共用方式為

防止安全工具阻擋 WebView2 所託管的應用程式

這些是 IT 管理員和安全軟體供應商的最佳實務,確保安全工具不會阻擋 WebView2 應用程式的功能或導致 WebView2 託管的應用程式當機。

IT 管理員與安全軟體供應商應採用以下實務與程序來配置環境與安全工具,以避免破壞 WebView2 的多程序架構。

詳細內容:

安全工具用於設定

適當配置的安全工具包括:

  • 防毒軟體 (防毒) 工具。
  • 資料遺失防護 (DLP) 工具。
  • 端點偵測與回應 (EDR) 工具。

企業安全工具還包括:

  • 傳輸層安全 (TLS) 檢查。

企業組設定問題的症狀

企業安全工具若未遵循以下最佳實務,可能會透過以下方式干擾 WebView2 的多程序架構:

  • 阻擋子程序。
  • 緊縮資料夾存取控制列出 (ACL) 。
  • ) DLL 注入動態連結函式庫 (

當發生此類中斷時,WebView2 所託管的體驗可能會出現空白畫面、凍結或無法初始化。

請參閱:

如有需要,更新企業安全政策

WebView2 尊重所有企業安全政策。

如果有任何工具或政策無法載入部分 WebView2 DLL,企業 IT 管理員需要更新企業安全政策。

WebView2 並未實作應用程式專屬的邏輯。

允許列出 WebView2 執行環境及應用程式的主機執行檔

允許列出 WebView2 執行時 (msedgewebview2.exe) 及應用程式的主機執行檔。

請參閱:

偏好出版商規則。

請參閱:

執行時初始化被阻擋

問題:

  • 可能會有初始化錯誤,例如 E_FAIL。 此時 WebView2 控制項無法初始化,應用程式內容也無法載入。

  • 執行時初始化會被阻擋,適用於以下任一工具:

    • Windows Defender 應用程式控制 (WDAC) 。

    • AppLocker 拒絕規則;明確阻止執行的政策。

    • 存取控制 列出 (已加強至預設設定之外的 ACL) ;權限被設為比作業系統預設更嚴格。

徵狀

  • TLS (傳輸層安全性) 錯誤,例如 ERR_CERT_*

  • 當啟用傳輸層安全 (TLS) 檢查時,發生的登入重定向失敗。

  • 立即初始化錯誤。

  • 沒有子程序。

  • 視野一片空白。

解決方案

允許列出 WebView2 執行時 (msedgewebview2.exe) 與主機執行檔。

請參閱:

請使用出版商的規則。

請參閱:

恢復預設存取控制清單 (ACL) 。

請參閱:

保留預設存取控制清單 (ACL) 在執行時資料夾中

不要修改 Windows 預設的 存取控制 清單 (ACL) ,這些 Windows 設定在 WebView2 執行時資料夾上。

若安全工具修改 WebView2 執行時資料夾的 ACL,這些沙盒程序可能會失去讀取與執行執行時二進位檔的權限,可能導致空白畫面、初始化失敗或當機。

請參閱:

在執行時資料夾中保留低完整性等級 (LowIL)

不要在 WebView2 執行時資料夾中修改低完整性等級 (LowIL) 設定。 WebView2 以低完整性層級執行渲染程序,以限制其對系統資源的存取。

低完整性層級程序 (LowIL) 必須能夠讀取並執行 WebView2 執行時的二進位檔。

低完整性等級 (LowIL) 是一種 Windows 安全機制,限制程序寫入較高完整性物件的能力, (如大多數使用者設定檔和系統位置) 。 WebView2 渲染程序以低 IL 運行,以減少被入侵程序的影響。

請參閱:

在應用程式的使用者資料資料夾 (UDF) 保留預設存取控制清單 (ACL)

不要修改 Windows 在應用程式使用者資料資料夾 (UDF) 設定的預設 存取控制 清單 (ACL) 。 修改這些 ACL 可能會阻礙 LowIL 和 AppContainer 程序正常運作。

AppContainer 是更嚴格的 Windows 沙盒,限制程序只能存取明確授權的資源。 在支援的作業系統版本中,WebView2 可能會在 AppContainer中執行渲染程序以增加隔離。

他們 LowIL/AppContainer 必須獲得以下許可:

  • 讀取並執行 WebView2 執行時。

  • 寫入 UDF) (使用者資料資料夾。

WebView2 會以低完整性等級執行某些子程序 (LowIL) 或沙箱中 AppContainer ,以限制其對系統資源的存取。

這些沙盒流程仍必須具備:

