Поделиться через


Обзор Application Guard в Microsoft Defender

Примечание.

Microsoft Defender Application Guard (MDAG) предназначен для предотвращения старых и новых атак, чтобы помочь повысить производительность сотрудников. Используя уникальный подход к изоляции оборудования, наша цель состоит в том, чтобы уничтожить сборник схем, используемый злоумышленниками, сделав текущие методы атаки устаревшими.

Что представляет собой Application Guard и как он работает?

Для Microsoft Edge Application Guard помогает изолировать ненадежные сайты, определяемые предприятием, защищая вашу компанию, пока ваши сотрудники просматривают Интернет. Как администратор предприятия вы определяете, какие веб-сайты, облачные ресурсы и внутренние сети можно считать доверенными. Все элементы, отсутствующие в вашем списке, расцениваются как ненадежные. Если сотрудник переходит на ненадежный сайт через Microsoft Edge или Internet Explorer, Microsoft Edge открывает сайт в изолированном контейнере с поддержкой Hyper-V.

Для Microsoft Office Application Guard помогает предотвратить доступ к доверенным ресурсам файлов Word, PowerPoint и Excel. Application Guard открывает ненадежные файлы в изолированном контейнере с поддержкой Hyper-V. Изолированный контейнер Hyper-V отделен от операционной системы узла. Такая изоляция контейнера означает, что если ненадежный сайт или файл окажется вредоносным, хост-устройство защищено, и злоумышленник не может получить доступ к корпоративным данным. Данная концепция предполагает работу изолированного контейнера в анонимном режиме, поэтому злоумышленник не сможет заполучить корпоративные учетные данные вашего сотрудника.

Схема изоляции оборудования.

На каких типах устройств необходимо использовать Application Guard?

Application Guard был создан для нескольких типов устройств:

  • Корпоративные рабочие столы. Эти настольные компьютеры присоединены к домену и контролируются вашей организацией. Управление конфигурацией в основном осуществляется с помощью Microsoft Configuration Manager или Microsoft Intune. Сотрудники, как правило, имеют стандартные привилегии пользователя и используют высокоскоростную проводную корпоративную сеть.

  • Корпоративные мобильные ноутбуки. Эти ноутбуки присоединены к домену и контролируются вашей организацией. Управление конфигурацией в основном осуществляется с помощью Microsoft Configuration Manager или Microsoft Intune. Сотрудники, как правило, имеют стандартные привилегии пользователя и используют высокоскоростную беспроводную корпоративную сеть.

  • Принесите мобильные ноутбуки с собственным устройством (BYOD). Эти личные ноутбуки не присоединены к домену, но управляются вашей организацией с помощью таких средств, как Microsoft Intune. Сотрудник, как правило, является администратором на своем устройстве и использует высокоскоростную беспроводную корпоративную сеть на работе и аналогичную личную сеть дома.

  • Личные устройства. Эти личные настольные компьютеры или мобильные ноутбуки не присоединены к домену и не управляются организацией. Пользователь является администратором на устройстве и использует беспроводную личную сеть с высокой пропускной способностью дома или сравнимую общедоступную сеть на улице.

Требования к выпуску и лицензированию Windows

В следующей таблице перечислены выпуски Windows, поддерживающие Microsoft Defender Application Guard (MDAG) для автономного режима Edge.

Windows Pro Windows Корпоративная Windows Pro для образовательных учреждений/SE Windows для образовательных учреждений
Да Да Да Да

Права на лицензии Microsoft Defender Application Guard (MDAG) для автономного режима Edge предоставляются следующими лицензиями:

Windows Pro/Pro для образовательных учреждений/SE Windows Корпоративная E3 Windows Корпоративная E5 Windows для образовательных учреждений A3 Windows для образовательных учреждений A5
Да Да Да Да Да

Дополнительные сведения о лицензировании Windows см. в статье Обзор лицензирования Windows.

Дополнительные сведения о Microsoft Defender Application Guard (MDAG) для режима предприятия Microsoft Edge см . в статье Настройка параметров политики Application Guard в Microsoft Defender.

Статья Описание
Требования к системе для Application Guard в Microsoft Defender Указывает предварительные требования, необходимые для установки и использования Application Guard.
Подготовка и установка Application Guard в Microsoft Defender Содержит инструкции по определению оптимального режима (автономного или режима "Управляется предприятием") и процедуру установки Application Guard в организации.
Настройка параметров групповой политики для Application Guard в Microsoft Defender Содержит сведения о доступных параметрах групповой политики и MDM.
Тестирование сценариев с помощью Application Guard в Microsoft Defender в организации или организации Список рекомендуемых сценариев тестирования, которые можно использовать для тестирования Application Guard в организации.
Microsoft Defender Application Guard для Microsoft Office Описание Application Guard для Microsoft Office, включая минимальные требования к оборудованию, конфигурацию и руководство по устранению неполадок.
Вопросы и ответы об Application Guard в Microsoft Defender Ответы на часто задаваемые вопросы о функциях Application Guard, интеграции с операционной системой Windows и общей конфигурации.
Использование границы сети для добавления доверенных сайтов на устройствах Windows в Microsoft Intune Сетевая граница — функция, которая помогает защитить среду от сайтов, которые не являются доверенными в вашей организации.