Поделиться через

Предотвращение блокировки размещенных в WebView2 приложений средствами безопасности

Это рекомендации для ИТ-администраторов и поставщиков программного обеспечения для обеспечения безопасности, чтобы средства безопасности не блокировали функциональные возможности приложений WebView2 или не сбои приложений, размещенных в WebView2.

ИТ-администраторы и поставщики программного обеспечения безопасности должны использовать приведенные ниже методики и процедуры для настройки своих сред и средств безопасности, чтобы избежать нарушения многопроцессной архитектуры WebView2.

Подробное содержимое:

Средства безопасности для настройки

Средства безопасности для соответствующей настройки включают в себя:

  • Средства антивирусной программы ( AV).
  • Средства защиты от потери данных (DLP).
  • Средства обнаружения и реагирования конечных точек (EDR).

Средства корпоративной безопасности также включают в себя:

  • Проверка TLS.

Симптомы проблем с конфигурацией Enterprise

Корпоративные средства безопасности, если не следовать приведенным ниже рекомендациям, могут нарушить многопроцессную архитектуру WebView2:

  • Блокировка дочерних процессов.
  • Уплотнение папок контроль доступа списков (ACL).
  • Внедрение библиотек динамической компоновки (DLL).

При возникновении таких сбоев размещенные в WebView2 интерфейсы могут быть пустыми, зависать или не выполнять инициализацию.

См. следующие статьи:

При необходимости обновите корпоративные политики безопасности

WebView2 учитывает все политики безопасности enterprise.

Если какие-либо средства или политики не позволяют загружать некоторые библиотеки DLL WebView2, ИТ-администратору предприятия необходимо обновить политики безопасности Enterprise.

WebView2 не реализует логику, зависят от приложения.

Список разрешенных исполняемых файлов среды выполнения WebView2 и узла приложения

Список разрешенных исполняемых файлов среды выполнения WebView2 (msedgewebview2.exe) и исполняемых файлов узла приложения.

См. следующие статьи:

Предпочитайте правила издателя.

См. следующие статьи:

Инициализация среды выполнения заблокирована

Вопросы:

  • Может возникнуть ошибка инициализации, например E_FAIL. В этом случае элементу управления WebView2 не удается инициализировать, и содержимое приложения никогда не загружается.

  • Инициализация среды выполнения заблокирована для любого из следующих средств:

    • Управление приложениями в Защитнике Windows (WDAC).

    • Правила запрета AppLocker; политики, которые явно блокируют выполнение.

    • контроль доступа списки (ACL), которые были ужесточены за пределами параметров по умолчанию; разрешения, которые были сделаны более строгими, чем стандартные для ОС.

Симптомы

  • Ошибки TLS, такие как ERR_CERT_*.

  • Сбои перенаправления входа, возникающие при включенной проверке TLS.

  • Немедленная ошибка инициализации.

  • Дочерние процессы отсутствуют.

  • Представление пустое.

Решения

Список разрешенных исполняемых файлов среды выполнения WebView2 (msedgewebview2.exe) и узла.

См. следующие статьи:

Используйте правила издателя.

См. следующие статьи:

Восстановление списков контроль доступа по умолчанию (ACL).

См. следующие статьи:

Сохранение списков контроль доступа по умолчанию в папках среды выполнения

Не изменяйте списки контроль доступа по умолчанию, которые Windows задает в папках среды выполнения WebView2.

Если средства безопасности изменяют списки управления доступом в папках среды выполнения WebView2, эти изолированные процессы могут потерять разрешения, необходимые для чтения и выполнения двоичных файлов среды выполнения, что может привести к пустым экранам, сбоям инициализации или сбоям.

См. следующие статьи:

Сохранение низкого уровня целостности (LowIL) в папках среды выполнения

Не изменяйте параметры низкого уровня целостности (LowIL) в папках среды выполнения WebView2. WebView2 запускает процессы отрисовщика с низким уровнем целостности, чтобы ограничить доступ к системным ресурсам.

Процесс с низким уровнем целостности (LowIL) должен иметь возможность чтения и выполнения двоичных файлов среды выполнения WebView2.

