Remarque
- Microsoft Defender Application Guard, y compris les API windows du lanceur d’applications isolées, sera déconseillé pour Microsoft Edge pour les entreprises et ne sera plus mis à jour. Téléchargez le livre blanc sur la sécurité de Microsoft Edge Entreprise pour en savoir plus sur les fonctionnalités de sécurité d’Edge pour entreprises.
- Comme Application Guard est déconseillé, il n’y aura pas de migration vers Edge Manifest V3. Les extensions de navigateur correspondantes et l’application Windows Store associée ne sont plus disponibles. Si vous souhaitez bloquer les navigateurs non protégés jusqu’à ce que vous soyez prêt à mettre hors service l’utilisation de MDAG dans votre entreprise, nous vous recommandons d’utiliser des stratégies AppLocker ou le service de gestion Microsoft Edge. Pour plus d’informations, consultez Microsoft Edge et Microsoft Defender Application Guard.
Cet article répertorie les questions fréquemment posées avec des réponses pour Microsoft Defender Application Guard (Application Guard). Les questions couvrent les fonctionnalités, l’intégration au système d’exploitation Windows et la configuration générale.
Forum Aux Questions
Puis-je activer Application Guard sur des ordinateurs équipés de 4 Go de RAM ?
Nous recommandons 8 Go de RAM pour des performances optimales, mais vous pouvez utiliser les valeurs DWORD de Registre suivantes pour activer Application Guard sur les machines qui ne répondent pas à la configuration matérielle recommandée.
HKLM\software\Microsoft\Hvsi\SpecRequiredProcessorCount (La valeur par défaut est quatre cœurs.)
HKLM\software\Microsoft\Hvsi\SpecRequiredMemoryInGB (La valeur par défaut est 8 Go.)
HKLM\software\Microsoft\Hvsi\SpecRequiredFreeDiskSpaceInGB (La valeur par défaut est 5 Go.)
Ma configuration réseau utilise un proxy et je rencontre un message « Impossible de résoudre les URL externes à partir du navigateur MDAG : erreur : err_connection_refused ». Comment résoudre ce problème ?
Le serveur manuel ou PAC doit être un nom d’hôte (et non une adresse IP) neutre sur la liste des sites. En outre, si le script PAC retourne un proxy, il doit répondre à ces mêmes exigences.
Pour vous assurer que les noms de domaine complets (FQDN) du « fichier PAC » et des « serveurs proxy vers lesquels le fichier PAC redirige » sont ajoutés en tant que ressources neutres dans les stratégies d’isolation réseau utilisées par Application Guard, vous pouvez :
- Vérifiez cet ajout en accédant à edge://application-guard-internals/#utilities et en entrant le nom de domaine complet pour le pac/proxy dans le champ « vérifier l’approbation de l’URL » et en vérifiant qu’il indique « Neutre ».
- Il doit s’agir d’un nom de domaine complet. Une adresse IP simple ne fonctionne pas.
- Si possible, les adresses IP associées au serveur hébergeant le serveur ci-dessus doivent être supprimées des plages d’adresses IP d’entreprise dans les stratégies d’isolation réseau utilisées par Application Guard.
Comment configurer Microsoft Defender Application Guard pour qu’il fonctionne avec mon proxy réseau (adresses ip littérales) ?
Application Guard exige que les proxys aient un nom symbolique, pas seulement une adresse IP. IP-Literal paramètres de proxy tels que 192.168.1.4:81 peuvent être annotés en tant que itproxy:81 ou à l’aide d’un enregistrement tel que P19216810010 pour un proxy avec une adresse IP de 192.168.100.10. Cette annotation s’applique à Windows 10 Édition Entreprise, version 1709 ou ultérieure. Ces annotations concernent les stratégies de proxy sous Isolation réseau dans stratégie de groupe ou Intune.
Quels éditeurs de méthode d’entrée (IME) dans 19H1 ne sont pas pris en charge ?
Les éditeurs de méthode d’entrée (IME) suivants introduits dans Windows 10, version 1903 ne sont actuellement pas pris en charge dans Microsoft Defender Application Guard :
- Clavier telex vietnam
- Clavier à touches numériques du Vietnam
- Clavier phonétique hindi
- Clavier phonétique bangla
- Clavier phonétique Marathi
- Clavier phonétique télougou
- Clavier phonétique tamoul
- Clavier phonétique Kannada
- Clavier phonétique malayalam
- Clavier phonétique gujarati
- Clavier phonétique Odia
- Clavier phonétique punjabi
J’ai activé la stratégie d’accélération matérielle sur mon déploiement Windows 10 Entreprise version 1803. Pourquoi mes utilisateurs continuent-ils d’obtenir uniquement le rendu du processeur ?
