Создание и развертывание политики Application Guard в Microsoft Defender
Относится к Configuration Manager (Current Branch)
Вы можете создавать и развертывать политики Application Guard в Microsoft Defender (Application Guard) с помощью защиты конечных точек Configuration Manager. Эти политики помогают защитить пользователей, открывая ненадежные веб-сайты в защищенном изолированном контейнере, недоступном другим частям операционной системы.
Предварительные требования
Чтобы создать и развернуть политику Application Guard в Microsoft Defender, необходимо использовать Windows 10 1709 или более поздней версии. Устройства Windows 10 или более поздних версий, на которых развертывается политика, должны быть настроены с помощью политики сетевой изоляции. Дополнительные сведения см. в обзоре Application Guard в Microsoft Defender.
Создание политики и просмотр доступных параметров
В консоли Configuration Manager выберите Активы и соответствие.
В рабочей области Активы и соответствие выберите Обзор>Endpoint Protection>Application Guard в Microsoft Defender.
На вкладке Главная в группе Создать щелкните Создать политику Application Guard в Microsoft Defender.
Используя статью в качестве справки, вы можете просматривать и настраивать доступные параметры. Configuration Manager позволяет задать определенные параметры политики:
На странице Определение сети укажите корпоративный идентификатор и определите границу корпоративной сети.
Примечание.
Windows 10 или более поздних версий на компьютерах хранится только один список сетевой изоляции на клиенте. Вы можете создать два разных типа списков сетевой изоляции и развернуть их на клиенте:
- один из windows Information Protection
- один из Application Guard в Microsoft Defender
При развертывании обеих политик эти списки сетевой изоляции должны совпадать. При развертывании списков, которые не соответствуют одному и тому же клиенту, развертывание завершится ошибкой. Дополнительные сведения см. в документации по Windows Information Protection.
По завершении завершите работу мастера и разверните политику на одном или нескольких устройствах Windows 10 1709 или более поздних версий.
Поведение приложения
Настраивает взаимодействие между хост-устройствами и контейнером Application Guard. До Configuration Manager версии 1802 поведение приложения и взаимодействие с узлом находились на вкладке Параметры.
- Буфер обмена — в разделе параметров до Configuration Manager 1802
- Разрешенный тип контента
- Текст
- изображения;
- Разрешенный тип контента
- Печати:
- Включение печати в XPS
- Включение печати в PDF
- Включение печати на локальных принтерах
- Включение печати на сетевых принтерах
- Графика: (начиная с Configuration Manager версии 1802)
- Доступ к виртуальному графическому процессору
- Файлы: (начиная с Configuration Manager версии 1802)
- Сохранение скачанных файлов на размещение
- Политики: (начиная с Configuration Manager версии 2207)
- Включение или отключение камер и микрофонов
- Сертификат, соответствующий отпечаткам изолированного контейнера
Параметры взаимодействия с узлом
Настраивает поведение приложения внутри сеанса Application Guard. До Configuration Manager версии 1802 поведение приложения и взаимодействие с узлом находились на вкладке Параметры.
- Других:
- Сохранение данных браузера, созданных пользователем
- Аудит событий безопасности в изолированном сеансе Application Guard
Чтобы изменить параметры Application Guard, разверните узел Endpoint Protection в рабочей области Активы и соответствие, а затем щелкните узел Application Guard в Microsoft Defender. Щелкните правой кнопкой мыши политику, которую нужно изменить, а затем выберите Пункт Свойства.
Известные проблемы
Применимо к версии 2203 или более ранней
На устройствах под управлением Windows 10 версии 2004 будут отображаться сбои в отчетах о соответствии для Application Guard в Microsoft Defender условий доверия к файлам. Эта проблема возникает из-за того, что некоторые подклассы были удалены из класса MDM_WindowsDefenderApplicationGuard_Settings01 WMI в Windows 10 версии 2004. Все остальные параметры Application Guard в Microsoft Defender будут по-прежнему применяться, только критерии доверия к файлам завершатся ошибкой. В настоящее время обходных решений для обхода ошибки нет.
Применимо к версии 2207 или более поздней
Включение политики не устанавливает Application Guard в Microsoft Defender компонент по умолчанию. Разверните сценарий PowerShell с помощью ConfigMgr на всех применимых компьютерах.
Чтобы включить функцию, используйте следующие команды. Enable-WindowsOptionalFeature -online -FeatureName "Windows-Defender-ApplicationGuard"
Дальнейшие действия
Дополнительные сведения о Application Guard в Microsoft Defender см. в разделе
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по