Низкий уровень целостности (LowIL) — это механизм безопасности Windows, который ограничивает способность процесса записывать объекты с более высоким уровнем целостности (например, большинство расположений профиля пользователя и системы). Процессы отрисовщика WebView2 выполняются в низком il-коде, чтобы уменьшить влияние скомпрометированного процесса.

См. следующие статьи:

Сохранение списков контроль доступа (ACL) по умолчанию в папке пользовательских данных приложения (UDF)

Не изменяйте списки контроль доступа по умолчанию, которые Windows задает в папке пользовательских данных приложения (UDF). Изменение этих списков управления доступом может помешать правильной работе процессов LowIL и AppContainer.

AppContainer — это более строгая песочница Windows, которая ограничивает доступ процесса только явно предоставленными ресурсами. В поддерживаемых версиях ОС WebView2 может запускать процессы отрисовщика внутри AppContainerдля дополнительной изоляции.

Должен LowIL/AppContainer иметь разрешение на:

  • Чтение и выполнение среды выполнения WebView2.

  • Запись в папку пользовательских данных (UDF).

WebView2 запускает некоторые дочерние процессы на низком уровне целостности (LowIL) или в песочнице AppContainer , чтобы ограничить доступ к системным ресурсам.

Эти изолированные процессы по-прежнему должны иметь возможность:

  • Чтение и выполнение двоичных файлов среды выполнения WebView2.

  • Запись в папку пользовательских данных приложения (UDF).

Если средства безопасности ужесточают контроль доступа Списки (ACL) в папке пользовательских данных приложения (UDF), изолированные процессы могут потерять необходимый доступ, что может привести к пустым экранам, сбоям инициализации или сбоям.

Расположения системы, управляемые операционной системой (ОС), полностью обрабатываются Windows и не должны изменяться.

См. следующие статьи:

Предоставление разрешения на запись в папку пользовательских данных (UDF)

Предоставьте разрешение на запись, чтобы разрешить приложению WebView2 запись в папку пользовательских данных (UDF).

Эти операции записи в определяемую пользователем функцию могут быть следующими:

  • Исключения управляемого доступа к папкам (CFA) для каждого приложения.

  • Исключения защиты от потери данных (DLP) для каждого приложения.

Состояние веб-содержимого находится в папке пользовательских данных приложения (UDF). Состояние веб-содержимого включает:

  • Печенье.
  • Кэша.
  • Локальное хранилище.

См. следующие статьи:

Цикл входа; состояние не сохраняется; параметры не сохраняются; пустая начальная страница

В случае цикла входа состояние не сохраняется, если записи в папку пользовательских данных (UDF) заблокированы.

Решения

Разрешить запись в папку данных пользователя приложения; используйте исключения управляемого доступа к папкам (CFA) для каждого приложения или исключения защиты от потери данных (DLP).

Избегайте размещения папки пользовательских данных WebView2 (UDF) в общей сетевой папке.

Убедитесь, что политики защиты от потери данных (DLP) не классифицируют обычные данные браузера (например, файлы cookie, кэш или локальное хранилище) как попытки кражи. Кража — это несанкционированная передача данных из системы, сети или облачной среды во внешнее назначение без разрешения.

См. следующие статьи:

Разрешить доступ к папкам среды выполнения, дочерние процессы и создание дочерних процессов

Аудитория: поставщики программного обеспечения для обеспечения безопасности.

Оставьте неограниченный доступ к папкам среды выполнения WebView2.

Разрешите дочерние процессы и не прерывайте их. К дочерним процессам относятся:

  • Визуализации
  • Графический процессор (GPU)
  • Сеть
  • Сбойная панель

Сохранение неограниченного создания дочернего процесса среды выполнения WebView2; разрешить аварийную панель.

См. следующие статьи:

Не внедряйте библиотеки DLL в процессы WebView2

Используйте соединители безопасности Microsoft Edge.

Избегайте внедрения динамической библиотеки (DLL).

Не внедряйте библиотеки динамической компоновки (DLL) в процессы WebView2. Вместо этого используйте соединители безопасности Microsoft Edge.

Предпочитайте соединители безопасности Microsoft Edge для защиты от потери данных (DLP), создания отчетов или доверия устройств.

Внедрение динамической библиотеки (DLL) в отрисовщик или графический процессор (GPU) приводит к прерыванию модели песочницы Chromium и обычно приводит к сбою отрисовщика.

