Поделиться через


Настройка параметров политики Application Guard в Microsoft Defender

Примечание.

Microsoft Defender Application Guard (Application Guard) работает с групповой политикой, чтобы помочь вам управлять параметрами компьютера в организации. С помощью групповой политики вы можете настроить параметр политики один раз, а затем скопировать его на несколько компьютеров. Например, можно настроить несколько параметров безопасности в объекте групповой политики, связанном с доменом, а затем применить все эти параметры к каждой конечной точке в домене.

Application Guard использует параметры сетевой изоляции и параметры, относящиеся к конкретным приложениям.

Требования к выпуску и лицензированию Windows

В следующей таблице перечислены выпуски Windows, поддерживающие Microsoft Defender Application Guard (MDAG) для режима предприятия Edge и управления предприятием.

Windows Pro Windows Корпоративная Windows Pro для образовательных учреждений/SE Windows для образовательных учреждений
Нет Да Нет Да

Microsoft Defender Application Guard (MDAG) для режима предприятия Edge и прав на лицензии на управление предприятием предоставляются следующими лицензиями:

Windows Pro/Pro для образовательных учреждений/SE Windows Корпоративная E3 Windows Корпоративная E5 Windows для образовательных учреждений A3 Windows для образовательных учреждений A5
Нет Да Да Да Да

Дополнительные сведения о лицензировании Windows см. в статье Обзор лицензирования Windows.

Дополнительные сведения о Microsoft Defender Application Guard (MDAG) для Microsoft Edge в автономном режиме см. в статье Обзор Application Guard в Microsoft Defender.

Параметры сетевой изоляции

Эти параметры, расположенные по адресу Computer Configuration\Administrative Templates\Network\Network Isolation, помогают определить границы сети организации и управлять ими. Application Guard использует эти сведения для автоматической передачи всех запросов на доступ к некорпоратным ресурсам в контейнер Application Guard.

Примечание.

Для Windows 10, если вы установили KB5014666, а для Windows 11, если у вас установлено KB5014668, вам не нужно настраивать политику сетевой изоляции, чтобы включить Application Guard для Microsoft Edge в управляемом режиме.

Примечание.

Вам необходимо настроить либо домены корпоративных ресурсов, расположенные в облаке, либо диапазоны частных сетей для параметров приложений на устройствах ваших сотрудников, чтобы успешно включить Application Guard в корпоративном режиме. Прокси-серверы должны быть нейтральным ресурсом, перечисленным в разделе Домены, классифицированные как рабочие и личные политики.

Имя политики Поддерживаемые версии Описание
Диапазоны частных сетей для приложений Как минимум Windows Server 2012, Windows 8 или Windows RT Разделенный запятыми список диапазонов IP-адресов, которые находятся в вашей корпоративной сети. Включенные конечные точки или конечные точки, включенные в заданный диапазон IP-адресов, обрабатываются с помощью Microsoft Edge и из среды Application Guard к ним не будет доступа.
Домены корпоративных ресурсов, расположенные в облаке Как минимум Windows Server 2012, Windows 8 или Windows RT Разделенный по каналу (|) список облачных ресурсов домена. Включенные конечные точки обрабатываются с помощью Microsoft Edge и из среды Application Guard к ним не будет доступа.

Этот список поддерживает подстановочные знаки, описанные в таблице Подстановочные знаки параметров сетевой изоляции .

Домены, классифицируемые и как рабочие, и как личные Как минимум Windows Server 2012, Windows 8 или Windows RT Разделенный запятыми список имен доменов, используемых и как рабочие, и как личные ресурсы. Включенные конечные точки отрисовываются с помощью Microsoft Edge и будут доступны из Application Guard и обычной среды Microsoft Edge.

Этот список поддерживает подстановочные знаки, описанные в таблице Подстановочные знаки параметров сетевой изоляции .

Подстановочные знаки параметров сетевой изоляции

Значение Количество точек слева Значение
contoso.com 0 Доверяйте только литеральное значение contoso.com.
www.contoso.com 0 Доверяйте только литеральное значение www.contoso.com.
.contoso.com 1 Доверяйте любому домену, который заканчивается текстом contoso.com. Соответствующие сайты включают spearphishingcontoso.com, contoso.comи www.contoso.com.
..contoso.com 2 Доверяйте всем уровням иерархии домена, которые находятся слева от точки. Совпадающие сайты включают shop.contoso.com, us.shop.contoso.com, www.us.shop.contoso.com, но НЕ contoso.com сами по себе.

