Вопросы и ответы об Application Guard в Microsoft Defender

Для оптимальной производительности рекомендуется использовать 8 ГБ ОЗУ, но для включения Application Guard на компьютерах, которые не соответствуют рекомендуемой конфигурации оборудования, можно использовать следующие значения DWORD реестра.

HKLM\software\Microsoft\Hvsi\SpecRequiredProcessorCount (По умолчанию используется четыре ядра.)

HKLM\software\Microsoft\Hvsi\SpecRequiredMemoryInGB (По умолчанию — 8 ГБ.)

HKLM\software\Microsoft\Hvsi\SpecRequiredFreeDiskSpaceInGB (По умолчанию — 5 ГБ.)

Вручную или PAC-сервер должен быть именем узла (не IP-адресом), нейтральным в списке сайтов. Кроме того, если скрипт PAC возвращает прокси-сервер, он должен соответствовать тем же требованиям.

Чтобы полные доменные имена (полные доменные имена) для "PAC-файла" и "прокси-серверов, на которые перенаправляется PAC-файл", добавлены в качестве нейтральных ресурсов в политиках сетевой изоляции, используемых Application Guard, можно:

• Проверьте это добавление, перейдя в edge://application-guard-internals/#utilities и введя полное доменное имя для pac/proxy в поле "проверка URL-адрес доверия" и убедившись, что в поле "проверка URL-адрес доверия" указано "Нейтральный".
• Это должно быть полное доменное имя. Простой IP-адрес не будет работать.
• При необходимости, если это возможно, IP-адреса, связанные с сервером, на котором размещен указанный выше сервер, должны быть удалены из диапазонов IP-адресов предприятия в политиках сетевой изоляции, используемых Application Guard.

Application Guard требуется, чтобы прокси-серверы имели символическое имя, а не только IP-адрес. IP-Literal параметры прокси-сервера, например 192.168.1.4:81 , могут быть помечены как itproxy:81 или с помощью записи, P19216810010 например для прокси-сервера с IP-адресом 192.168.100.10. Эта заметка относится к выпуску Windows 10 Корпоративная версии 1709 или более поздней. Эти заметки будут использоваться для политик прокси-сервера в разделе Сетевая изоляция в групповая политика или Intune.

Следующие редакторы методов ввода (IME), представленные в Windows 10 версии 1903, в настоящее время не поддерживаются в Application Guard в Microsoft Defender:

• Клавиатура вьетнамского телекса
• Вьетнамская клавиатура на основе клавиши с номером
• Фонетическая клавиатура хинди
• Фонетическая клавиатура Bangla
• Фонетическая клавиатура Маратхи
• Фонетическая клавиатура Telugu
• Фонетическая клавиатура тамильского языка
• Фонетическая клавиатура Kannada
• Фонетическая клавиатура Malayalam
• Фонетическая клавиатура Гуджарати
• Фонетическая клавиатура Odia
• Пенджабская фонетическая клавиатура

В настоящее время эта функция является экспериментальной и не работает без дополнительного раздела реестра, предоставленного корпорацией Майкрософт. Если вы хотите оценить эту функцию при развертывании Windows 10 Корпоративная версии 1803, обратитесь в корпорацию Майкрософт, и мы поможем вам включить эту функцию.

WDAGUtilityAccount является частью Application Guard, начиная с Windows 10 версии 1709 (Fall Creators Update). Он остается отключенным по умолчанию, если на устройстве не включена Application Guard. WDAGUtilityAccount используется для входа в контейнер Application Guard в качестве стандартного пользователя со случайным паролем. Это НЕ вредоносная учетная запись. Для правильной работы ему требуются разрешения на вход в качестве службы . Если в этом разрешении отказано, может возникнуть следующая ошибка:

Ошибка: 0x80070569, ошибка Ext: 0x00000001; RDP: Ошибка: 0x00000000, ошибка Ext: 0x00000000 Расположение: 0x00000000

Чтобы доверять поддомену, необходимо перед доменом с двумя точками (..). Например: ..contoso.com гарантирует, что mail.contoso.com или news.contoso.com являются доверенными. Первая точка представляет строки для имени поддомена (почта или новости), а вторая точка распознает начало доменного имени (contoso.com). Эти две точки не позволяют сайтам fakesitecontoso.com быть доверенными.

При использовании Windows Pro или Windows Enterprise у вас есть доступ к использованию Application Guard в автономном режиме. Однако при использовании enterprise у вас есть доступ к Application Guard в режиме Enterprise-Managed. В этом режиме есть некоторые дополнительные функции, которые нет в автономном режиме. Дополнительные сведения см. в статье Подготовка к установке Application Guard в Microsoft Defender.

Да, домены корпоративных ресурсов, размещенные в облаке, и домены, которые классифицируются как рабочие и личные, имеют ограничение в 16383 байта.

Application Guard в Microsoft Defender обращается к файлам из виртуального жесткого диска, подключенного к узлу, который необходимо записать во время установки. Если драйвер шифрования предотвращает подключение или запись виртуального жесткого диска, Application Guard не работает и приводит к появляется сообщение об ошибке (0x80070013 ERROR_WRITE_PROTECT).

Между CSP и GP не существует сопоставления "один к одному" среди всех политик сетевой изоляции. Обязательные политики сетевой изоляции для развертывания Application Guard отличаются между CSP и GP.

