Suporte do Microsoft Edge para o Windows Defender Application Guard
Importante
Microsoft Defender Application Guard, incluindo as APIs do Iniciador de Aplicações Isoladas do Windows, foi preterido para Microsoft Edge para Empresas e deixará de ser atualizado. A partir do Windows 11, versão 24H2, Microsoft Defender Application Guard, incluindo as APIs do Iniciador de Aplicações Isoladas do Windows, já não está disponível.
Instalações existentes do Application Guard
Esta preterição não afeta as instalações existentes do Microsoft Defender Application Guard (MDAG). As organizações podem continuar a utilizar Application Guard nas versões atuais do Windows, mas recomendamos que os administradores de segurança avaliem os seus requisitos de segurança no futuro. Esta funcionalidade poderá ser removida numa versão futura do Windows, mas continuará a ser mantida para instalações existentes no Windows.
Considerações de preterição
A preterição inclui os seguintes elementos de Application Guard.
- Se a sua organização precisar de isolamento baseado em contentores, recomendamos Área Restrita do Windows ou o Azure Virtual Desktop (AVD).
- Uma vez que Application Guard foi preterido, não haverá uma migração para o Manifesto do Edge V3. As extensões correspondentes e a aplicação associada da Loja Windows não estarão disponíveis após maio de 2024. Isto afeta os seguintes browsers: Chrome e Firefox. Se quiser bloquear browsers desprotegidos até estar pronto para extinguir a utilização do MDAG na sua empresa, recomendamos que utilize as políticas do AppLocker ou o serviço de gestão do Microsoft Edge.
Dica
Transfira o Documento Técnico de Segurança Microsoft Edge para Empresas para saber mais sobre as capacidades que fazem do Edge para Empresas um browser empresarial seguro.
As funcionalidades de segurança adicionais no Edge tornam-no muito seguro sem necessidade de Application Guard. A lista crescente de funcionalidades de segurança inclui:
- Defender SmartScreen para o suporte anti-phishing e software maligno e análise e bloqueio de URLs.
- Modo de segurança melhorado para proteger contra vulnerabilidades relacionadas com a memória ao desativar a compilação javaScript just-in-time (e outras proteções).
- Proteção contra erros ortográficos do site para sites com erros ortográficos.
- Prevenção de Perda de Dados para identificar, monitorizar e proteger automaticamente itens confidenciais.
Visão geral
Este artigo descreve como o Microsoft Edge oferece suporte para o Windows Defender Application Guard (Application Guard).
Os arquitetos de segurança na empresa devem lidar com a tensão que existe entre a produtividade e a segurança. É muito fácil bloquear um navegador e permitir que apenas alguns sites confiáveis sejam carregados. Essa abordagem melhorará a postura geral de segurança, mas será menos produtiva. Se você a fizer menos restritiva para melhorar a produtividade, aumentará o perfil de risco. É um equilíbrio difícil de alcançar!
É ainda mais difícil acompanhar as novas ameaças emergentes neste cenário de ameaças em constante mudança. Os navegadores continuam sendo a principal superfície de ataque em dispositivos cliente atuais, pois seu trabalho fundamental é permitir que os usuários acessem, baixem e abram conteúdo não confiável de fontes não confiáveis. Os indivíduos mal intencionados estão constantemente trabalhando com novas formas de ataques de engenharia social para navegadores. As estratégias de prevenção ou de detecção/resposta de incidentes de segurança não podem garantir 100% da segurança.
Uma estratégia de segurança principal é a Assume Breach Methodology, que significa que existe uma aceitação de que um ataque vai acontecer pelo menos uma vez, independente dos esforços para impedi-lo. Essa mentalidade exige a criação de defesas para conter o dano, o que garante que a rede corporativa e outros recursos permaneçam protegidos neste cenário. A implantação do Application Guard para o Microsoft Edge se encaixa nesta estratégia.
Sobre o Application Guard
Concebido para Windows 10/11 e Microsoft Edge, Application Guard utiliza uma abordagem de isolamento de hardware. Essa abordagem permite a inicialização da navegação de um site não confiável dentro de um contêiner. O isolamento de hardware ajuda as empresas a proteger seus dados e redes corporativas no caso de os usuários visitarem um site comprometido ou mal-intencionado.
O administrador corporativo define quais são os sites, recursos de nuvem e redes internas confiáveis. Tudo que não está na lista de sites confiáveis é considerado não confiável. Esses sites são isolados da rede corporativa e dos dados do dispositivo do usuário.