Cette fonctionnalité est actuellement uniquement expérimentale et n’est pas fonctionnelle sans une clé de Registre supplémentaire fournie par Microsoft. Si vous souhaitez évaluer cette fonctionnalité sur un déploiement de Windows 10 Entreprise, version 1803, contactez Microsoft et nous travaillerons avec vous pour activer la fonctionnalité.
Qu’est-ce que le compte local WDAGUtilityAccount ?
WDAGUtilityAccount fait partie d’Application Guard, à partir de Windows 10, version 1709 (Fall Creators Update). Il reste désactivé par défaut, sauf si Application Guard est activé sur votre appareil. WDAGUtilityAccount est utilisé pour se connecter au conteneur Application Guard en tant qu’utilisateur standard avec un mot de passe aléatoire. Ce n’est PAS un compte malveillant. Il nécessite des autorisations d’ouverture de session en tant que service pour pouvoir fonctionner correctement. Si cette autorisation est refusée, l’erreur suivante peut s’afficher :
Erreur : 0x80070569, Erreur Ext : 0x00000001 ; RDP : Erreur : 0x00000000, Erreur Ext : 0x00000000 Emplacement : 0x00000000
Comment faire confiance à un sous-domaine dans ma liste de sites ?
Pour approuver un sous-domaine, vous devez faire précéder votre domaine de deux points (..). Par exemple : ..contoso.com garantit que mail.contoso.com ou news.contoso.com sont approuvés. Le premier point représente les chaînes pour le nom du sous-domaine (courrier ou actualités), et le deuxième point reconnaît le début du nom de domaine (contoso.com). Ces deux points empêchent les sites tels que fakesitecontoso.com d’être approuvés.
Existe-t-il des différences entre l’utilisation d’Application Guard sur Windows Pro et Windows Entreprise ?
Lorsque vous utilisez Windows Pro ou Windows Entreprise, vous avez accès à l’utilisation d’Application Guard en mode autonome. Toutefois, lorsque vous utilisez Enterprise, vous avez accès à Application Guard en mode Enterprise-Managed. Ce mode a des fonctionnalités supplémentaires que le mode autonome n’a pas. Pour plus d’informations, consultez Préparer l’installation de Microsoft Defender Application Guard.
Existe-t-il une limite de taille pour les listes de domaines que je dois configurer ?
Oui, les domaines de ressources d’entreprise hébergés dans le cloud et les domaines classés comme professionnels et personnels ont une limite de 1 6383 octets.
Pourquoi mon pilote de chiffrement arrête-t-il Microsoft Defender Application Guard ?
Microsoft Defender Application Guard accède aux fichiers à partir d’un disque dur virtuel monté sur l’hôte qui doit être écrit pendant l’installation. Si un pilote de chiffrement empêche le montage ou l’écriture d’un disque dur virtuel, Application Guard ne fonctionne pas et génère un message d’erreur (0x80070013 ERROR_WRITE_PROTECT).
Pourquoi les stratégies d’isolation réseau dans stratégie de groupe et CSP sont-elles différentes ?
Il n’existe pas de mappage un-à-un entre toutes les stratégies d’isolation réseau entre csp et gp. Les stratégies d’isolation réseau obligatoires pour déployer Application Guard sont différentes entre csp et GP.
Stratégie de stratégie de stratégie de groupe d’isolation réseau obligatoire pour déployer Application Guard : DomainSubnets ou CloudResources
Stratégie CSP d’isolation réseau obligatoire pour déployer Application Guard : EnterpriseCloudResources ou (EnterpriseIpRange et EnterpriseNetworkDomainNames)
Pour EnterpriseNetworkDomainNames, il n’existe aucune stratégie CSP mappée.
Application Guard accède aux fichiers à partir d’un disque dur virtuel monté sur l’hôte qui doit être écrit pendant l’installation. Si un pilote de chiffrement empêche le montage ou l’écriture d’un disque dur virtuel, Application Guard ne fonctionne pas et génère un message d’erreur (0x80070013 ERROR_WRITE_PROTECT).
Pourquoi Application Guard a-t-il cessé de fonctionner après la désactivation de l’hyperthreading ?
Si l’hyperthreading est désactivé (en raison d’une mise à jour appliquée par le biais d’un article de la base de connaissances ou des paramètres du BIOS), il est possible qu’Application Guard ne réponde plus aux exigences minimales.
Pourquoi le message d’erreur « ERROR_VIRTUAL_DISK_LIMITATION » s’affiche-t-il ?
Application Guard peut ne pas fonctionner correctement sur les volumes compressés NTFS. Si ce problème persiste, essayez de décompresser le volume.
Pourquoi le message d’erreur « ERR_NAME_NOT_RESOLVED » s’affiche-t-il quand je ne parviens pas à atteindre le fichier PAC ?
