Обзор Application Guard в Microsoft Defender

Относится к:

  • Windows 10
  • Windows 11

Application Guard в Microsoft Defender (Application Guard) предназначена для предотвращения старых и новых атак, помогающих повысить производительность сотрудников. Используя уникальный подход к изоляции оборудования, наша цель состоит в том, чтобы уничтожить сборник схем, используемый злоумышленниками, сделав текущие методы атаки устаревшими.

Что представляет собой Application Guard и как он работает?

Для Майкрософт Edge Application Guard помогает изолировать ненадежные сайты, определяемые предприятием, защищая компанию, пока ваши сотрудники просматривают Интернет. Как администратор предприятия вы определяете, какие веб-сайты, облачные ресурсы и внутренние сети можно считать доверенными. Все элементы, отсутствующие в вашем списке, расцениваются как ненадежные. Если сотрудник переходит на ненадежный сайт через Майкрософт Edge или Internet Explorer, Майкрософт Edge открывает сайт в изолированном контейнере с поддержкой Hyper-V.

Для Майкрософт Office Application Guard помогает предотвратить доступ к доверенным ресурсам файлов Word, PowerPoint и Excel. Application Guard открывает ненадежные файлы в изолированном контейнере с поддержкой Hyper-V. Изолированный контейнер Hyper-V отделен от операционной системы узла. Такая изоляция контейнера означает, что если ненадежный сайт или файл окажется вредоносным, хост-устройство защищено, и злоумышленник не может получить доступ к корпоративным данным. Данная концепция предполагает работу изолированного контейнера в анонимном режиме, поэтому злоумышленник не сможет заполучить корпоративные учетные данные вашего сотрудника.

Схема изоляции оборудования.

На каких типах устройств необходимо использовать Application Guard?

Application Guard создан для нескольких типов устройств:

  • Корпоративные рабочие столы. Эти настольные компьютеры присоединены к домену и контролируются вашей организацией. Управление конфигурацией в основном осуществляется с помощью Майкрософт Configuration Manager или Microsoft Intune. Сотрудники, как правило, имеют стандартные привилегии пользователя и используют высокоскоростную проводную корпоративную сеть.

  • Корпоративные мобильные ноутбуки. Эти ноутбуки присоединены к домену и контролируются вашей организацией. Управление конфигурацией в основном осуществляется с помощью Майкрософт Configuration Manager или Microsoft Intune. Сотрудники, как правило, имеют стандартные привилегии пользователя и используют высокоскоростную беспроводную корпоративную сеть.

  • Принесите собственные мобильные ноутбуки (BYOD). Эти личные ноутбуки не присоединены к домену, но управляются вашей организацией с помощью таких средств, как Microsoft Intune. Сотрудник, как правило, является администратором на своем устройстве и использует высокоскоростную беспроводную корпоративную сеть на работе и аналогичную личную сеть дома.

  • Личные устройства. Эти личные настольные компьютеры или мобильные ноутбуки не присоединены к домену и не управляются организацией. Пользователь является администратором устройства и использует беспроводную личную сеть с высокой пропускной способностью, находясь дома, или сравнимую общедоступную сеть на улице.

Статья Описание
Требования к системе для Application Guard в Microsoft Defender Указывает предварительные требования, необходимые для установки и использования Application Guard.
Подготовка и установка Application Guard в Microsoft Defender Содержит инструкции по определению оптимального режима (автономного или режима "Управляется предприятием") и процедуру установки Application Guard в организации.
Настройка параметров групповая политика для Application Guard в Microsoft Defender Содержит сведения о доступных параметрах групповой политики и MDM.
Тестирование сценариев с использованием Application Guard в Microsoft Defender в организации или организации Список рекомендуемых сценариев тестирования, которые можно использовать для тестирования Application Guard в организации.
Расширение Application Guard в Microsoft Defender для веб-браузеров Описывает расширение Application Guard для Chrome и Firefox, включая известные проблемы и руководство по устранению неполадок.
Application Guard в Microsoft Defender для Майкрософт Office Описание Application Guard для Майкрософт Office, включая минимальные требования к оборудованию, конфигурацию и руководство по устранению неполадок.
Вопросы и ответы об Application Guard в Microsoft Defender Ответы на часто задаваемые вопросы о функциях Application Guard, интеграции с операционной системой Windows и общей конфигурации.
Использование границы сети для добавления доверенных сайтов на устройствах Windows в Microsoft Intune Сетевая граница — функция, которая помогает защитить среду от сайтов, которые не являются доверенными в вашей организации.