Para saber mais:
- Assista o nosso vídeo Isolamento do navegador Microsoft Edge usando o Application Guard
- Leia O que é o Application Guard e como ele funciona?
A próxima captura de tela mostra um exemplo de mensagem do Application Guard que mostra que o usuário está navegando em um espaço seguro.
Novidades
Application Guard suporte no novo browser Microsoft Edge tem paridade funcional com Versão Prévia do Microsoft Edge e inclui vários melhoramentos.
Ativar Bloqueio de Carregamento
A partir do Microsoft Edge 96, os administradores têm agora a opção de bloquear carregamentos no contentor, o que significa que os utilizadores não podem carregar ficheiros do respetivo dispositivo local para a instância Application Guard. Este suporte pode ser controlado pela política. Pode atualizar a política do Edge ApplicationGuardUploadBlockingEnabled para ativar ou desativar carregamentos no contentor.
Ativar Application Guard no modo passivo e navegar no Edge normalmente
A partir do Microsoft Edge 94, os utilizadores têm agora a opção de configurar o modo passivo, o que significa que Application Guard ignora a configuração da lista de sites e os utilizadores podem navegar no Edge normalmente. Este suporte pode ser controlado pela política. Pode atualizar a política do Edge ApplicationGuardPassiveModeEnabled para ativar ou desativar o modo passivo.
Observação
Esta política só afeta o Edge, pelo que as navegação a partir de outros browsers podem ser redirecionadas para o Contentor do Application Guard se tiver as extensões correspondentes ativadas.
Favoritos sincronizando do host para o contêiner
Alguns de nossos clientes estão solicitando a sincronização de favoritos entre o navegador host e o contêiner no Application Guard. A partir do Microsoft Edge 91, os usuários agora têm a opção de configurar o Application Guard para sincronizar seus favoritos do host para o contêiner. Isso garante que novos favoritos também apareçam no contêiner.
Este suporte pode ser controlado pela política. Você pode atualizar a política do Microsoft Edge ApplicationGuardFavoritesSyncEnabled para habilitar ou desabilitar a sincronização de favoritos.
Observação
Por motivos de segurança, a sincronização de favoritos só é possível do host para o contêiner e não o contrário. Para garantir uma lista unificada de favoritos no host e no contêiner, desabilitamos o gerenciamento de favoritos dentro do contêiner.
Identificar o tráfego de rede proveniente do contêiner
Vários clientes estão usando o WDAG em uma configuração específica em que eles querem identificar o tráfego de rede proveniente do contêiner. Alguns dos cenários para isso são:
- Para restringir o acesso a apenas alguns sites não confiáveis
- Para permitir o acesso à Internet somente do contêiner
A partir da versão 91 do Microsoft Edge, existe suporte incorporado para etiquetar o tráfego de rede com origem em contentores Application Guard, permitindo que as empresas utilizem o proxy para filtrar o tráfego e aplicar políticas específicas. Você pode usar o cabeçalho para identificar qual tráfego está por meio do contêiner ou do host usando ApplicationGuardTrafficIdentificationEnabled.
Suporte à extensão dentro do contêiner
O suporte à extensão dentro do contêiner tem sido uma das principais solicitações dos clientes. Os cenários variaram de querer executar bloqueadores de anúncios dentro do contêiner para melhorar o desempenho do navegador a ter a habilidade de executar extensões personalizadas dentro do contêiner.
As instalações de extensão no contêiner agora têm suporte, começando pela versão 81 do Microsoft Edge. Este suporte pode ser controlado pela política. O que é usado na política de ExtensionInstallForcelist deve ser adicionado como um recurso neutro nas políticas de isolamento de rede usadas pelo Application Guard.
Alguns exemplos de suporte a contêiner incluem os seguintes cenários:
- Forçar instalações de uma extensão no host
- Remover uma extensão do host
- Extensões bloqueadas no host
Observação
Também é possível instalar manualmente as extensões individuais dentro do contêiner do armazenamento da extensão. As extensões instaladas manualmente só persistirão no contêiner quando a política Permitir a persistência estiver ativada.
Identificação do tráfego do Application Guard por Proxy Duplo
Alguns clientes corporativos estão implantando o Application Guard usando um caso de uso específico, em que é necessário identificar o tráfego da Web vindo de um contêiner do Microsoft Defender Application Guard no nível do proxy. A partir da versão 84 do Canal Estável, o Microsoft Edge será compatível com o proxy duplo para atender a essa necessidade. Você pode configurar essa funcionalidade usando a política ApplicationGuardContainerProxy.
O desenho a seguir mostra a arquitetura de proxy duplo do Microsoft Edge.
