En la pestaña Programas y servicios , en la sección Servicios , seleccione Configuración.

  10. Elija Apply to this Service (Aplicar a este servicio) y seleccione Acceso compartido de Internet Connection Sharing (ICS).

¿Cómo puedo deshabilitar partes del servicio de conexión a Internet (ICS) sin interrumpir Application Guard?

ICS está habilitado de forma predeterminada en Windows y ICS debe estar habilitado para que Application Guard funcione correctamente. No se recomienda deshabilitar ICS; sin embargo, puede deshabilitar ICS en parte mediante una directiva de grupo y la edición de claves del Registro.

  1. En la configuración de directiva de grupo, Prohibir el uso compartido de conexiones a Internet en la red de dominio DNS, establézcala en Deshabilitada.

  2. Deshabilite IpNat.sys de la carga de ICS como se indica a continuación:
    System\CurrentControlSet\Services\SharedAccess\Parameters\DisableIpNat = 1

  3. Configure ICS (SharedAccess) para que se habilite de la siguiente manera:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Start = 3

  4. (Este paso es opcional) Deshabilite IPNAT como se indica a continuación:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPNat\Start = 4

  5. Reinicia el dispositivo.

¿Por qué el contenedor no se carga completamente cuando se habilitan las directivas de control de dispositivos?

Los elementos que aparecen en la lista de permitidos deben configurarse como "permitidos" en el objeto de directiva de grupo para asegurarse de que AppGuard funciona correctamente.

Directiva: permitir la instalación de dispositivos que coincidan con cualquiera de los siguientes identificadores de dispositivo:

  • SCSI\DiskMsft____Virtual_Disk____
  • {8e7bd593-6e6c-4c52-86a6-77175494dd8e}\msvhdhba
  • VMS_VSF
  • root\Vpcivsp
  • root\VMBus
  • vms_mp
  • VMS_VSP
  • ROOT\VKRNLINTVSP
  • ROOT\VID
  • root\storvsp
  • vms_vsmp
  • VMS_PP

Directiva: permitir la instalación de dispositivos mediante controladores que coincidan con estas clases de configuración de dispositivos

  • {71a27cdd-812a-11d0-bec7-08002be2092f}

Estoy experimentando problemas de fragmentación de TCP y no puedo habilitar mi conexión VPN. ¿Cómo se soluciona este problema?

WinNAT quita los mensajes ICMP/UDP con paquetes mayores que MTU cuando se usa el conmutador predeterminado o la red NAT de Docker. Se ha agregado compatibilidad con esta solución en KB4571744. Para corregir el problema, instale la actualización y habilite la corrección siguiendo estos pasos:

  1. Asegúrese de que el valor de FragmentAware DWORD esté establecido en 1 en esta configuración del Registro: \Registry\Machine\SYSTEM\CurrentControlSet\Services\Winnat.

  2. Reinicia el dispositivo.

¿Qué hace el _Allow a los usuarios para que confíen en los archivos que se abren en la opción de Guard_ de aplicación de Microsoft Defender en la directiva de grupo?

Esta directiva estaba presente en Windows 10 antes de la versión 2004. Se quitó de las versiones posteriores de Windows, ya que no aplica nada para Microsoft Edge o Office.

¿Cómo se abre una incidencia de soporte técnico para Protección de aplicaciones de Microsoft Defender?

  • Visite Creación de una nueva solicitud de soporte técnico.
  • En Familia de productos, seleccione Windows. Seleccione el producto y la versión del producto con la que necesita ayuda. En la categoría que mejor describe el problema, seleccione Tecnologías de seguridad de Windows. En la opción final, seleccione Protección de aplicaciones de Windows Defender.

¿Hay alguna manera de habilitar o deshabilitar el comportamiento en el que se cierra automáticamente la pestaña host de Microsoft Edge al navegar a un sitio que no es de confianza?

Sí. Use esta marca de Microsoft Edge para habilitar o deshabilitar este comportamiento: --disable-features="msWdagAutoCloseNavigatedTabs"

Ver también

Configuración de la directiva de Protección de aplicaciones de Microsoft Defender