• Обязательная политика групповой политики сетевой изоляции для развертывания Application Guard: DomainSubnets или CloudResources

• Обязательная политика CSP сетевой изоляции для развертывания Application Guard: EnterpriseCloudResources или (EnterpriseIpRange и EnterpriseNetworkDomainNames)

• Для EnterpriseNetworkDomainNames не существует сопоставленной политики CSP.

Application Guard обращается к файлам из виртуального жесткого диска, подключенного к узлу, который необходимо записать во время установки. Если драйвер шифрования предотвращает подключение или запись виртуального жесткого диска, Application Guard не работает и приводит к появляется сообщение об ошибке (0x80070013 ERROR_WRITE_PROTECT).

Если гиперпоточность отключена (из-за обновления, примененного через статью базы знаний или с помощью параметров BIOS), существует вероятность, Application Guard больше не соответствует минимальным требованиям.

Application Guard могут неправильно работать на сжатых томах NTFS. Если эта проблема не исчезнет, попробуйте распаковку тома.

Эта проблема известна. Чтобы устранить эту проблему, необходимо создать два правила брандмауэра. Сведения о создании правила брандмауэра с групповая политика см. в статье Настройка правил брандмауэра Windows с помощью групповой политики.

Первое правило (DHCP-сервер)

• Путь к программе: %SystemRoot%\System32\svchost.exe

• Локальная служба: Sid: S-1-5-80-2009329905-444645132-2728249442-922493431-93864177 (Internet Connection Service (SharedAccess))

• Протокол UDP

• Порт 67

Второе правило (DHCP-клиент)

Это правило совпадает с первым правилом, но ограничивается локальным портом 68. В пользовательском интерфейсе брандмауэра Microsoft Defender выполните следующие действия.

1. Щелкните правой кнопкой мыши правила для входящих подключений и создайте новое правило.

2. Выберите пользовательское правило.

3. Укажите следующий путь к программе: %SystemRoot%\System32\svchost.exe.

4. Укажите следующие параметры:

   • Тип протокола: UDP
   • Конкретные порты: 67
   • Удаленный порт: любой

5. Укажите все IP-адреса.

6. Разрешите подключение.

7. Укажите, чтобы использовать все профили.

8. Новое правило должно отображаться в пользовательском интерфейсе. Щелкнитеправой кнопкой мыши свойства правила>.

9. На вкладке Программы и службы в разделе Службы выберите параметры.

10. Выберите Применить к этой службе и общий доступ к подключению к Интернету (ICS).

ICS включена по умолчанию в Windows, и для правильной работы Application Guard необходимо включить ICS. Не рекомендуется отключает ICS; однако можно частично отключить ICS с помощью групповая политика и редактирования разделов реестра.

1. В параметре групповая политика запретить использование общего доступа к подключению к Интернету в сети домена DNS установите для него значение Отключено.

2. Отключите IpNat.sys от загрузки ICS следующим образом:
   System\CurrentControlSet\Services\SharedAccess\Parameters\DisableIpNat = 1

3. Настройте ICS (SharedAccess) для включения следующим образом:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Start = 3

4. (Этот шаг является необязательным) Отключите IPNAT следующим образом:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPNat\Start = 4

5. Перезагрузите устройство.

Элементы, перечисленные в списке разрешенных, должны быть настроены как разрешенные в объекте групповая политика, чтобы убедиться, что AppGuard работает правильно.

Политика: разрешить установку устройств, соответствующих любому из следующих идентификаторов устройств:

• SCSI\DiskMsft____Virtual_Disk____
• {8e7bd593-6e6c-4c52-86a6-77175494dd8e}\msvhdhba
• VMS_VSF
• root\Vpcivsp
• root\VMBus
• vms_mp
• VMS_VSP
• ROOT\VKRNLINTVSP
• ROOT\VID
• root\storvsp
• vms_vsmp
• VMS_PP

Политика: разрешить установку устройств с помощью драйверов, соответствующих этим классам установки устройств

• {71a27cdd-812a-11d0-bec7-08002be2092f}

WinNAT удаляет сообщения ICMP/UDP с пакетами, превышающими MTU, при использовании коммутатора по умолчанию или сети NAT Docker. Поддержка этого решения добавлена в KB4571744. Чтобы устранить эту проблему, установите обновление и включите исправление, выполнив следующие действия.

1. Убедитесь, что параметр FragmentAware DWORD имеет значение 1 в этом параметре реестра: \Registry\Machine\SYSTEM\CurrentControlSet\Services\Winnat.

2. Перезагрузите устройство.

Эта политика существовала в Windows 10 до версии 2004. Он был удален из более поздних версий Windows, так как он не применяет ничего для Edge или Office.

• Посетите Create новый запрос на поддержку.
• В разделе Семейство продуктов выберите Windows. Выберите продукт и версию продукта, с которым требуется помощь. Для категории, которая лучше всего описывает проблему, выберите Безопасность Windows Технологии. В последнем параметре выберите Защитник Windows Application Guard.

Да. Используйте этот флаг Edge, чтобы включить или отключить это поведение: --disable-features="msWdagAutoCloseNavigatedTabs"

См. также

Настройка параметров политики Application Guard в Microsoft Defender