Página de diagnóstico para solução de problemas
Outro ponto de preocupação do usuário é solucionar problemas de configuração do Application Guard em um dispositivo quando um problema for relatado. O Microsoft Edge tem uma página de diagnóstico (edge://application-guard-internals) para solucionar problemas do usuário. Um destes diagnósticos é a capacidade de verificar a confiança da URL com base na configuração do dispositivo do usuário.
A próxima captura de tela mostra uma página de diagnóstico de várias guias para ajudá-lo a diagnosticar problemas relatados pelos usuários no dispositivo.
Atualizações do Microsoft Edge no contêiner
As atualizações herdadas do Microsoft Edge no contêiner fazem parte do ciclo de atualização do sistema operacional Windows. Como a nova versão do Microsoft Edge se atualiza independente do sistema operacional Windows, não há mais dependências nas atualizações do contêiner. O canal e a versão do host Microsoft Edge são replicados dentro do contêiner.
Pré-requisitos
Os seguintes requisitos aplicam-se a dispositivos que utilizam Application Guard com o Microsoft Edge:
Windows 10 1809 (Atualização de outubro de 2018 para o Windows 10) e superior.
Somente SKUs de clientes Windows
Observação
Application Guard só é suportada em SKUs Empresariais Windows 10/11 Pro e Windows 10/11.
Uma das soluções de gerenciamento descritas nos Requisitos do software
Como instalar o Application Guard
Os artigos a seguir fornecem as informações necessárias para instalar, configurar e testar o Application Guard com o Microsoft Edge.
- Requisitos de sistema
- Instalar o Microsoft Defender Application Guard
- Configurar Application Guard definições de política de grupo
- Testar o Application Guard
Perguntas frequentes
O Application Guard está a ser preterido?
Sim, Microsoft Defender Application Guard, incluindo as APIs do Iniciador de Aplicações Isoladas do Windows, serão preteridas por Microsoft Edge para Empresas e deixarão de ser atualizadas.
O Application Guard funciona no modo IE?
O modo IE dá suporte à funcionalidade do Application Guard, mas não antecipamos muito uso desse recurso no modo IE. O modo IE é recomendado para ser implantado para uma lista de sites internos confiáveis, e o Application Guard é apenas para sites não confiáveis. Certifique-se de que todos os sites ou endereços IP do modo IE também são adicionados à política de Isolamento de Rede para serem considerados como recursos fidedignos por Application Guard.
Preciso instalar a extensão do Chrome do Application Guard?
Não, o recurso Application Guard tem suporte nativo no Microsoft Edge. Na verdade, não há suporte para a extensão de Chrome do Application Guard no Microsoft Edge.
Os funcionários podem baixar documentos da sessão Application Guard Edge nos dispositivos host?
Na edição Windows 10 Enterprise, versão 1803, os utilizadores podem transferir documentos do contentor de Application Guard isolado para o PC anfitrião. Esta capacidade é gerida pela política.
Na edição Windows 10 Enterprise, versão 1709 ou Windows 10 Professional, versão 1803, não é possível transferir ficheiros do contentor isolado Application Guard para o computador anfitrião. No entanto, os funcionários podem usar as opções Imprimir em PDF ou Imprimir como XPS e salvar esses arquivos no dispositivo host.
Os funcionários podem copiar e colar entre o dispositivo host e a sessão Application Guard Edge?
Consoante as definições da sua organização, os funcionários podem copiar e colar imagens (.bmp) e texto de e para o contentor isolado.
Por que motivo os funcionários não veem os favoritos na sessão do Application Guard Edge?
Dependendo das definições da sua organização, pode ser que a Sincronização de Favoritos esteja desativada. Para gerir a política, consulte: Microsoft Edge e Microsoft Defender Application Guard | Microsoft Docs.
Por que motivo os funcionários não conseguem ver as respetivas extensões na sessão do Application Guard Edge?
Certifique-se de que ativa a política de extensões na configuração do Application Guard.
A minha extensão não parece funcionar no Edge Application Guard?
Se a política de extensões estiver ativada para MDAG na configuração, marcar se a extensão necessitar de componentes de Processamento de Mensagens Nativas, essas extensões não serão suportadas no contentor Application Guard.
Estou a tentar watch vídeo de reprodução com HDR, porque é que a opção HDR está em falta?
Para que a reprodução de vídeo HDR funcione no contentor, a Aceleração de Hardware vGPU tem de ser ativada no Application Guard.
Há outras perguntas frequentes relacionadas a plataformas?
Sim. Perguntas frequentes - Microsoft Defender Application Guard