Поделиться через


сценарии тестирования Application Guard

Примечание.

Мы придумали список сценариев, которые можно использовать для тестирования аппаратной изоляции в организации.

Application Guard в автономном режиме

Вы сможете увидеть, каким образом сотрудник сможет работать с Application Guard в автономном режиме.

Испытание Application Guard в автономном режиме

  1. Установите Application Guard.

  2. Перезагрузите устройство, запустите Microsoft Edge, а затем в меню выберите Создать Application Guard окно.

    Новый параметр Application Guard параметра окна.

  3. Подождите, пока Application Guard загрузится в изолированной среде.

    Примечание.

    Не запускайте Application Guard сразу же после перезагрузки устройства — это может привести к увеличению времени загрузки. При этом последующие запуски должны происходить без каких-либо ощутимых задержек.

  4. Перейдите по недоверенному, но безопасному URL-адресу (в данном примере мы используем msn.com) и убедитесь, что вы видите в новом окне Microsoft Edge визуальные подсказки Application Guard.

    Ненадежный веб-сайт, работающий в Application Guard.

Application Guard в режиме "Управляется предприятием"

Порядок установки, настройки и включения Application Guard в режиме "Управляется предприятием".

Установка, настройка и включение Application Guard

Прежде чем использовать Application Guard в управляемом режиме, необходимо установить выпуск Windows 10 Корпоративная версии 1709 и Windows 11, который включает в себя функциональные возможности. Затем для настройки необходимых параметров нужно воспользоваться групповой политикой.

  1. Установите Application Guard.

  2. Перезапустите устройство, а затем запустите Microsoft Edge.

  3. Настройте параметры сетевой изоляции в групповой политике:

    1. Щелкните значок Windows, введите Group Policyи выберите Изменить групповая политика.

    2. Перейдите в раздел Административные шаблоны\Сеть\Сетевая изоляция\Домены корпоративных ресурсов, размещенные в облаке.

    3. Для целей этого сценария введите .microsoft.com в поле Корпоративные облачные ресурсы .

      групповая политика редактор с параметром Корпоративные облачные ресурсы.

    4. Перейдите в раздел Административные шаблоны\Сеть\Сетевая изоляция\Домены, отнесенные к рабочим и личным одновременно.

    5. Для этого сценария введите bing.com в поле Нейтральные ресурсы .

      групповая политика редактор с параметром Нейтральные ресурсы.

  4. Перейдите в раздел Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Application Guard в Microsoft Defender\Включить Application Guard в Microsoft Defender в управляемом режиме.

  5. Выберите Включено, выберите Вариант 1 и нажмите кнопку ОК.

    групповая политика редактор с параметром

    Примечание.

    Включение данного параметра позволяет убедиться, что все необходимые параметры надлежащим образом настроены на устройствах ваших сотрудников, в том числе параметры сетевой изоляции, настроенные ранее по этому сценарию.

  6. Запустите Microsoft Edge и введите https://www.microsoft.com.

    После отправки URL-адреса Application Guard определяет, что URL-адрес является доверенным, так как использует домен, помеченный как доверенный, и отображает сайт непосредственно на хост-компьютере, а не в Application Guard.

    Надежный веб-сайт, работающий в Microsoft Edge.

  7. В том же браузере Microsoft Edge введите любой URL-адрес, который не входит в список доверенных или нейтральных сайтов.

    После отправки URL-адреса Application Guard определит, что данный URL-адрес является недоверенным и перенаправит запрос в изолированную среду.

    Ненадежный веб-сайт, работающий в Application Guard.

Настройка Application Guard

Application Guard позволяет задавать собственную конфигурацию, чтобы добиться оптимального соотношения безопасности на основе изоляции и эффективности ваших сотрудников.

