Suporte do Microsoft Edge para o Windows Defender Application Guard

Importante

Microsoft Defender Application Guard, incluindo as APIs do Inicializador de Aplicativos Isolados do Windows, serão preteridos para Microsoft Edge para Empresas e não serão mais atualizados.

Instalações existentes de Application Guard

Essa preterição não afeta as instalações existentes do MDAG (Microsoft Defender Application Guard). As organizações podem continuar a usar Application Guard em versões atuais do Windows, mas recomendamos que os administradores de segurança avaliem seus requisitos de segurança daqui para frente. Esse recurso pode ser removido em uma versão futura do Windows, mas continuará a ser mantido para instalações existentes no Windows.

Considerações de precatório

A preterição inclui os seguintes elementos de Application Guard.

• Se sua organização exigir isolamento baseado em contêiner, recomendamos Área Restrita do Windows ou AVD (Área de Trabalho Virtual) do Azure.
• Como Application Guard for preterido, não haverá uma migração para o Edge Manifest V3. As extensões correspondentes e o aplicativo associado da Windows Store não estarão disponíveis após maio de 2024. Isso afeta os seguintes navegadores: Application Guard Extension – Chrome e Application Guard Extension – Firefox. Se você quiser bloquear navegadores desprotegidos até estar pronto para retirar o uso do MDAG em sua empresa, recomendamos usar políticas do AppLocker ou serviço de gerenciamento do Microsoft Edge.

Dica

Baixe o whitepaper de segurança Microsoft Edge para Empresas para saber mais sobre os recursos que tornam o Edge for Business um navegador corporativo seguro.

Os recursos de segurança adicionais no Edge o tornam muito seguro sem precisar de Application Guard. A lista crescente de recursos de segurança inclui:

• Defender SmartScreen para suporte a anti-phishing e malware e verificação e bloqueio de URL.
• Modo de segurança aprimorado para proteger contra vulnerabilidades relacionadas à memória desabilitando a compilação do JavaScript just-in-time (e outras proteções).
• Proteção contra erro de digitação do site para sites mal escritos.
• Prevenção contra perda de dados para identificar, monitorar e proteger automaticamente itens confidenciais.

Visão geral

Este artigo descreve como o Microsoft Edge oferece suporte para o Windows Defender Application Guard (Application Guard).

Os arquitetos de segurança na empresa devem lidar com a tensão que existe entre a produtividade e a segurança. É muito fácil bloquear um navegador e permitir que apenas alguns sites confiáveis sejam carregados. Essa abordagem melhorará a postura geral de segurança, mas será menos produtiva. Se você a fizer menos restritiva para melhorar a produtividade, aumentará o perfil de risco. É um equilíbrio difícil de alcançar!

É ainda mais difícil acompanhar as novas ameaças emergentes neste cenário de ameaças em constante mudança. Os navegadores continuam sendo a principal superfície de ataque em dispositivos cliente atuais, pois seu trabalho fundamental é permitir que os usuários acessem, baixem e abram conteúdo não confiável de fontes não confiáveis. Os indivíduos mal intencionados estão constantemente trabalhando com novas formas de ataques de engenharia social para navegadores. As estratégias de prevenção ou de detecção/resposta de incidentes de segurança não podem garantir 100% da segurança.

Uma estratégia de segurança principal é a Assume Breach Methodology, que significa que existe uma aceitação de que um ataque vai acontecer pelo menos uma vez, independente dos esforços para impedi-lo. Essa mentalidade exige a criação de defesas para conter o dano, o que garante que a rede corporativa e outros recursos permaneçam protegidos neste cenário. A implantação do Application Guard para o Microsoft Edge se encaixa nesta estratégia.

Sobre o Application Guard

Projetado para Windows 10/11 e Microsoft Edge, Application Guard usa uma abordagem de isolamento de hardware. Essa abordagem permite a inicialização da navegação de um site não confiável dentro de um contêiner. O isolamento de hardware ajuda as empresas a proteger seus dados e redes corporativas no caso de os usuários visitarem um site comprometido ou mal-intencionado.

O administrador corporativo define quais são os sites, recursos de nuvem e redes internas confiáveis. Tudo que não está na lista de sites confiáveis é considerado não confiável. Esses sites são isolados da rede corporativa e dos dados do dispositivo do usuário.

Para saber mais:

• Assista o nosso vídeo Isolamento do navegador Microsoft Edge usando o Application Guard
• Leia O que é o Application Guard e como ele funciona?

A próxima captura de tela mostra um exemplo de mensagem do Application Guard que mostra que o usuário está navegando em um espaço seguro.