Параметры, относящиеся к конкретным приложениям

Эти параметры, расположенные по адресу Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application Guard, помогут вам управлять реализацией Application Guard в организации.

Имя Поддерживаемые версии Описание Параметры
Настройка параметров буфера обмена Application Guard в Microsoft Defender Windows 10 Корпоративная, 1709 или более поздней версии

Windows 10 для образовательных учреждений, 1809 или более поздней версии

Windows 11 Корпоративная и для образовательных учреждений

Определяет, может ли Application Guard использовать функции буфера обмена. Включено. Это действует только в управляемом режиме. Включает функции буфера обмена и позволяет выбрать, следует ли дополнительно:
— полностью отключить функцию буфера обмена, если включена безопасность виртуализации.
— Включение копирования определенного содержимого из Application Guard в Microsoft Edge.
— Включение копирования определенного содержимого из Microsoft Edge в Application Guard. Важный: Разрешение копирования содержимого из Microsoft Edge в Application Guard может привести к потенциальному риску безопасности и не рекомендуется.

1 или не настроено. Полностью отключает функции буфера обмена для Application Guard.

Настройка параметров печати Application Guard в Microsoft Defender Windows 10 Корпоративная, 1709 или более поздней версии

Windows 10 для образовательных учреждений, 1809 или более поздней версии

Windows 11 Корпоративная и для образовательных учреждений

Определяет, может ли Application Guard использовать функции печати. Включено. Это действует только в управляемом режиме. Включает функцию печати и позволяет выбрать, следует ли дополнительно:
— Включите Application Guard для печати в формате XPS.
— Включите Application Guard для печати в формате PDF.
— Включите Application Guard для печати на локально подключенных принтерах.
— Включите Application Guard для печати с ранее подключенных сетевых принтеров. Сотрудники не могут искать другие принтеры.

1 или не настроено. Полностью отключает функции печати для Application Guard.
Разрешить сохраняемость Windows 10 Корпоративная, 1709 или более поздней версии

Windows 10 для образовательных учреждений, 1809 или более поздней версии

Windows 11 Корпоративная и для образовательных учреждений

Определяет, сохраняются ли данные в разных сеансах в Application Guard в Microsoft Defender. Включено. Это действует только в управляемом режиме. Application Guard сохраняет загруженные пользователем файлы и прочие элементы (например файлы cookie, избранное и т.д.) для использования в будущих сеансах Application Guard.

1 или не настроено. Все данные пользователя в Application Guard сбрасывается между сеансами.

ПРИМЕЧАНИЕ. Если позже вы решите прекратить поддержку сохраняемости данных для своих сотрудников, вы можете использовать нашу служебную программу, предоставляемую Windows, для сброса контейнера и для отмены любых персональных данных.

Сброс контейнера:
1. Откройте программу командной строки и перейдите по адресу Windows/System32.
2. Введите wdagtool.exe cleanup. Среда контейнера будет сброшена за исключением данных, созданных сотрудниками.
3. Введите wdagtool.exe cleanup RESET_PERSISTENCE_LAYER. Среда контейнера будет сброшена, включая все данные, созданные сотрудниками.

Включение Application Guard в Microsoft Defender в управляемом режиме Windows 10 Корпоративная, 1709 или более поздней версии

Windows 10 для образовательных учреждений, 1809 или более поздней версии

Windows 11 Корпоративная и для образовательных учреждений

Определяет, следует ли включать Application Guard для Microsoft Edge и Microsoft Office. Включено. Включает Application Guard для Microsoft Edge и (или) Microsoft Office с учетом параметров сетевой изоляции, отрисовки ненадежного содержимого в контейнере Application Guard. Application Guard фактически не будет включен, если на устройстве не установлены необходимые предварительные требования и параметры сетевой изоляции. Доступные варианты:
— Включение Application Guard в Microsoft Defender только для Microsoft Edge
— Включение Application Guard в Microsoft Defender только для Microsoft Office
— включение Application Guard в Microsoft Defender для Microsoft Edge и Microsoft Office

Служба отключена. Отключает Application Guard, позволяя всем приложениям запускаться в Microsoft Edge и Microsoft Office.