Ce problème est connu. Pour atténuer ce problème, vous devez créer deux règles de pare-feu. Pour plus d’informations sur la création d’une règle de pare-feu avec une stratégie de groupe, consultez Configurer des règles de pare-feu Windows avec une stratégie de groupe
Première règle (serveur DHCP)
Chemin du programme :
%SystemRoot%\System32\svchost.exeService local :
Sid: S-1-5-80-2009329905-444645132-2728249442-922493431-93864177 (Internet Connection Service (SharedAccess))Protocole UDP
Port 67
Deuxième règle (client DHCP)
Cette règle est identique à la première règle, mais étendue au port local 68. Dans l’interface utilisateur du Pare-feu Microsoft Defender, effectuez les étapes suivantes :
Cliquez avec le bouton droit sur les règles de trafic entrant, puis créez une règle.
Choisissez une règle personnalisée.
Spécifiez le chemin d’accès du programme suivant :
%SystemRoot%\System32\svchost.exe.Spécifiez les paramètres suivants :
- Type de protocole : UDP
- Ports spécifiques : 67
- Port distant : tout
Spécifiez les adresses IP.
Autorisez la connexion.
Spécifiez pour utiliser tous les profils.
La nouvelle règle doit s’afficher dans l’interface utilisateur. Cliquez avec le bouton droit sur lespropriétés de la règle>.
Sous l’onglet Programmes et services , sous la section Services , sélectionnez Paramètres.
Choisissez Appliquer à ce service et sélectionnez Accès partagé ics (Partage de connexion Internet).
Comment puis-je désactiver des parties du service de connexion Internet (ICS) sans interrompre Application Guard ?
ICS est activé par défaut dans Windows, et ICS doit l’être pour qu’Application Guard fonctionne correctement. Nous vous déconseillons de désactiver ics. Toutefois, vous pouvez désactiver ics en partie à l’aide d’une stratégie de groupe et en modifiant les clés de Registre.
Dans le paramètre de stratégie de groupe , Interdire l’utilisation du partage de connexion Internet sur votre réseau de domaine DNS, définissez-le sur Désactivé.
Désactivez IpNat.sys du chargement ICS comme suit :
System\CurrentControlSet\Services\SharedAccess\Parameters\DisableIpNat = 1Configurez ICS (SharedAccess) à activer comme suit :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Start = 3(Cette étape est facultative) Désactivez IPNAT comme suit :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPNat\Start = 4Redémarrez l'appareil.
Pourquoi le conteneur ne se charge-t-il pas entièrement lorsque les stratégies de contrôle d’appareil sont activées ?
Les éléments listés par l’autorisation doivent être configurés comme « autorisés » dans l’objet de stratégie de groupe pour garantir le bon fonctionnement d’AppGuard.
Stratégie : Autoriser l’installation d’appareils qui correspondent à l’un des ID d’appareil suivants :
SCSI\DiskMsft____Virtual_Disk____{8e7bd593-6e6c-4c52-86a6-77175494dd8e}\msvhdhbaVMS_VSFroot\Vpcivsproot\VMBusvms_mpVMS_VSPROOT\VKRNLINTVSPROOT\VIDroot\storvspvms_vsmpVMS_PP
Stratégie : Autoriser l’installation d’appareils à l’aide de pilotes qui correspondent à ces classes de configuration d’appareil
{71a27cdd-812a-11d0-bec7-08002be2092f}
Je rencontre des problèmes de fragmentation TCP et je ne peux pas activer ma connexion VPN. Comment résoudre ce problème ?
WinNAT supprime les messages ICMP/UDP avec des paquets supérieurs à MTU lors de l’utilisation du commutateur par défaut ou du réseau NAT Docker. La prise en charge de cette solution a été ajoutée dans KB4571744. Pour résoudre le problème, installez la mise à jour et activez le correctif en procédant comme suit :
Vérifiez que fragmentAware DWORD est défini sur 1 dans ce paramètre de Registre :
\Registry\Machine\SYSTEM\CurrentControlSet\Services\Winnat.Redémarrez l'appareil.
Que font les _Allow aux utilisateurs d’approuver les fichiers qui s’ouvrent dans l’option Microsoft Defender Application Guard_ de la stratégie de groupe ?
Cette stratégie était présente dans Windows 10 avant la version 2004. Il a été supprimé des versions ultérieures de Windows, car il n’applique rien pour Microsoft Edge ou Office.
Comment ouvrir un ticket de support pour Microsoft Defender Application Guard ?
- Consultez Créer une demande de support.
- Sous Famille de produits, sélectionnez Windows. Sélectionnez le produit et la version du produit pour lequel vous avez besoin d’aide. Pour la catégorie qui décrit le mieux le problème, sélectionnez Technologies de sécurité Windows. Dans la dernière option, sélectionnez Windows Defender Application Guard.
Existe-t-il un moyen d’activer ou de désactiver le comportement où l’onglet Microsoft Edge hôte se ferme automatiquement lors de la navigation vers un site non approuvé ?
Oui. Utilisez cet indicateur Microsoft Edge pour activer ou désactiver ce comportement : --disable-features="msWdagAutoCloseNavigatedTabs"