Novidades

Application Guard suporte no novo navegador do Microsoft Edge tem paridade funcional com Versão Prévia do Microsoft Edge e inclui várias melhorias.

Habilitar o bloqueio de carregamento

A partir do Microsoft Edge 96, os administradores agora têm a opção de bloquear uploads enquanto estiverem no contêiner, o que significa que os usuários não podem carregar arquivos de seu dispositivo local para sua instância de Application Guard. Este suporte pode ser controlado pela política. Você pode atualizar a política do Edge ApplicationGuardUploadBlockingEnabled para habilitar ou desabilitar uploads no contêiner.

Habilitar Application Guard no modo passivo e procurar o Edge normalmente

A partir do Microsoft Edge 94, os usuários agora têm a opção de configurar o modo passivo, o que significa que Application Guard ignora a configuração da lista de sites e os usuários podem navegar pelo Edge normalmente. Este suporte pode ser controlado pela política. Você pode atualizar a política do Edge ApplicationGuardPassiveModeEnabled para habilitar ou desabilitar o modo passivo.

Observação

Essa política SÓ afeta o Edge, portanto, as navegaçãos de outros navegadores podem ser redirecionadas para o contêiner de Application Guard se você tiver as extensões correspondentes habilitadas.

Favoritos sincronizando do host para o contêiner

Alguns de nossos clientes estão solicitando a sincronização de favoritos entre o navegador host e o contêiner no Application Guard. A partir do Microsoft Edge 91, os usuários agora têm a opção de configurar o Application Guard para sincronizar seus favoritos do host para o contêiner. Isso garante que novos favoritos também apareçam no contêiner.

Este suporte pode ser controlado pela política. Você pode atualizar a política do Microsoft Edge ApplicationGuardFavoritesSyncEnabled para habilitar ou desabilitar a sincronização de favoritos.

Observação

Por motivos de segurança, a sincronização de favoritos só é possível do host para o contêiner e não o contrário. Para garantir uma lista unificada de favoritos no host e no contêiner, desabilitamos o gerenciamento de favoritos dentro do contêiner.

Identificar o tráfego de rede proveniente do contêiner

Vários clientes estão usando o WDAG em uma configuração específica em que eles querem identificar o tráfego de rede proveniente do contêiner. Alguns dos cenários para isso são:

• Para restringir o acesso a apenas alguns sites não confiáveis
• Para permitir o acesso à Internet somente do contêiner

A partir do Microsoft Edge versão 91, há suporte interno para marcar o tráfego de rede proveniente de contêineres Application Guard, permitindo que as empresas usem proxy para filtrar o tráfego e aplicar políticas específicas. Você pode usar o cabeçalho para identificar qual tráfego está por meio do contêiner ou do host usando ApplicationGuardTrafficIdentificationEnabled.

Suporte à extensão dentro do contêiner

O suporte à extensão dentro do contêiner tem sido uma das principais solicitações dos clientes. Os cenários variaram de querer executar bloqueadores de anúncios dentro do contêiner para melhorar o desempenho do navegador a ter a habilidade de executar extensões personalizadas dentro do contêiner.

As instalações de extensão no contêiner agora têm suporte, começando pela versão 81 do Microsoft Edge. Este suporte pode ser controlado pela política. O que é usado na política de ExtensionInstallForcelist deve ser adicionado como um recurso neutro nas políticas de isolamento de rede usadas pelo Application Guard.

Alguns exemplos de suporte a contêiner incluem os seguintes cenários:

• Forçar instalações de uma extensão no host
• Remover uma extensão do host
• Extensões bloqueadas no host

Observação

Também é possível instalar manualmente as extensões individuais dentro do contêiner do armazenamento da extensão. As extensões instaladas manualmente só persistirão no contêiner quando a política Permitir a persistência estiver ativada.

Identificação do tráfego do Application Guard por Proxy Duplo

Alguns clientes corporativos estão implantando o Application Guard usando um caso de uso específico, em que é necessário identificar o tráfego da Web vindo de um contêiner do Microsoft Defender Application Guard no nível do proxy. A partir da versão 84 do Canal Estável, o Microsoft Edge será compatível com o proxy duplo para atender a essa necessidade. Você pode configurar essa funcionalidade usando a política ApplicationGuardContainerProxy.

O desenho a seguir mostra a arquitetura de proxy duplo do Microsoft Edge.

