질문과 대답 - Microsoft Defender Application Guard

최적의 성능을 위해 8GB RAM을 권장하지만 다음 레지스트리 DWORD 값을 사용하여 권장 하드웨어 구성을 충족하지 않는 컴퓨터에서 Application Guard 사용하도록 설정할 수 있습니다.

HKLM\software\Microsoft\Hvsi\SpecRequiredProcessorCount (기본값은 4개의 코어입니다.)

HKLM\software\Microsoft\Hvsi\SpecRequiredMemoryInGB (기본값은 8GB입니다.)

HKLM\software\Microsoft\Hvsi\SpecRequiredFreeDiskSpaceInGB (기본값은 5GB입니다.)

수동 또는 PAC 서버는 사이트 목록에서 중립적인 호스트 이름(IP 아님)이어야 합니다. 또한 PAC 스크립트가 프록시를 반환하는 경우 동일한 요구 사항을 충족해야 합니다.

"PAC 파일"에 대한 FQDN(정규화된 도메인 이름) 및 "PAC 파일이 리디렉션하는 프록시 서버"가 Application Guard 사용하는 네트워크 격리 정책에서 중립 리소스로 추가되도록 하려면 다음을 수행할 수 있습니다.

• edge://application-guard-internals/#utilities 이동하여 "검사 url trust" 필드에 pac/proxy에 대한 FQDN을 입력하고 "중립"이라고 표시되는지 확인하여 이 추가를 확인합니다.
• FQDN이어야 합니다. 간단한 IP 주소가 작동하지 않습니다.
• 필요에 따라 가능하면 위의 를 호스팅하는 서버와 연결된 IP 주소를 Application Guard 사용하는 네트워크 격리 정책의 엔터프라이즈 IP 범위에서 제거해야 합니다.

Application Guard 프록시에 IP 주소뿐만 아니라 기호 이름이 있어야 합니다. 와 같은 192.168.1.4:81 IP-Literal 프록시 설정은 의 IP 주소192.168.100.10가 있는 프록시에 대해 와 같은 P19216810010 레코드로 itproxy:81 주석을 추가하거나 사용할 수 있습니다. 이 주석은 Windows 10 Enterprise 버전 1709 이상에 적용됩니다. 이러한 주석은 그룹 정책 또는 Intune 네트워크 격리 아래의 프록시 정책에 대한 것입니다.

Windows 10 버전 1903에 도입된 다음 IME(입력 메서드 편집기)는 현재 Microsoft Defender Application Guard 지원되지 않습니다.

• 베트남 Telex 키보드
• 베트남 번호 키 기반 키보드
• 힌디어 윗주 키보드
• 벵골어 윗주 키보드
• Marathi 윗주 키보드
• 텔루구어 윗주 키보드
• 타밀어 윗주 키보드
• Kannada 윗주 키보드
• 말라얄람어 윗주 키보드
• 구자라트어 음성 키보드
• Odia 윗주 키보드
• 펀잡 윗주 키보드

이 기능은 현재 실험용으로만 제공되며 Microsoft에서 제공하는 추가 레지스트리 키가 없으면 작동하지 않습니다. Windows 10 Enterprise 버전 1803 배포에서 이 기능을 평가하려면 Microsoft에 문의하고 Microsoft와 협력하여 기능을 사용하도록 설정합니다.

WDAGUtilityAccount는 Windows 10 버전 1709(Fall Creators Update)부터 Application Guard 일부입니다. 디바이스에서 Application Guard 사용하도록 설정되지 않는 한 기본적으로 비활성화된 상태로 유지됩니다. WDAGUtilityAccount는 임의 암호를 가진 표준 사용자로 Application Guard 컨테이너에 로그인하는 데 사용됩니다. 악의적인 계정이 아닙니다. 올바르게 작동하려면 서비스 권한으로 로그온 이 필요합니다. 이 권한이 거부되면 다음 오류가 표시될 수 있습니다.