Application Guard предусматривает следующие стандартные ограничения для ваших сотрудников:

  • запрет операций копирования и вставки между главным компьютером и изолированным контейнером;

  • запрет печати из изолированного контейнера;

  • отсутствие сохраняемости данных из одного изолированного контейнера в другой.

Вы можете изменить любой из этих параметров в групповой политике.

Относится к:

  • выпуски Windows 10 Корпоративная или Pro версии 1803 или более поздней
  • выпуски Windows 11 Корпоративная или Pro

Параметры копирования и вставки

  1. Перейдите в раздел Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Application Guard в Microsoft Defender\Настройка параметров буфера обмена Application Guard в Microsoft Defender.

  2. Выберите Включено и нажмите кнопку ОК.

    групповая политика параметры буфера обмена редактора.

  3. Выберите, каким образом будет работать буфер обмена:

    • Копирование и вставка из изолированного сеанса на главный компьютер

    • Копирование и вставка из главного компьютера в изолированный сеанс

    • Копирование и вставка в обоих направлениях

  4. Выберите, что именно можно будет копировать.

    • Между главным компьютером и изолированным контейнером можно копировать только текст.

    • Между главным компьютером и изолированным контейнером можно копировать только образы.

    • Текст и изображения можно копировать между главным компьютером и изолированным контейнером.

  5. Нажмите ОК.

  1. Перейдите в раздел Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Application Guard в Microsoft Defender\Настройка параметров печати Application Guard в Microsoft Defender.

  2. Выберите Включено и нажмите кнопку ОК.

    групповая политика редакторе Параметры печати.

  3. В списке, приведенном для данного параметра, выберите пункт, который лучше всего описывает функции печати, которые должны быть доступны вашим сотрудников. Вы можете разрешить любую комбинацию операций локальной, сетевой печати, сохранения в PDF и XPS.

  4. Нажмите ОК.

Параметры сохраняемости данных

  1. Перейдите к параметру Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Application Guard в Microsoft Defender\Разрешить сохраняемость данных для Application Guard в Microsoft Defender.

  2. Выберите Включено и нажмите кнопку ОК.

    групповая политика параметры сохраняемости данных в редакторе.

  3. Откройте Microsoft Edge и перейдите по недоверенному, но безопасному URL-адресу.

    Веб-сайт откроется в изолированном сеансе.

  4. Добавьте веб-сайт в список Избранное и закройте изолированный сеанс.

  5. Выйдите и вернитесь на устройство, снова открыв Microsoft Edge в Application Guard.

    Ранее добавленный веб-сайт должен по-прежнему отображаться в вашем списке Избранное.

    Примечание.

    Начиная с Windows 11 версии 22H2 сохраняемость данных по умолчанию отключена. Если вы не разрешаете или отключаете сохраняемость данных, перезапуск устройства, вход и выход из изолированного контейнера инициирует событие перезапуска. Это действие удаляет все созданные данные, такие как файлы cookie сеанса и избранное, и удаляет данные из Application Guard. Если вы включите сохраняемость данных, все созданные сотрудниками объекты будут сохраняться при перезапуске контейнера. Однако эти артефакты существуют только в изолированном контейнере и не являются общими для главного компьютера. Эти данные сохраняются после перезапуска и даже при обновлении Windows 10 и Windows 11 от сборки.

    Если вы включите сохраняемость данных, а позже решите отменить поддержку сохраняемости для ваших сотрудников, вы сможете с помощью нашей служебной программы, предусмотренной в Windows, сбросить содержимое контейнера и удалить все личные данные.

    Чтобы сбросить контейнер, выполните следующие действия.
    1. Откройте программу командной строки и перейдите к Windows/System32.
    2. Введите wdagtool.exe cleanup. Среда контейнера будет сброшена за исключением данных, созданных сотрудниками.
    3. Введите wdagtool.exe cleanup RESET_PERSISTENCE_LAYER. Среда контейнера будет сброшена, включая все данные, созданные сотрудниками.

