Perguntas frequentes - Microsoft Defender Application Guard

É recomendável 8GB de RAM para o desempenho ideal, mas você pode usar os seguintes valores do DWORD para habilitar o Application Guard em computadores que não estejam atendendo à configuração de hardware recomendada.

HKLM\software\Microsoft\Hvsi\SpecRequiredProcessorCount (o padrão é quatro núcleos.)

HKLM\software\Microsoft\Hvsi\SpecRequiredMemoryInGB (o padrão é 8 GB.)

HKLM\software\Microsoft\Hvsi\SpecRequiredFreeDiskSpaceInGB (o padrão é 5 GB.)

O servidor pac ou manual deve ser um nome de host (não IP) neutro na lista de sites. Além disso, se o script PAC retornar um proxy, ele deverá atender aos mesmos requisitos.

Para garantir que os FQDNs (Nomes de Domínio Totalmente Qualificados) “para o arquivo PAC”“e os servidores proxy aos quais o arquivo PAC redireciona sejam adicionados como Recursos Neutros nas políticas de Isolamento de Rede usadas” pelo Application Guard, você pode:

• Verifique essa adição acessando edge://application-guard-internals/#utilities e inserindo o FQDN para o pac/proxy no campo de “verificar confiança da URL” e verificar se ele diz “Neutro”.
• Ele deve ser um FQDN. Um endereço IP simples não funcionará.
• Opcionalmente, se possível, os endereços IP associados ao servidor que hospeda os itens acima devem ser removidos dos Intervalos IP corporativos nas políticas de Isolamento de Rede usadas pelo Application Guard.

O Application Guard requer que os proxies tenham um nome simbólico, não apenas um endereço IP. As configurações de proxy IP-Literal, como 192.168.1.4:81, podem ser anotadas como itproxy:81 ou usando um registro como P19216810010 para um proxy com um endereço IP de 192.168.100.10. Essa anotação se aplica à Windows 10 Enterprise, versão 1709 ou superior. Essas anotações seriam para as políticas de proxy em Isolamento de Rede no Política de Grupo ou no Intune.

Atualmente, não há suporte para os seguintes IME (Editores de Método de Entrada) introduzidos no Windows 10, versão 1903 no Microsoft Defender Application Guard:

• Teclado Telex do Vietnã
• Teclado baseado em teclas de número do Linux
• Teclado fonético híndi
• Teclado fonético bangla
• Teclado fonético marati
• Teclado fonético telugu
• Teclado fonético tamil
• Teclado fonético canarim
• Teclado fonético malaiala
• Teclado fonético guzerate
• Teclado fonético oriá
• Teclado fonético panjabi

Atualmente, esse recurso é apenas experimental e não funciona sem uma chave de registro extra fornecida pela Microsoft. Se você quiser avaliar esse recurso em uma implantação do Windows 10 Enterprise, versão 1803, entre em contato com a Microsoft e trabalharemos com você para habilitar o recurso.

A WDAGUtilityAccount faz parte do Application Guard, começando com Windows 10, versão 1709 (Fall Creators Update). Ele permanece desabilitado por padrão, a menos que o Application Guard esteja habilitado em seu dispositivo. A WDAGUtilityAccount é usada para entrar no contêiner Application Guard como um usuário padrão com uma senha aleatória. NÃO é uma conta mal-intencionada. Ele requer permissões de logon como um serviço para poder funcionar corretamente. Se essa permissão for negada, você poderá ver o seguinte erro:

Erro: 0x80070569, Erro ext: 0x00000001; RDP: Erro: 0x00000000, Erro ext: 0x00000000 Local: 0x00000000

Para confiar em um subdomínio, você deve preceder seu domínio com dois pontos (..). Por exemplo: ..contoso.com garante que mail.contoso.com ou news.contoso.com sejam confiáveis. O primeiro ponto representa as cadeias de caracteres para o nome do subdomínio (email ou notícias) e o segundo ponto reconhece o início do nome de domínio (contoso.com). Esses dois pontos impedem que sites como fakesitecontoso.com sejam confiáveis.

Ao usar o Windows Pro ou o Windows Enterprise, você tem acesso ao uso do Application Guard em modo autônomo. No entanto, ao usar o Enterprise, você tem acesso ao Application Guard no Modo Gerenciado empresarial. Esse modo tem alguns recursos adicionais que o Modo Autônomo não tem. Para obter mais informações, consulte Preparar para instalar o Microsoft Defender Application Guard.

Sim, os domínios dos recursos da empresa hospedados na nuvem e os domínios categorizados como pessoais e de trabalho têm um limite de 1.6383 bytes.

O Microsoft Defender Application Guard acessa arquivos de um VHD montado no host que precisa ser gravado durante a instalação. Se um driver de criptografia impedir que um VHD seja montado ou gravado, o Application Guard não funcionará e resultará em uma mensagem de erro (0x80070013 ERROR_WRITE_PROTECT).

Não há um mapeamento um-para-um entre todas as políticas de Isolamento de Rede entre o CSP e o GP. As políticas de isolamento de rede obrigatórias para o Application Guard são diferentes entre o CSP e o GP.