오류: 0x80070569, Ext 오류: 0x00000001; RDP: 오류: 0x00000000, Ext 오류: 0x00000000 위치: 0x00000000

하위 도메인을 신뢰하려면 두 개의 점(..)을 사용하여 도메인 앞에 와야 합니다. 예: ..contoso.com 또는 news.contoso.com 가 mail.contoso.com 신뢰할 수 있는지 확인합니다. 첫 번째 점은 하위 도메인 이름(메일 또는 뉴스)의 문자열을 나타내고 두 번째 점은 도메인 이름(contoso.com)의 시작을 인식합니다. 이러한 두 점은 같은 fakesitecontoso.com 사이트를 신뢰할 수 없게 합니다.

Windows Pro 또는 Windows Enterprise를 사용하는 경우 독립 실행형 모드에서 Application Guard 사용할 수 있습니다. 그러나 Enterprise를 사용하는 경우 Enterprise-Managed 모드에서 Application Guard 액세스할 수 있습니다. 이 모드에는 독립 실행형 모드에서 사용할 수 없는 몇 가지 추가 기능이 있습니다. 자세한 내용은 Microsoft Defender Application Guard 설치 준비를 참조하세요.

예, 클라우드에서 호스트되는 엔터프라이즈 리소스 도메인과 회사 및 개인으로 분류된 도메인은 모두 1,6383 바이트 제한이 있습니다.

Microsoft Defender Application Guard 설치 중에 작성해야 하는 호스트에 탑재된 VHD의 파일에 액세스합니다. 암호화 드라이버가 VHD가 탑재되거나 기록되지 않도록 하는 경우 Application Guard 작동하지 않으며 오류 메시지(0x80070013 ERROR_WRITE_PROTECT)가 발생합니다.

CSP와 GP 간의 모든 네트워크 격리 정책 간에 일대일 매핑은 없습니다. Application Guard 배포하는 필수 네트워크 격리 정책은 CSP와 GP 간에 다릅니다.

• Application Guard 배포하기 위한 필수 네트워크 격리 GP 정책: DomainSubnets 또는 CloudResources

• Application Guard 배포하기 위한 필수 네트워크 격리 CSP 정책: EnterpriseCloudResources 또는 (EnterpriseIpRange 및 EnterpriseNetworkDomainNames)

• EnterpriseNetworkDomainNames의 경우 매핑된 CSP 정책이 없습니다.

Application Guard 설치 중에 작성해야 하는 호스트에 탑재된 VHD의 파일에 액세스합니다. 암호화 드라이버가 VHD가 탑재되거나 기록되지 않도록 하는 경우 Application Guard 작동하지 않으며 오류 메시지(0x80070013 ERROR_WRITE_PROTECT)가 발생합니다.

하이퍼스레딩을 사용하지 않도록 설정한 경우(KB 아티클 또는 BIOS 설정을 통해 적용된 업데이트로 인해) Application Guard 더 이상 최소 요구 사항을 충족하지 않을 수 있습니다.

Application Guard NTFS 압축 볼륨에서 제대로 작동하지 않을 수 있습니다. 이 문제가 지속되면 볼륨의 압축을 풉니다.

이 문제는 알려진 문제입니다. 이 문제를 완화하려면 두 개의 방화벽 규칙을 만들어야 합니다. 그룹 정책 사용하여 방화벽 규칙을 만드는 방법에 대한 자세한 내용은 그룹 정책을 사용하여 Windows 방화벽 규칙 구성을 참조하세요.

첫 번째 규칙(DHCP 서버)

• 프로그램 경로: %SystemRoot%\System32\svchost.exe

• 로컬 서비스: Sid: S-1-5-80-2009329905-444645132-2728249442-922493431-93864177 (Internet Connection Service (SharedAccess))

• 프로토콜 UDP

• 포트 67

두 번째 규칙(DHCP 클라이언트)

이 규칙은 첫 번째 규칙과 동일하지만 로컬 포트 68로 범위가 지정됩니다. Microsoft Defender 방화벽 사용자 인터페이스에서 다음 단계를 수행합니다.

1. 인바운드 규칙을 마우스 오른쪽 단추로 클릭한 다음 새 규칙을 만듭니다.

2. 사용자 지정 규칙을 선택합니다.