Поставщики программного обеспечения безопасности должны использовать поддерживаемые соединители безопасности Edge вместо перехватчиков низкого уровня.

См. следующие статьи:

Сбои или замораживание

Сбой или зависание, связанные с внедрением библиотеки динамической компоновки (DLL) или заблокированным отрисовщиком, графическим процессором (GPU) или аварийной панелью.

См. следующие статьи:

Содержимое никогда не загружается

Проблема. Запускается основной процесс, но содержимое никогда не загружается, и приложение зависает.

Порождение дочерних процессов блокируется или перехватывание.

Решения

Разрешить дочерние процессы WebView2:

  • Визуализации.
  • Графический процессор (GPU).
  • Сети.
  • Сбойная панель.

Это дочерние процессы, экземпляры которых создает WebView2.

Избегайте внедрения динамической библиотеки (DLL).

Предпочитайте соединители Edge.

См. следующие статьи:

Избегайте широких глобальных исключений

Медленный запуск

Вопросы:

  • Медленный запуск из-за глубокого сканирования в режиме реального времени среды выполнения WebView2 и папки пользовательских данных (UDF).
  • Временный белый экран при выполнении навигации.
  • Агрессивное сканирование в режиме реального времени.
Решения

Настройка исключений с заданной областью для двоичных файлов среды выполнения WebView2 и папки пользовательских данных (UDF); избегайте широких исключений.

Настройте сканирование с исключениями области для каталога среды выполнения WebView2 и папки пользовательских данных (UDF).

Избегайте широких глобальных исключений.

См. следующие статьи:

Доверие внутренним центрам сертификации прокси-сервера и разрешение основных конечных точек входа или сети доставки содержимого (CDN)

Согласование политик TLS с Chromium:

  • Доверие внутренним центрам сертификации прокси-сервера; установить доверенные центры сертификации (ЦС).

  • Разрешить основные конечные точки входа или другие необходимые конечные точки.

  • Разрешите основные конечные точки сети доставки содержимого (CDN).

Сохраните параметры по умолчанию контроль доступа Списки (ACL) и Низкий уровень целостности (LowIL) в папках среды выполнения WebView2.

  • Процесс с низким уровнем целостности (LowIL) должен иметь возможность чтения и выполнения двоичных файлов среды выполнения WebView2.

  • Не изменяйте списки управления доступом по умолчанию, которые операционная система задает в папках среды выполнения. Процессы изолированного отрисовщика WebView2 выполняются на низком уровне целостности и требуют этих разрешений для правильной работы.

Доверие к среде выполнения WebView2 по сигнатуре

Распознайте и доверяйте среду выполнения WebView2 (msedgewebview2.exe) по сигнатуре; разрешите дочерние процессы.

Не изменяйте файлы среды выполнения WebView2, из которые загружают компоненты Windows C:\Windows\System32

Не изменяйте, не помещайте в карантин и не заменяйте двоичные файлы среды выполнения WebView2, которые компоненты Windows загружают непосредственно из C:\Windows\System32.

Некоторые компоненты Windows могут загружать двоичные файлы среды выполнения WebView2 непосредственно из C:\Windows\System32. Эти двоичные файлы принадлежат операционной системе.

Эти двоичные файлы среды выполнения WebView2, принадлежащие ОС:

  • Может не соответствовать версии среды выполнения Evergreen WebView2, используемой классическими приложениями.

  • Обслуживаются исключительно через клиентский компонент Центра обновления Windows, а не через установщики WebView2.

Согласование проверки tls и конфигурации прокси-сервера

Симптомы

  • Ошибки TLS (например, ERR_CERT_*).

  • Сбои перенаправления входа, возникающие при включенной проверке TLS.

Согласование проверки tls и конфигурации прокси-сервера с требованиями браузера на основе Chromium.

Если в вашей среде используется проверка TLS, убедитесь, что сертификаты проверки являются доверенными для хранилища сертификатов операционной системы.

Расшифровка SSL с помощью брандмауэра или прокси-сервера

Примером использования проверки TLS является расшифровка SSL с помощью брандмауэра или прокси-сервера.