  • 讀取並執行 WebView2 執行時的二進位檔。

  • 寫入應用程式的使用者資料資料夾 (UDF) 。

如果安全工具收緊應用程式使用者資料資料夾 (UDF) ) 的存取控制清單 (ACL,沙盒程序可能會失去所需的存取權限,導致空白畫面、初始化失敗或當機。

由作業系統 (作業系統) 管理的系統位置完全由 Windows 處理,且不得被修改。

請參閱:

授權寫入 UDF (使用者資料資料夾)

給予寫入權限,允許 WebView2 應用程式寫入 UDF) (使用者資料資料夾。

這些寫入 UDF 的信件可來自:

  • 每個應用程式控制資料夾存取 (CFA) 例外。

  • 每個應用程式的資料遺失防護 (DLP) 例外。

網頁內容狀態存放在應用程式的使用者資料資料夾 (UDF) 。 網頁內容狀態包括:

  • 餅乾。
  • Cache。
  • 本地儲存。

請參閱:

登入迴圈;狀態不持續存在;設定不會持續存在;空白首頁

在登入迴圈中,當使用者資料資料夾 (UDF) 寫入被阻擋時,狀態不會被持久化。

解決方案

允許寫入應用程式的使用者資料資料夾;例如使用每個應用程式的受控資料夾存取 (CFA) 例外,或資料遺失防護 (DLP) 例外。

避免將 WebView2 使用者資料資料夾 (UDF) 放在網路共享上。

確保資料遺失防護 (DLP) 政策不會將一般瀏覽器資料 ((如 Cookie、快取或本地儲存) )誤分類為外洩嘗試。 外洩 是指未經授權,將資料從系統、網路或雲端環境轉移到外部目的地,未經許可。

請參閱:

允許執行時資料夾存取、子程序及子程序建立

受眾:安全軟體供應商。

保持 WebView2 執行時資料夾存取不受限制。

允許子程序,不要終止它們。 子程序包括:

  • 渲染器
  • 圖形處理單元 (GPU)
  • 網路
  • 防彈床

保持 WebView2 執行時子程序建立不受限制;許可 Crashpad。

請參閱:

不要將 DLL 注入 WebView2 程序

使用 Microsoft Edge 的安全連接器。

避免動態連結函式庫 (DLL) 注入。

不要將動態連結函式庫 (DLL) 注入 WebView2 程序。 建議改用 Microsoft Edge 的安全連接器。

偏好Microsoft Edge 安全連接器,用於資料遺失防護 (DLP) 、報告或裝置信任。

動態連結函式庫 (DLL) 注入渲染器或圖形處理器 (GPU) 程序會破壞 Chromium 的沙盒模式,且常導致渲染器當機。

安全軟體廠商應使用支援的 Edge 安全連接器,而非低階掛鉤。

請參閱:

當機或凍結

當機或凍結綁定於動態連結函式庫 (DLL) 注入或阻擋渲染器、圖形處理器 (GPU) ,或 Crashpad 時。

請參閱:

內容永遠不會載入

問題:主要程序開始了,但內容始終無法載入,應用程式會當機。

子程序的生成會被阻擋或掛鉤。

解決方案

允許 WebView2 子程序:

  • 渲染器。
  • 圖形處理單元 (GPU) 。
  • 建立人脈。
  • Crashpad。

這些是 WebView2 實例化的子程序。

避免動態連結函式庫 (DLL) 注入。

偏好 Edge 連接器。

請參閱:

避免廣泛且全局性的排除

慢啟動

問題:

  • 由於對 WebView2 執行時及 UDF) (使用者資料資料夾進行深度即時掃描,啟動速度緩慢。
  • 執行導航時會出現短暫的白屏。
  • 積極的即時掃描。
解決方案

在 UDF) (設定 WebView2 執行時二進位檔及使用者資料資料夾的 範圍排除 ;避免廣泛的排除條款。

調整 WebView2 執行時目錄及 UDF) (使用者資料資料夾的掃描,並設定範圍排除。

避免廣泛且全球性的排除。

請參閱:

信任內部代理憑證授權中心(Proxy Certificate Authorities) (CA) ,並允許必要的登入或內容傳遞網路 (CDN) 端點

將TLS) 政策 (傳輸層安全性與以下Chromium對齊:

  • 信任內部代理憑證授權中心 (CA) ;安裝受信任的憑證授權中心 (CA) 。

  • 允許必要的登入端點或其他必需端點。

  • 允許關鍵內容傳遞網路 (CDN) 端點。

在 WebView2 執行時資料夾中保留預設的 存取控制 清單 (ACL) 和低完整性等級 (LowIL) 設定。

  • 低完整性層級程序 (LowIL) 必須能夠讀取並執行 WebView2 執行時的二進位檔。

  • 不要修改作業系統在執行時資料夾中設定的預設 ACL。 WebView2 的沙盒渲染程序以低完整性等級運行,且需要這些權限才能正常運作。

透過簽名信任 WebView2 執行環境

識別並信任 WebView2 執行時 (msedgewebview2.exe) 簽名;允許子程序。

不要修改 Windows 元件從 WebView2 執行時載入的檔案 C:\Windows\System32

不要修改、隔離或替換 Windows 元件直接 C:\Windows\System32載入的 WebView2 執行時二進位檔案。

部分 Windows 元件可能會直接從 C:\Windows\System32載入 WebView2 執行時的二進位檔。 這些二進位檔案由作業系統擁有。

這些作業系統擁有的 WebView2 執行時二進位檔案:

  • 可能跟桌面應用程式使用的 Evergreen WebView2 執行時版本不一樣。

  • 這些服務僅透過 Windows Update 進行,而非透過 WebView2 安裝程式。

對齊傳輸層安全性 (TLS) 檢查與代理設定

徵狀:

  • TLS (傳輸層安全性) 錯誤 (ERR_CERT_* 如) 。

  • 啟用 TLS 檢查時發生的登入重定向失敗。

將傳輸層安全性 (TLS) 檢查與代理設定與基於Chromium的瀏覽器需求對齊。

如果你的環境使用 TLS 檢查,請確保檢查憑證受到作業系統憑證儲存庫的信任。

防火牆或代理伺服器進行 SSL 解密

使用 TLS 檢查的例子是防火牆或代理伺服器進行 SSL 解密。

如果你的環境是透過代理伺服器路由流量,請確保 WebView2 程序能透過代理伺服器抵達所需的端點。

ERR_CERT_* 錯誤

問題:

  • ERR_CERT_* 錯誤。

  • 登入迴圈 (登入迴圈) 。

  • 服務人員失敗。

網路檢查與傳輸層安全性 (TLS) 檢查不一致。

解決方案

安裝企業代理的根憑證授權中心 (CA) ,讓 WebView2 信任攔截的 HTTPS 流量。

確保 WebView2 應用程式所使用的認證端點及內容傳遞網路 (CDN) 端點被明確允許使用。

驗證認證端點及內容傳遞網路 (CDN) 端點。

請參閱:

允許更新 Evergreen WebView2 執行環境

請勿阻擋 Evergreen WebView2 執行時的更新。

允許更新 Evergreen WebView2 執行環境;不要阻擋維修。

Microsoft Edge 服務更新以下版本化子資料夾:

C:\Program Files (x86)\Microsoft\EdgeWebView\Application\<version>\

請參閱:

應用程式只能在較高權限下使用

有一份存取控制清單 (ACL) 與誠信等級不符。

問題:應用程式只能在較高權限下使用。 該應用程式在以下環境中會失敗:

  • 通用 Windows 平台 (UWP) — 在 Windows 應用程式沙盒中執行且權限受限的應用程式。

  • AppContainer — 一個 Windows 安全沙盒,限制程序存取權限僅限於明確授權的資源。

解決方案

WebView2 執行時目錄保留預設 ALL APPLICATION PACKAGES 權限;必須 讀取/執行一個低完整性等級的程序 (LowIL) 。

請參閱:

這包括 下方 C:\Program Files (x86)\Microsoft\EdgeWebView\Application\<version>\的 Evergreen WebView2 執行時路徑,必須保留 ALL APPLICATION PACKAGES 讀取/執行權限。

基於 System32 的 WebView2 執行環境由 Windows 擁有並維護。

基於 System32 的 WebView2 執行時不得被防毒軟體) (防毒軟體、端點偵測與回應 (EDR) 或資料遺失防護 (DLP) 工具修改、替換、隔離或清理。

基於 System32 的 WebView2 執行環境預設 存取控制 列出 (ACL,) 必須完全保留原廠版本。

不要套用 Edge 瀏覽器——只用群組政策

大多數適用於 Microsoft Edge 的群組政策不會影響 WebView2,且不支援的政策可能會破壞 WebView2 的功能。

不要用 Microsoft Edge 僅有的群組政策來影響 WebView2。

檢查症狀與成因的工具

受眾:IT 管理員。

IT 管理員可以使用標準 Windows 工具判斷上述症狀是否由以下原因引起:

  • WebView2 被封鎖。
  • WebView2 無法初始化。
  • WebView2 當機。

工作管理員

在主機應用程式下,確認 WebView2 執行時 (msedgewebview2.exe) 及其子程序是否出現。

子程序包括:

  • 渲染器。
  • 圖形處理單元 (GPU) 。
  • 建立人脈。
  • Crashpad。

若無 WebView2 子程序出現,則因機器啟用以下其中一項,WebView2 執行時或子程序生成將被阻擋:

  • Windows Defender 應用程式控制 (WDAC) 。

  • 端點偵測與回應 (EDR) 。

  • 動態連結函式庫 (DLL) 注入。

如果渲染器 (或圖形處理單元 (GPU) ) 程序短暫出現後消失,以下情況可能就是渲染器 (或圖形處理單元 (GPU) ) 程序終止:

  • 端點偵測與回應 (EDR) 掛鉤。

  • 防毒軟體 (防毒軟體) 掛鉤。

  • 動態連結函式庫 (DLL) 注入。

空白或白色嵌入視窗

如果有空白或白色嵌入視窗,請確保工作管理員中有 WebView2 程序。

請參閱:

事件檢視器

事件檢視器 (Windows 日誌>應用程式/系統) 。

尋找:

  • 應用程式或 WebView2 初始化失敗。

  • Windows Defender 應用程式控制 (WDAC) 或 AppLocker 會阻擋執行 事件。

  • 受控資料夾存取 (CFA) 或資料遺失防護 (DLP) 檔案 寫入拒絕 事件,影響使用者資料資料夾 (UDF) 。

  • 傳輸層安全性 (影響登入流程的 TLS) 、憑證或網路政策失效。

安全日誌

  • 受控資料夾存取 (CFA) 區塊。

  • 資料遺失防護 (DLP) 政策區塊。

  • AppLocker 或 Application Control 的拒絕。 這些通常與登入迴圈、空白畫面或設定無法持續存在等症狀相對應。

診斷、崩潰報告與程序事件

當機報告會儲存在應用程式的使用者資料資料夾 (UDF) EBWebView\Crashpad\reports\

結合當機診斷與程序事件,來對重複失敗進行分流處理。

請參閱:

可靠性監控器

識別渲染器、圖形處理單元 (GPU) 或 Crashpad 程序的反覆當機。

這些流程崩潰與以下相關性:

  • 凍結問題。

  • 螢幕空白的問題。

  • WebView2 執行時不穩定。

工具適用性

受眾:IT 管理員與資安軟體供應商。

各種應用程式都能與 WebView2 互動。 以下是適用於不同 WebView2 形式的說明。

本文適用於以下工具或軟體:

  • Microsoft Edge WebView2 執行環境 (Evergreen 及固定版本) 。

  • 嵌入 WebView2 控制項的 Windows 桌面應用程式。

  • Windows 元件使用 WebView2 來執行 UI 的網頁部分。

  • 非Microsoft防毒軟體、端點偵測與回應 (EDR) 、資料遺失防護 (資料遺失) ,以及代理或傳輸層安全 (TLS) 攔截產品,這些產品可能干擾 WebView2 程序。

請參閱:

解決效能問題

受眾:IT 管理員與資安軟體供應商。

使用本節:

  1. IT 管理員會利用這些資訊找出他們在應用程式中啟動或使用 WebView2 時遇到的問題,並找出是哪款安全軟體造成了問題。

  2. IT 管理員會聯絡安全軟體供應商。

  3. 安全軟體供應商會利用這些內容來判斷他們需要做些什麼,以確保 WebView2 不會被封鎖。

大量掃描或連接程序會拖慢啟動與頁面載入速度。

相反地,應對 WebView2 執行時的二進位檔和使用者資料資料夾 (UDF) 使用有範圍的排除,而非選擇廣泛且高風險的停用。

將子程序視為瀏覽器程序;避免終止此類子程序。

子程序包括:

  • 渲染器。
  • 圖形處理單元 (GPU) 。
  • 建立人脈。
  • Crashpad。

不要讓 Crashpad 或圖形處理單元 (GPU) 程序結束,因為它們對穩定性和渲染至關重要。

請參閱:

WebView2 為何會出現在企業工作負載中

受眾:IT 管理員與資安軟體供應商。

許多 Microsoft 365 AppsWindows 功能使用 WebView2 來提供現代且一致的使用者介面。

例如,Outlook 功能依賴 WebView2 執行環境來運作。

Windows 搜尋的部分使用者介面使用 WebView2。

請參閱:

另請參閱

Learn.microsoft.com:

外部:

  • Last updated on