3. 프로그램 경로를 %SystemRoot%\System32\svchost.exe지정합니다.

4. 다음 설정을 지정합니다.

   • 프로토콜 유형: UDP
   • 특정 포트: 67
   • 원격 포트: any

5. IP 주소를 지정합니다.

6. 연결을 허용합니다.

7. 모든 프로필을 사용하도록 지정합니다.

8. 새 규칙이 사용자 인터페이스에 표시되어야 합니다. 규칙>속성을 마우스 오른쪽 단추로 클릭합니다.

9. 프로그램 및 서비스 탭의 서비스 섹션에서 설정을 선택합니다.

10. 이 서비스에 적용을 선택하고 ICS(인터넷 연결 공유) 공유 액세스를 선택합니다.

ICS는 Windows에서 기본적으로 사용하도록 설정되며 Application Guard 올바르게 작동하려면 ICS를 사용하도록 설정해야 합니다. ICS를 사용하지 않도록 설정하는 것은 권장되지 않습니다. 그러나 그룹 정책 사용하고 레지스트리 키를 편집하여 ICS를 부분적으로 사용하지 않도록 설정할 수 있습니다.

1. 그룹 정책 설정에서 DNS 도메인 네트워크에서 인터넷 연결 공유 사용 금지 를 사용 안 함으로 설정합니다.

2. 다음과 같이 ICS 로드에서 IpNat.sys 사용하지 않도록 설정합니다.
   System\CurrentControlSet\Services\SharedAccess\Parameters\DisableIpNat = 1

3. 다음과 같이 ICS(SharedAccess)를 사용하도록 구성합니다.
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Start = 3

4. (이 단계는 선택 사항) 다음과 같이 IPNAT를 사용하지 않도록 설정합니다.
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPNat\Start = 4

5. 장치를 다시 부팅합니다.

AppGuard가 제대로 작동하는지 확인하려면 그룹 정책 개체에서 허용된 항목을 "허용"으로 구성해야 합니다.

정책: 다음 디바이스 ID와 일치하는 디바이스를 설치할 수 있습니다.

• SCSI\DiskMsft____Virtual_Disk____
• {8e7bd593-6e6c-4c52-86a6-77175494dd8e}\msvhdhba
• VMS_VSF
• root\Vpcivsp
• root\VMBus
• vms_mp
• VMS_VSP
• ROOT\VKRNLINTVSP
• ROOT\VID
• root\storvsp
• vms_vsmp
• VMS_PP

정책: 이러한 디바이스 설정 클래스와 일치하는 드라이버를 사용하여 디바이스 설치 허용

• {71a27cdd-812a-11d0-bec7-08002be2092f}

WinNAT는 기본 스위치 또는 Docker NAT 네트워크를 사용할 때 MTU보다 큰 패킷이 있는 ICMP/UDP 메시지를 삭제합니다. 이 솔루션에 대한 지원은 KB4571744 추가되었습니다. 이 문제를 해결하려면 다음 단계에 따라 업데이트를 설치하고 수정을 사용하도록 설정합니다.

1. 이 레지스트리 설정 \Registry\Machine\SYSTEM\CurrentControlSet\Services\Winnat에서 FragmentAware DWORD가 1로 설정되어 있는지 확인합니다.

2. 장치를 다시 부팅합니다.

이 정책은 버전 2004 이전의 Windows 10 있었습니다. Edge 또는 Office에 아무 것도 적용하지 않으므로 이후 버전의 Windows에서 제거되었습니다.

• 새 지원 요청 Create 방문하세요.
• 제품 패밀리 아래에서 Windows를 선택합니다. 도움이 필요한 제품 및 제품 버전을 선택합니다. 문제를 가장 잘 설명하는 범주의 경우 기술을 Windows 보안 선택합니다. 마지막 옵션에서 Windows Defender Application Guard 선택합니다.

예. 이 Edge 플래그를 사용하여 이 동작을 사용하거나 사용하지 않도록 설정합니다. --disable-features="msWdagAutoCloseNavigatedTabs"

참고 항목

Microsoft Defender Application Guard 정책 설정 구성