Microsoft Edge 对 Microsoft Defender 应用程序防护的支持

本文介绍 Microsoft Edge 如何支持 Microsoft Defender 应用程序防护(应用程序防护)。

备注

本文适用于 Microsoft Edge 版本 77 或更高版本。

概述

企业中的安全架构师必须处理生产力与安全性之间的矛盾。 锁定浏览器并且仅允许加载少数受信任的站点相对简单。 这种方法可改进整体安全状态,但生产力会降低。 如果你为提高生产力而减少限制,则会增加风险。 这很难达到平衡!

在不断变化的威胁形势下,即时了解新出现的威胁变得更加困难。 浏览器仍然是客户端设备上的主要攻击面,因为浏览器的基本任务是让用户访问、下载和打开来自不可信来源的不可信内容。 恶意参与者一直在忙于对浏览器进行新形式的社会工程攻击。 安全事件预防或检测/响应策略不能保证 100% 安全。

要考虑的一个关键安全策略是假设失陷方法,这意味着用户接受无论如何努力地抵御攻击,该攻击总会成功一次的观念。 此思维方式要求建立防御机制来遏制损坏,这可确保企业网络和其他资源在这种情况下得到保护。 为 Microsoft Edge 部署应用程序防护符合此策略。

关于应用程序防护

专为 Windows 10 和 Microsoft Edge 设计,应用程序防护使用硬件隔离方法。 这种方法允许在容器中启动不受信任的站点导航。 硬件隔离可帮助企业保护其企业网络和数据,以防用户访问受到威胁或恶意的站点。

企业管理员定义什么是受信任的站点、云资源和内部网络。 不在受信任站点列表中的所有内容都被视为不可信内容。 这些站点与企业网络和用户设备上的数据相隔离。

有关详细信息:

下一个屏幕截图显示应用程序防护的消息示例,它显示用户正在安全空间中浏览。

应用程序防护安全浏览消息

新增功能

新版 Microsoft Edge 浏览器中的应用程序防护支持与 Microsoft Edge 旧版具有同等的功能,并包括多项改进。

启用上传阻止

从 Microsoft Edge 96 开始,管理员现在可以选择在容器中阻止上传,这意味着用户无法将文件从本地设备上传到其 Application Guard 实例。 可通过策略控制此支持。 可以更新 Edge 策略 ApplicationGuardUploadBlockingEnabled 以启用或禁用容器中的上传。

在被动模式下启用 Application Guard 并正常浏览 Edge

从 Microsoft Edge 94 开始,用户现在可以选择配置被动模式,这意味着 Application Guard 会忽略站点列表配置,用户可以正常浏览 Edge。 可通过策略控制此支持。 可以更新 Edge 策略 ApplicationGuardPassiveModeEnabled 以启用或禁用被动模式。

备注

此策略仅影响 Edge,因此,如果启用了相应的扩展,来自其他浏览器的导航可能会重定向到 Application Guard 容器。

从主机同步到容器的收藏夹

我们的一些客户一直要求在“应用程序防护”中实现主机浏览器和容器之间的收藏夹同步。 从 Microsoft Edge 版本 91 开始,用户现在可以选择配置“应用程序防护”以将其收藏夹从主机同步到容器。 这确保了容器上也可显示新的收藏夹。

可通过策略控制此支持。 可以更新 Edge 策略 ApplicationGuardFavoritesSyncEnabled 以启用或禁用收藏夹同步。

备注

出于安全原因,收藏夹同步仅可从主机同步到容器,而不无法反过来同步。 为了确保在主机和容器之间有一个统一的收藏夹列表,我们已在容器内禁用了收藏夹管理。

标识源自容器的网络流量

多个客户在特定配置中使用 WDAG,他们想要识别来自容器的网络流量。 其中的一些方案包括:

  • 若要限制仅访问少数几个不受信任的网站
  • 仅允许从容器中访问 Internet

从 Microsoft Edge 版本 91 开始,内置支持对来自“应用程序防护”容器的网络流量进行标记,允许企业使用代理筛选掉流量并应用特定的策略。 可以使用标头来标识哪些流量通过容器或主机使用 ApplicationGuardTrafficIdentificationEnabled

容器内的扩展支持

容器内的扩展支持是客户的首要请求之一。 场景范围从希望在容器内运行广告拦截器以提高浏览器性能,到能够在容器内运行自定义的本地扩展。

从 Microsoft Edge 版本 81 开始,现在支持在容器中安装扩展。 可通过策略控制此支持。 在 ExtensionInstallForcelist 策略中使用的 updateURL 应作为中性资源添加到应用程序防护使用的网络隔离策略中。

