Compartir a través de


Escenarios de prueba de Application Guard

Nota

Hemos creado una lista de escenarios que puede usar para probar el aislamiento basado en hardware en su organización.

Protección de aplicaciones en modo independiente

Puedes ver cómo el empleado usaría el modo independiente con la protección de aplicaciones.

Para probar la protección de aplicaciones en el modo independiente

  1. Instale Application Guard.

  2. Reinicie el dispositivo, inicie Microsoft Edge y seleccione Nueva ventana de Protección de aplicaciones en el menú.

    Nueva opción de configuración de ventana de Protección de aplicaciones.

  3. Espera a que la Protección de aplicaciones configure el entorno aislado.

    Nota

    Si inicias la Protección de aplicaciones demasiado rápido tras reiniciar, el dispositivo podría tardar algo más en cargarse. Sin embargo, los posteriores inicios se producirán sin retrasos perceptibles.

  4. Ve a una dirección URL no de confianza, pero que sea segura (en este ejemplo, usamos msn.com), y observa la nueva ventana de Microsoft Edge, asegurándote de ver las indicaciones visuales de la Protección de aplicaciones.

    Sitio web que no es de confianza que se ejecuta en Application Guard.

Protección de aplicaciones en el modo administrado por la empresa

Cómo instalar, preparar, activar y configurar la Protección de aplicaciones para el modo administrado por la empresa.

Instalar, preparar y activar la Protección de aplicaciones

Para poder usar Application Guard en modo administrado, debes instalar windows 10 Enterprise edition, versión 1709 y Windows 11, que incluye la funcionalidad. A continuación, debes usar la directiva de grupo para establecer la configuración necesaria.

  1. Instale Application Guard.

  2. Reinicie el dispositivo e inicie Microsoft Edge.

  3. Establecer la configuración de aislamiento de red en la directiva de grupo:

    a. Seleccione el icono de Windows , escriba Group Policyy, a continuación, seleccione Editar directiva de grupo.

    b. Ve a la configuración Plantillas administrativas\Red\Aislamiento de red\Dominios de recursos de empresa hospedados en la nube.

    c. Para los fines de este escenario, escriba .microsoft.com en el cuadro Recursos de la nube empresarial .

    Editor de directivas de grupo con configuración de recursos en la nube empresarial.

    d. Ve a la configuración Plantillas administrativas\Red\Aislamiento de red\Dominios clasificados como personales y de trabajo.

    e. Para este escenario, escriba bing.com en el cuadro Recursos neutros .

    Editor de directivas de grupo con la configuración de recursos neutros.

  4. Vaya a configuración del equipo\Plantillas administrativas\Componentes de Windows\Protección de aplicaciones de Microsoft Defender\Activar Protección de aplicaciones de Microsoft Defender en modo administrado .

  5. Seleccione Habilitado, elija Opción 1 y seleccione Aceptar.

    Editor de directivas de grupo con la opción Activar/Desactivar.

    Nota

    Al habilitarla se comprueba que se haya establecido correctamente la configuración necesaria para los dispositivos de los empleados, incluida la configuración de aislamiento de red establecida anteriormente en este escenario.

  6. Inicie Microsoft Edge y escriba https://www.microsoft.com.

    Después de enviar la dirección URL, Application Guard determina que la dirección URL es de confianza porque usa el dominio que ha marcado como de confianza y muestra el sitio directamente en el equipo host en lugar de en Application Guard.

    Sitio web de confianza que se ejecuta en Microsoft Edge.

  7. En el mismo explorador Microsoft Edge, escriba cualquier dirección URL que no forme parte de las listas de sitios de confianza o neutrales.

    Después de enviar la dirección URL, la Protección de aplicaciones determina que la dirección URL no es de confianza y redirige la solicitud al entorno aislado del hardware.

    Sitio web que no es de confianza que se ejecuta en Application Guard.

Personalizar la Protección de la aplicaciones

En la Protección de aplicaciones puedes especificar la configuración, lo que permite crear el equilibrio adecuado entre la seguridad basada en aislamiento y la productividad de los empleados.

La Protección de aplicaciones ofrece el siguiente comportamiento predeterminado de los empleados:

  • No se puede copiar y pegar entre el equipo host y el contenedor aislado.

  • No se puede imprimir desde el contenedor aislado.