Заметка: Для Windows 10, если вы установили KB5014666, а для Windows 11, если у вас установлено KB5014668, вам больше не нужно настраивать политику сетевой изоляции, чтобы включить Application Guard для Microsoft Edge.
Разрешить скачивание файлов для размещения операционной системы Windows 10 Корпоративная или Pro, 1803 или более поздней версии

Windows 10 для образовательных учреждений, 1809 или более поздней версии

Windows 11 Корпоративная, Pro или Windows 11 для образовательных учреждений

Определяет, следует ли сохранять скачанные файлы в операционной системе узла из контейнера Application Guard в Microsoft Defender. Включено. Позволяет пользователям сохранять скачанные файлы из контейнера Application Guard в Microsoft Defender в операционной системе узла. Это действие создает общую папку между узлом и контейнером, которая также позволяет передавать данные из узла в контейнер Application Guard.

1 или не настроено. Пользователи не могут сохранять скачанные файлы из Application Guard в операционной системе узла.

Разрешение аппаратного ускорения отрисовки для Application Guard в Microsoft Defender Windows 10 Корпоративная, 1709 или более поздней версии

Windows 10 для образовательных учреждений, 1809 или более поздней версии

Windows 11 Корпоративная и для образовательных учреждений

Определяет, выполняет ли Microsoft Defender Application Guard отрисовку графики с помощью аппаратного или программного ускорения. Включено. Это действует только в управляемом режиме. Microsoft Defender Application Guard использует Hyper-V для доступа к поддерживаемму графическому оборудованию (GPU) с высоким уровнем безопасности. Эти графические процессоры повышают производительность отрисовки и время автономной работы при использовании Application Guard в Microsoft Defender, особенно для воспроизведения видео и других вариантов использования с интенсивным использованием графики. Если этот параметр включен без подключения графического оборудования для отрисовки с высоким уровнем безопасности, Microsoft Defender Application Guard автоматически вернется к программной (ЦП) отрисовке. Важный: Включение этого параметра с потенциально скомпрометированных графических устройств или драйверов может представлять угрозу для хост-устройства.

1 или не настроено. Microsoft Defender Application Guard использует программную отрисовку (ЦП) и не загружает сторонние графические драйверы и не взаимодействует с подключенным графическим оборудованием.
Разрешение доступа к камере и микрофону в Application Guard в Microsoft Defender Windows 10 Корпоративная, 1709 или более поздней версии

Windows 10 для образовательных учреждений, 1809 или более поздней версии

Windows 11 Корпоративная и для образовательных учреждений

Определяет, следует ли разрешить доступ к камере и микрофону внутри Application Guard в Microsoft Defender. Включено. Это действует только в управляемом режиме. Приложения в Microsoft Defender Application Guard могут получить доступ к камере и микрофону на устройстве пользователя. Важный: Включение этой политики с потенциально скомпрометируемым контейнером может обойти разрешения камеры и микрофона и получить доступ к камере и микрофону без ведома пользователя.

1 или не настроено. Приложениям в Microsoft Defender Application Guard не удается получить доступ к камере и микрофону на устройстве пользователя.

Разрешить Application Guard в Microsoft Defender использовать корневые центры сертификации с устройства пользователя Windows 10 Корпоративная или Pro, 1809 или более поздней версии

Windows 10 для образовательных учреждений, 1809 или более поздней версии

Windows 11 Корпоративная или Pro

Определяет, используются ли корневые сертификаты совместно с Microsoft Defender Application Guard. Включено. Сертификаты, соответствующие указанному отпечатку, передаются в контейнер. Используйте запятую для разделения нескольких сертификатов.

1 или не настроено. Сертификаты не совместно используются Microsoft Defender Application Guard.

Разрешить аудит событий в Application Guard в Microsoft Defender Windows 10 Корпоративная, 1709 или более поздней версии

Windows 10 для образовательных учреждений, 1809 или более поздней версии

Windows 11 Корпоративная и для образовательных учреждений

Этот параметр политики позволяет решить, можно ли собирать события аудита из Application Guard в Microsoft Defender. Включено. Это действует только в управляемом режиме. Application Guard наследует политики аудита от устройства и записывает системные события из контейнера Application Guard в узел.

1 или не настроено. Журналы событий не собираются из контейнера Application Guard.

Параметры диалогового окна поддержки Application Guard

Эти параметры находятся в .Administrative Templates\Windows Components\Windows Security\Enterprise Customization Если возникает ошибка, появится диалоговое окно. По умолчанию это диалоговое окно содержит только сведения об ошибке и кнопку, чтобы сообщить об этом корпорации Майкрософт через центр отзывов. Однако в диалоговом окне можно указать дополнительные сведения.

Используйте групповую политику для включения и настройки контактных данных.