    Microsoft Edge версии 90 или более поздней больше не поддерживает RESET_PERSISTENCE_LAYER.

Относится к:

  • выпуски Windows 10 Корпоративная или Pro, версия 1803
  • выпуски Windows 11 Корпоративная или Pro версии 21H2. Сохраняемость данных отключена по умолчанию в Windows 11 версии 22H2 и более поздних.

Варианты скачивания

  1. Перейдите в раздел Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Application Guard в Microsoft Defender\Разрешить скачивание и сохранение файлов в операционной системе узла из Application Guard в Microsoft Defender.

  2. Выберите Включено и нажмите кнопку ОК.

    групповая политика редакторе Параметры скачивания.

  3. Выйдите и вернитесь на устройство, снова открыв Microsoft Edge в Application Guard.

  4. Скачайте файл из Application Guard в Microsoft Defender.

  5. Убедитесь, что файл был загружен в этот компьютер > скачивает ненадежные > файлы.

Параметры аппаратного ускорения

  1. Перейдите к параметру Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Application Guard в Microsoft Defender\Разрешить отрисовку с аппаратным ускорением для Application Guard в Microsoft Defender.

  2. Выберите Включено и нажмите кнопку ОК.

    групповая политика параметры аппаратного ускорения редактора.

  3. После включения этой функции откройте Microsoft Edge и перейдите по ненадежный, но безопасный URL-адрес с видео, трехмерным или другим графическим контентом. Веб-сайт открывается в изолированном сеансе.

  4. Оцените визуальный интерфейс и производительность батареи.

Параметры камеры и микрофона

  1. Перейдите в раздел Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Application Guard в Microsoft Defender\Разрешить доступ к камере и микрофону в Application Guard в Microsoft Defender.

  2. Выберите Включено и нажмите кнопку ОК.

    групповая политика редакторе Параметры камеры и микрофона.

  3. Выйдите и вернитесь на устройство, снова открыв Microsoft Edge в Application Guard.

  4. Откройте приложение с возможностью видео или звука в Microsoft Edge.

  5. Убедитесь, что камера и микрофон работают должным образом.

Параметры общего доступа к корневому сертификату

  1. Перейдите в раздел Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Application Guard в Microsoft Defender\Разрешить Application Guard в Microsoft Defender использовать корневые центры сертификации из параметра устройства пользователя.

  2. Выберите Включено, скопируйте отпечаток каждого сертификата для совместного использования, разделенный запятой, и нажмите кнопку ОК.

    групповая политика параметры корневого сертификата редактора.

  3. Выйдите и вернитесь на устройство, снова открыв Microsoft Edge в Application Guard.

Расширение Application Guard для сторонних веб-браузеров

Расширение Application Guard, доступное для Chrome и Firefox, позволяет Application Guard защищать пользователей, даже если они используют веб-браузер, отличный от Microsoft Edge или Интернет-Обозреватель.

После установки расширения и приложения-компаньона на корпоративном устройстве можно выполнить следующие сценарии.

  1. Откройте Firefox или Chrome в любом браузере, в котором установлено расширение.

  2. Перейдите на веб-сайт организации. Другими словами, внутренний веб-сайт, обслуживаемый вашей организацией. Эта страница оценки может появиться в течение мгновенного времени, прежде чем сайт будет полностью загружен.

    Страница оценки, отображаемая во время загрузки страницы, объясняющая, что пользователь должен подождать.

  3. Перейдите на сайт внешнего веб-сайта, не являющегося внешним, например www.bing.com. Сайт должен быть перенаправлен на Application Guard в Microsoft Defender Edge.

    Веб-сайт, отличный от предприятия, перенаправляется в контейнер Application Guard. Отображаемый текст объясняет, что страница открывается в Application Guard для Microsoft Edge.

  4. Откройте новое окно Application Guard, щелкнув значок Application Guard в Microsoft Defender, а затем выберите Создать Application Guard Окно.

    Параметр