Página de diagnóstico para solução de problemas

Outro ponto de preocupação do usuário é solucionar problemas de configuração do Application Guard em um dispositivo quando um problema for relatado. O Microsoft Edge tem uma página de diagnóstico (edge://application-guard-internals) para solucionar problemas do usuário. Um destes diagnósticos é a capacidade de verificar a confiança da URL com base na configuração do dispositivo do usuário.

A próxima captura de tela mostra uma página de diagnóstico de várias guias para ajudá-lo a diagnosticar problemas relatados pelos usuários no dispositivo.

Atualizações do Microsoft Edge no contêiner

As atualizações herdadas do Microsoft Edge no contêiner fazem parte do ciclo de atualização do sistema operacional Windows. Como a nova versão do Microsoft Edge se atualiza independente do sistema operacional Windows, não há mais dependências nas atualizações do contêiner. O canal e a versão do host Microsoft Edge são replicados dentro do contêiner.

Pré-requisitos

Os seguintes requisitos se aplicam a dispositivos que usam Application Guard com o Microsoft Edge:

• Windows 10 1809 (Atualização de outubro de 2018 para o Windows 10) e superior.

• Somente SKUs de clientes Windows

  Observação

  Application Guard só há suporte em SKUs enterprise Windows 10/11 Pro e Windows 10/11.

• Uma das soluções de gerenciamento descritas nos Requisitos do software

Como instalar o Application Guard

Os artigos a seguir fornecem as informações necessárias para instalar, configurar e testar o Application Guard com o Microsoft Edge.

• Requisitos de sistema
• Instalar o Microsoft Defender Application Guard
• Configurar Application Guard configurações de política de grupo
• Testar o Application Guard

Perguntas frequentes

Application Guard está sendo preterido?

Sim, Microsoft Defender Application Guard, incluindo as APIs do Inicializador de Aplicativos Isolados do Windows, serão preteridas por Microsoft Edge para Empresas e não serão mais atualizadas.

O Application Guard funciona no modo IE?

O modo IE dá suporte à funcionalidade do Application Guard, mas não antecipamos muito uso desse recurso no modo IE. O modo IE é recomendado para ser implantado para uma lista de sites internos confiáveis, e o Application Guard é apenas para sites não confiáveis. Verifique se todos os sites de modo IE ou endereços IP também são adicionados à política de isolamento de rede para serem considerados como recurso confiável por Application Guard.

Preciso instalar a extensão do Chrome do Application Guard?

Não, o recurso Application Guard tem suporte nativo no Microsoft Edge. Na verdade, não há suporte para a extensão de Chrome do Application Guard no Microsoft Edge.

Os funcionários podem baixar documentos da sessão Application Guard Edge nos dispositivos host?

Em Windows 10 Enterprise edição, versão 1803, os usuários podem baixar documentos do contêiner de Application Guard isolado para o computador host. Essa funcionalidade é gerenciada pela política.

Em Windows 10 Enterprise edição, versão 1709 ou edição Windows 10 Professional, versão 1803, não é possível baixar arquivos do contêiner Application Guard isolado para o computador host. No entanto, os funcionários podem usar as opções Imprimir em PDF ou Imprimir como XPS e salvar esses arquivos no dispositivo host.

Os funcionários podem copiar e colar entre o dispositivo host e a sessão Application Guard Edge?

Dependendo das configurações da sua organização, os funcionários podem copiar e colar imagens (.bmp) e texto de e para o contêiner isolado.

Por que os funcionários não veem seus favoritos na sessão do Application Guard Edge?

Dependendo das configurações da sua organização, pode ser que a Sincronização de Favoritos esteja desativada. Para gerenciar a política, consulte: Microsoft Edge e Microsoft Defender Application Guard | Microsoft Docs.

Por que os funcionários não podem ver suas extensões na sessão do Application Guard Edge?

Certifique-se de habilitar a política de extensões em sua configuração de Application Guard.

Minha extensão não parece funcionar no Edge Application Guard?

Se a política de extensões estiver habilitada para MDAG na configuração, marcar se sua extensão exigir componentes nativos de Tratamento de Mensagens, essas extensões não serão compatíveis no contêiner Application Guard.

Estou tentando watch vídeo de reprodução com HDR, por que a opção HDR está ausente?

Para que a reprodução de vídeo HDR funcione no contêiner, a Aceleração de Hardware do vGPU precisa ser habilitada em Application Guard.

Há outras perguntas frequentes relacionadas a plataformas?

Sim. Perguntas frequentes - Microsoft Defender Application Guard

Consulte também

• Página de aterrissagem do Microsoft Edge Enterprise
• Proteção Avançada contra Ameaças do Microsoft Defender
• Vídeo: Isolamento de navegador Microsoft Edge usando o Application Guard