• Política de GP de isolamento de rede obrigatória para Application Guard: DomainSubnets ou CloudResources

• Política CSP de isolamento de rede obrigatória para implantar o Application Guard: EnterpriseCloudResources ou (EnterpriseIpRange e EnterpriseNetworkDomainNames)

• Para EnterpriseNetworkDomainNames, não há nenhuma política CSP mapeada.

O Application Guard acessa arquivos de um VHD montado no host que precisa ser gravado durante a instalação. Se um driver de criptografia impedir que um VHD seja montado ou gravado, o Application Guard não funcionará e resultará em uma mensagem de erro (0x80070013 ERROR_WRITE_PROTECT).

Se o hyperthreading estiver desabilitado (devido a uma atualização aplicada por meio de um artigo da KB ou por meio das configurações do BIOS), haverá uma possibilidade do Application Guard não atender mais aos requisitos mínimos.

O Application Guard pode não funcionar corretamente em volumes compactados NTFS. Se esse problema persistir, tente descompactar o volume.

Esse problema é conhecido. Para atenuar esse problema, você precisa criar duas regras de firewall. Para obter informações sobre como criar uma regra de firewall com Política de Grupo, consulte Configurar regras do Firewall do Windows com a política de grupo

Primeira regra (Servidor DHCP)

• Caminho do programa: %SystemRoot%\System32\svchost.exe

• Serviço Local: Sid: S-1-5-80-2009329905-444645132-2728249442-922493431-93864177 (Internet Connection Service (SharedAccess))

• Protocolo UDP

• Porta 67

Segunda regra (Cliente DHCP)

Essa regra é a mesma que a primeira, mas tem como escopo a porta local 68. Na interface do usuário do Microsoft Defender Firewall, siga as etapas a seguir:

1. Clique com o botão direito do mouse nas regras de entrada e crie uma nova regra.

2. Escolha regra personalizada.

3. Especifique o seguinte caminho de programa: %SystemRoot%\System32\svchost.exe.

4. Especifique as seguintes configurações:

   • Tipo de protocolo: UDP
   • Portas específicas: 67
   • Porta remota: qualquer uma

5. Especifique quaisquer endereços IP.

6. Permitir a conexão.

7. Especifique para usar todos os perfis.

8. A nova regra deve aparecer na interface do usuário. Clique com o botão direito do mouse regra>propriedades.

9. Na guia Programas e serviços, na seção Serviços, selecione configurações.

10. Escolha Aplicar a este Serviço e selecione Acesso Compartilhado ao Compartilhamento de Conexão com a Internet (ICS).

O ICS é habilitado por padrão no Windows e o ICS deve ser habilitado para que o Application Guard funcione corretamente. Não recomendamos desabilitar o ICS; no entanto, você pode desabilitar o ICS em parte usando uma Política de Grupo e editando as chaves de registro.

1. Na configuração da Política de Grupo, Proibir o uso do Compartilhamento de Conexão com a Internet na rede de domínio DNS, defina-o como Desabilitado.

2. Desabilite o IpNat.sys da carga do ICS da seguinte maneira:
   System\CurrentControlSet\Services\SharedAccess\Parameters\DisableIpNat = 1

3. Configure o ICS (SharedAccess) para ser habilitado da seguinte forma:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Start = 3

4. (Esta etapa é opcional) Desabilite o IPNAT da seguinte forma:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPNat\Start = 4

5. Reinicialize o dispositivo.

Os itens da lista de permissões devem ser configurados como "permitidos" no Objeto de Política de Grupo para garantir que o AppGuard funcione corretamente.

Política: permitir a instalação de dispositivos que correspondam a qualquer uma das seguintes IDs de dispositivo:

• SCSI\DiskMsft____Virtual_Disk____
• {8e7bd593-6e6c-4c52-86a6-77175494dd8e}\msvhdhba
• VMS_VSF
• root\Vpcivsp
• root\VMBus
• vms_mp
• VMS_VSP
• ROOT\VKRNLINTVSP
• ROOT\VID
• root\storvsp
• vms_vsmp
• VMS_PP

Política: permitir a instalação de dispositivos usando drivers que correspondam a essas classes de configuração de dispositivo

• {71a27cdd-812a-11d0-bec7-08002be2092f}

O WinNAT descarta mensagens ICMP/UDP com pacotes maiores que o MTU ao usar a Alternância Padrão ou a rede NAT do Docker. O suporte para esta solução foi adicionado ao KB4571744. Para corrigir o problema, instale a atualização e habilite a correção seguindo estas etapas:

1. Verifique se o FragmentAware DWORD está definido como 1 nesta configuração de registro: \Registry\Machine\SYSTEM\CurrentControlSet\Services\Winnat.

2. Reinicialize o dispositivo.

Essa política estava presente no Windows 10 anterior à versão 2004. Ele foi removido de versões posteriores do Windows, pois não impõe nada para o Edge ou o Office.

• Visite Criar uma nova solicitação de suporte.
• Na Família de Produtos, selecione Windows. Selecione o produto e a versão do produto com os quais você precisa de ajuda. Para a categoria que melhor descreve o problema, selecione Tecnologias de Segurança do Windows. Na opção final, selecione Windows Defender Application Guard.

Sim. Use este sinalizador do Edge para habilitar ou desabilitar esse comportamento: --disable-features="msWdagAutoCloseNavigatedTabs"

Consulte também

Configurar as políticas do Microsoft Defender Application Guard