  • No hay persistencia de datos de un contenedor aislado a otro.

Puedes cambiar todas estas opciones de configuración para trabajar con tu empresa desde dentro de la directiva de grupo.

Se aplica a:

  • Ediciones Windows 10 Enterprise o Pro, versión 1803 o posterior
  • Ediciones Windows 11 Enterprise o Pro

Opciones de copiar y pegar

  1. Vaya a Configuración del equipo\Plantillas administrativas\Componentes de Windows\Protección de aplicaciones de Microsoft Defender\Configurar la configuración del Portapapeles de Protección de aplicaciones de Microsoft Defender.

  2. Seleccione Habilitadoy aceptar.

    Opciones del Portapapeles del editor de directivas de grupo.

  3. Elegir cómo funciona el portapapeles:

    • Copiar y pegar de la sesión aislada al equipo host

    • Copiar y pegar del equipo host a la sesión aislada

    • Copiar y pegar en ambas direcciones

  4. Elegir lo que se puede copiar:

    • Solo se puede copiar texto entre el equipo host y el contenedor aislado.

    • Solo se pueden copiar imágenes entre el equipo host y el contenedor aislado.

    • Tanto el texto como las imágenes se pueden copiar entre el equipo host y el contenedor aislado.

  5. Seleccione Aceptar.

  1. Vaya a Configuración del equipo\Plantillas administrativas\Componentes de Windows\Protección de aplicaciones de Microsoft Defender\Configurar la configuración de impresión de Protección de aplicaciones de Microsoft Defender .

  2. Seleccione Habilitadoy aceptar.

    Opciones de impresión del editor de directivas de grupo.

  3. De la lista que se proporciona en la configuración, elige el número que mejor represente el tipo de impresión que debe estar disponible para los empleados. Puedes permitir cualquier combinación de impresión local, de red, en PDF y en XPS.

  4. Seleccione Aceptar.

Opciones de persistencia de datos

  1. Vaya a la configuración del equipo\Plantillas administrativas\Componentes de Windows\Protección de aplicaciones de Microsoft Defender\Permitir persistencia de datos para La protección de aplicaciones de Microsoft Defender .

  2. Seleccione Habilitadoy aceptar.

    Opciones de persistencia de datos del editor de directivas de grupo.

  3. Abre Microsoft Edge y busca una dirección URL no de confianza pero segura.

    El sitio web se abre en una sesión aislada.

  4. Agrega el sitio a la lista de Favoritos y, a continuación, cierra la sesión aislada.

  5. Cierre la sesión y vuelva a iniciar sesión en el dispositivo y vuelva a abrir Microsoft Edge en Application Guard.

    El sitio previamente agregado deberá seguir apareciendo en tu lista de Favoritos.

    Nota

    A partir de Windows 11, versión 22H2, la persistencia de datos está deshabilitada de forma predeterminada. Si no permite o desactiva la persistencia de datos, reiniciar un dispositivo o iniciar sesión y salir del contenedor aislado desencadena un evento de reciclaje. Esta acción descarta todos los datos generados, como cookies de sesión y favoritos, y quita los datos de Application Guard. Si activas la persistencia de los datos, todos los artefactos generados por los empleados se conservarán en los eventos de reciclaje del contenedor. Sin embargo, estos artefactos solo existen en el contenedor aislado y no se comparten con el equipo host. Estos datos se conservan después de reiniciarse e incluso a través de actualizaciones de compilación a compilación de Windows 10 y Windows 11.

    Si activas la persistencia de datos pero más adelante decides dejar de admitirla para los empleados, puedes usar la utilidad de Windows para restablecer el contenedor y para descartar los datos personales.

    Para restablecer el contenedor, siga estos pasos:
    1. Abra un programa de línea de comandos y vaya a Windows/System32.
    2. Escriba wdagtool.exe cleanup. Se restablecerá el entorno del contenedor y se conservarán solo los datos generados por el empleado.
    3. Escriba wdagtool.exe cleanup RESET_PERSISTENCE_LAYER. Se restablecerá el entorno del contenedor y se descartarán todos los datos generados por el empleado.

    Microsoft Edge versión 90 o posterior ya no admite RESET_PERSISTENCE_LAYER.