容器支持的一些示例包括以下场景:

  • 强制在主机上安装扩展
  • 从主机中删除扩展
  • 主机上阻止的扩展

备注

也可以从扩展存储区中手动将单个扩展安装在容器内。 手动安装的扩展仅在启用“允许持久性”策略时才保留在容器中。

通过双代理识别应用程序防护流量

一些企业客户正在部署适用于特定用例的应用程序防护,他们需要识别来自 Microsoft Defender 应用程序防护容器的代理级别 web 流量。 从稳定渠道版本 84 开始,Microsoft Edge 将支持双代理来满足这一要求。 可使用 ApplicationGuardContainerProxy 策略配置此功能。

下图显示了 Microsoft Edge 双代理的体系结构。

应用程序防护的双代理体系结构

用于故障排除的诊断页面

用户的另一个痛点是在报告问题后对设备上的应用程序防护配置进行故障排除。 Microsoft Edge 有一个诊断页面 (edge://application-guard-internals),用于对用户问题进行故障排除。 其中一个诊断功能是可以根据用户设备上的配置检查 URL 信任。

下一个屏幕截图显示了多选项卡诊断页面,用于帮助诊断用户在设备上报告的问题。

应用程序防护诊断页面

容器中的 Microsoft Edge 更新

容器中的 Microsoft Edge 旧版更新是 Windows 操作系统更新周期的一部分。 由于新版本的 Microsoft Edge 更新独立于 Windows 操作系统,因此不再依赖于容器更新。 主机 Microsoft Edge 的频道和版本可在容器内复制。

必备条件

以下要求适用于将应用程序防护与 Microsoft Edge 配合使用的设备:

  • Windows 10 1809 (RS5) 及更高版本。

  • 仅 Windows 客户端 SKU

    备注

    应用程序防护仅在 Windows 10 专业版和 Windows 10 企业版 SKU 上受支持。

  • 软件要求中介绍的管理解决方案之一

如何安装应用程序防护

以下文章提供了使用 Microsoft Edge 安装、配置和测试应用程序防护所需的信息。

常见问题

应用程序防护是否可在 IE 模式下工作?

IE 模式支持应用程序防护功能,但我们预计不会在 IE 模式下过多地使用此功能。 建议为受信任的内部站点列表部署 IE 模式,而应用程序保护仅针对不受信任的站点。 确保所有 IE 模式的网站或 IP 地址也添加到网络隔离策略中,以便应用程序防护将其视为受信任的资源。

是否需要安装应用程序防护 Chrome 扩展?

否,Microsoft Edge 本身支持应用程序防护功能。 实际上,应用程序防护 Chrome 扩展配置在 Microsoft Edge 中不受支持。

员工是否可以将应用程序防护 Edge 会话中的文档下载到主机设备上?

在 Windows 10 企业版 版本 1803 中,用户能够将文档从隔离的 Application Guard 容器下载到主机电脑。 此功能由策略管理。

在 Windows 10 企业版 版本 1709 或 Windows 10 Professional 版本 1803 中,无法将文件从隔离的 Application Guard 容器下载到主计算机。 但是,员工可以使用打印为 PDF 或打印为 XPS 选项并将这些文件保存至主机设备。

员工是否可以在主机设备与应用程序防护 Edge 会话之间进行复制和粘帖操作?

根据组织的设置,员工可以将图像 (.bmp) 和文本复制和粘贴到独立容器中和从中粘贴。

为什么员工在 Application Guard Edge 会话中看不到他们的最爱?

根据组织的设置,可能已关闭收藏夹同步。 若要管理策略,请参阅:Microsoft Edge 和 Microsoft Defender 应用程序防护 |Microsoft Docs。

为什么员工无法在 Application Guard Edge 会话中查看其扩展?

确保在 Application Guard 配置上启用扩展策略。

我的扩展似乎在 Edge Application Guard 中不起作用?

如果在配置中为 MDAG 启用了扩展策略,请检查扩展是否需要本机消息处理组件,应用程序防护容器中不支持这些扩展。

我尝试使用 HDR 观看播放视频,为什么缺少 HDR 选项?

若要在容器中运行 HDR 视频播放,需要在 Application Guard 中启用 vGPU 硬件加速。

是。 常见问题 - Microsoft Defender 应用程序防护

另请参阅