Если среда направляет трафик через прокси-сервер, убедитесь, что процессы WebView2 могут достичь необходимых конечных точек через прокси-сервер.

ERR_CERT_* Ошибка

Вопросы:

  • ERR_CERT_* Ошибки.

  • Циклы входа (циклы входа).

  • Сбой рабочих служб.

Проверка сети и проверка tlsа не соответствует уровню безопасности.

Решения

Установите корневой центр сертификации (ЦС) корпоративного прокси-сервера, чтобы WebView2 доверял перехваченным HTTPS-трафику.

Убедитесь, что конечные точки проверки подлинности и конечные точки сети доставки содержимого (CDN), используемые приложением WebView2, явно разрешены.

Проверка конечных точек проверки подлинности и конечных точек сети доставки содержимого (CDN).

См. следующие статьи:

Разрешить обновления среды выполнения Evergreen WebView2

Не блокируйте обновления среды выполнения Evergreen WebView2.

Разрешить обновления среды выполнения Evergreen WebView2; не блокировать обслуживание.

При обслуживании Microsoft Edge обновляются следующие вложенные папки с версиями:

C:\Program Files (x86)\Microsoft\EdgeWebView\Application\<version>\

См. следующие статьи:

Приложение работает только с более высокими привилегиями

Существует несоответствие списка контроль доступа (ACL) с уровнем целостности.

Проблема. Приложение работает только с более высокими привилегиями. Сбой приложения в следующих средах:

  • универсальная платформа Windows (UWP) — приложения, выполняемые в песочнице приложений Windows с ограниченными разрешениями.

  • AppContainer — песочница безопасности Windows, которая ограничивает доступ процесса только явно предоставленными ресурсами.

Решения

Оставьте разрешения по умолчанию ALL APPLICATION PACKAGES для каталогов среды выполнения WebView2. Процесс низкого уровня целостности (LowIL) должен читать и выполнять.

См. следующие статьи:

Сюда входит путь к среде выполнения Evergreen WebView2 в C:\Program Files (x86)\Microsoft\EdgeWebView\Application\<version>\разделе , который должен сохранять ALL APPLICATION PACKAGES разрешения на чтение и выполнение.

Среда выполнения WebView2 на основе system32 принадлежит и обслуживается Windows.

Среда выполнения WebView2 на основе system32 не должна изменяться, заменяться, помещаться в карантин или очищаться средствами антивирусной программы (AV), обнаружения конечных точек и реагирования (EDR) или защиты от потери данных (DLP).

Список контроль доступа списков (ACL) по умолчанию в среде выполнения WebView2 на основе System32 должен храниться точно так, как поставляемые.

Не применяйте групповые политики браузера Edge

Большинство групповых политик, применяемых к Microsoft Edge, не влияют на WebView2, а неподдерживаемые политики могут нарушить функции WebView2.

Не используйте групповые политики только Microsoft Edge для влияния на WebView2.

Средства для проверка симптомов и причин

Аудитория: ИТ-администраторы.

ИТ-администраторы могут использовать стандартные средства Windows, чтобы определить, вызваны ли перечисленные симптомы:

  • WebView2 заблокирован.
  • Не удается инициализировать WebView2.
  • Сбой WebView2.

Диспетчер задач

В ведущем приложении убедитесь, что отображается среда выполнения WebView2 (msedgewebview2.exe) и ее дочерние процессы.

К дочерним процессам относятся:

  • Визуализации.
  • Графический процессор (GPU).
  • Сети.
  • Сбойная панель.

Если дочерние процессы WebView2 не отображаются, среда выполнения WebView2 или дочерний процесс блокируется из-за того, что на компьютере включен один из следующих процессов:

  • Управление приложениями в Защитнике Windows (WDAC).

  • Обнаружение и ответ конечной точки (EDR).

  • Внедрение динамической библиотеки (DLL).

Если процессы отрисовщика (или графического модуля обработки данных (GPU)) отображаются кратковременно, а затем исчезают, следующие процессы могут привести к прекращению процессов отрисовщика (или графического процессора (GPU)):

  • Обнаружение конечных точек и реагирование (EDR).

  • Перехватчик антивирусной программы (AV).

  • Внедрение динамической библиотеки (DLL).