Se aplica a:

  • Ediciones Windows 10 Enterprise o Pro, versión 1803
  • Ediciones Windows 11 Enterprise o Pro, versión 21H2. La persistencia de datos está deshabilitada de forma predeterminada en Windows 11, versión 22H2 y versiones posteriores.

Opciones de descarga

  1. Vaya a Configuración del equipo\Plantillas administrativas\Componentes de Windows\Protección de aplicaciones de Microsoft Defender\Permitir que los archivos se descarguen y guarden en el sistema operativo host desde la configuración de Protección de aplicaciones de Microsoft Defender .

  2. Seleccione Habilitadoy aceptar.

    Opciones de descarga del editor de directivas de grupo.

  3. Cierre la sesión y vuelva a iniciar sesión en el dispositivo y vuelva a abrir Microsoft Edge en Application Guard.

  4. Descargue un archivo de Protección de aplicaciones de Microsoft Defender.

  5. Compruebe que el archivo se ha descargado en Este equipo > descarga > archivos que no son de confianza.

Opciones de aceleración de hardware

  1. Vaya a configuración del equipo\Plantillas administrativas\Componentes de Windows\Protección de aplicaciones de Microsoft Defender\Permitir la representación acelerada por hardware para la configuración de Protección de aplicaciones de Microsoft Defender .

  2. Seleccione Habilitado y Seleccione Aceptar.

    Opciones de aceleración de hardware del editor de directivas de grupo.

  3. Una vez que haya habilitado esta característica, abra Microsoft Edge y busque una dirección URL que no sea de confianza, pero segura con vídeo, 3D u otro contenido de uso intensivo de gráficos. El sitio web se abre en una sesión aislada.

  4. Evaluar la experiencia visual y el rendimiento de la batería.

Opciones de cámara y micrófono

  1. Vaya a configuración del equipo\Plantillas administrativas\Componentes de Windows\Protección de aplicaciones de Microsoft Defender\Permitir acceso a la cámara y al micrófono en la configuración de Protección de aplicaciones de Microsoft Defender .

  2. Seleccione Habilitadoy aceptar.

    Opciones de cámara y micrófono del editor de directivas de grupo.

  3. Cierre la sesión y vuelva a iniciar sesión en el dispositivo y vuelva a abrir Microsoft Edge en Application Guard.

  4. Abra una aplicación con la funcionalidad de vídeo o audio en Microsoft Edge.

  5. Compruebe que la cámara y el micrófono funcionan según lo esperado.

Opciones de uso compartido de certificados raíz

  1. Vaya a Configuración del equipo\Plantillas administrativas\Componentes de Windows\Protección de aplicaciones de Microsoft Defender\Permitir que Protección de aplicaciones de Microsoft Defender use entidades de certificación raíz de la configuración del dispositivo del usuario .

  2. Seleccione Habilitado, copie la huella digital de cada certificado para compartir, separado por una coma y seleccione Aceptar.

    Opciones de certificado raíz del editor de directivas de grupo.

  3. Cierre la sesión y vuelva a iniciar sesión en el dispositivo y vuelva a abrir Microsoft Edge en Application Guard.

Extensión de Protección de aplicaciones para exploradores web de terceros

La extensión de Protección de aplicaciones disponible para Chrome y Firefox permite a Application Guard proteger a los usuarios incluso cuando ejecutan un explorador web distinto de Microsoft Edge o Internet Explorer.

Una vez que un usuario tenga instalada la extensión y su aplicación complementaria en su dispositivo empresarial, puede ejecutar los siguientes escenarios.

  1. Abra Firefox o Chrome, en el explorador en el que tenga instalada la extensión.

  2. Vaya a un sitio web de la organización. En otras palabras, un sitio web interno mantenido por su organización. Es posible que vea esta página de evaluación durante un instante antes de que el sitio esté totalmente cargado. La página de evaluación que se muestra mientras se carga la página, explicando que el usuario debe esperar.

  3. Vaya a un sitio web externo no empresarial, como www.bing.com. El sitio debe redirigirse a Microsoft Defender Application Guard Edge. Un sitio web no empresarial que se redirige a un contenedor de Application Guard: el texto mostrado explica que la página se abre en Protección de aplicaciones para Microsoft Edge.

  4. Abra una nueva ventana de Protección de aplicaciones; para ello, seleccione el icono de Protección de aplicaciones de Microsoft Defender y, a continuación, Nueva ventana de Protección de aplicaciones La opción .