Пустое или белое внедренное окно

Если есть пустое или белое внедренное окно, убедитесь, что процессы WebView2 присутствуют в диспетчере задач.

См. следующие статьи:

Средство просмотра событий

Просмотр событий (приложение или система журналов > Windows).

Найдите:

  • Ошибки инициализации приложения или WebView2.

  • События заблокированного выполнения в Защитнике Windows (WDAC) или AppLocker.

  • Управляемый доступ к папкам (CFA) или защита от потери данных (DLP) в файлах записи события отказа , влияющие на папку данных пользователя (UDF).

  • Сбои tls, сертификатов или политики сети, влияющие на потоки входа.

Журналы безопасности.

  • Блоки управляемого доступа к папкам (CFA).

  • Блоки политик защиты от потери данных (DLP).

  • Отказы в AppLocker или элементе управления приложениями. Как правило, они сопоставляется с такими симптомами, как циклы входа, пустые экраны или параметры не сохраняются.

Диагностика, отчеты о сбоях и события обработки

Отчеты о сбоях сохраняются в папке пользовательских данных (UDF) приложения по адресу EBWebView\Crashpad\reports\.

Используйте диагностика сбоя вместе с событиями процесса для рассмотрения повторяющегося сбоя.

См. следующие статьи:

Монитор надежности

Определите повторяющиеся сбои отрисовщика, графического процессора (GPU) или процессов аварийной панели.

Эти сбои процесса связаны с:

  • Проблемы с замораживанием.

  • Проблемы с пустым экраном.

  • Нестабильность среды выполнения WebView2.

Применимость к средствам

Аудитория: ИТ-администраторы и поставщики программного обеспечения для обеспечения безопасности.

С WebView2 могут взаимодействовать различные типы приложений. Ниже приведены сведения о применимости к различным формам WebView2.

Эта статья относится к следующим средствам или программному обеспечению:

  • Среда выполнения Microsoft Edge WebView2 (Evergreen и фиксированная версия).

  • Классические приложения Windows, внедряющие элемент управления WebView2.

  • Компоненты Windows, использующие WebView2 для веб-части пользовательского интерфейса.

  • Антивирусная программа сторонних разработчиков, средства обнаружения и реагирования на конечные точки (EDR), защита от потери данных (DLP) и продукты перехвата прокси-сервера или TLS, которые могут мешать процессам WebView2.

См. следующие статьи:

Устранение проблем с производительностью

Аудитория: ИТ-администраторы и поставщики программного обеспечения для обеспечения безопасности.

Чтобы использовать этот раздел, выполните следующие действия:

  1. ИТ-администратор использует эти сведения, чтобы определить проблему, которую ИТ-администратор видит при запуске или использовании WebView2 в своем приложении, и выяснить, какое программное обеспечение безопасности вызывает проблему.

  2. ИТ-администратор обращается к поставщику программного обеспечения для обеспечения безопасности.

  3. Поставщик программного обеспечения для обеспечения безопасности использует это содержимое, чтобы выяснить, что ей нужно сделать, чтобы убедиться, что WebView2 не заблокирован.

Обширное сканирование или подключение к процессам может замедлить запуск и загрузку страниц.

Вместо этого используйте исключения с ограниченной областью действия для двоичных файлов среды выполнения WebView2 и папки пользовательских данных (UDF), а не выбирайте широкие возможности отключения с высоким риском.

Обрабатывать дочерние процессы как процессы браузера; избегайте прекращения таких дочерних процессов.

К дочерним процессам относятся:

  • Визуализации.
  • Графический процессор (GPU).
  • Сети.
  • Сбойная панель.

Не завершайте процессы аварийной панели или графического процессора (GPU), так как они имеют решающее значение для стабильности и отрисовки.

См. следующие статьи:

Почему WebView2 отображается в корпоративных рабочих нагрузках

Аудитория: ИТ-администраторы и поставщики программного обеспечения для обеспечения безопасности.

Многие функции Приложения Microsoft 365 и Windows используют WebView2 для предоставления современного и согласованного пользовательского интерфейса.

Например, функции Outlook зависят от среды выполнения WebView2.

Windows Search использует WebView2 для частей пользовательского интерфейса.

См. следующие статьи:

См. также

Learn.microsoft.com:

Внешних:

  • Last updated on