注意
- Microsoft Defender 應用程式防護,包括 Windows 隔離應用程式啟動器 API,將會淘汰 商務用 Microsoft Edge,且將不再更新。 請下載 商務用 Microsoft Edge 安全性白皮書 ,以深入瞭解商務用 Edge 安全性功能。
- 因為 應用程式防護 已被取代,所以不會移轉至Edge指令清單 V3。 2024 年 5 月之後將無法使用對應的擴充功能和相關聯的 Windows 市集應用程式 。 這會影響下列瀏覽器:應用程式防護 延伸模組 - Chrome 和 應用程式防護 延伸模組 - Firefox。 如果您想要封鎖未受保護的瀏覽器,直到您準備好淘汰企業中的 MDAG 使用量為止,建議您使用 AppLocker 原則或 Microsoft Edge 管理服務。 如需詳細資訊,請參閱 Microsoft Edge 和 Microsoft Defender 應用程式防護。
本文列出常見問題,並提供 Microsoft Defender 應用程式防護 (應用程式防護) 的解答。 問題涵蓋功能、與 Windows 作業系統整合,以及一般設定。
常見問題集
我可以在配備 4 GB RAM 的電腦上啟用 應用程式防護 嗎?
我們建議使用 8 GB RAM 以獲得最佳效能,但您可以使用下列登錄 DWORD 值,在不符合建議硬體設定的電腦上啟用 應用程式防護。
HKLM\software\Microsoft\Hvsi\SpecRequiredProcessorCount (預設值為四個 cores.)
HKLM\software\Microsoft\Hvsi\SpecRequiredMemoryInGB (預設值為8 GB.)
HKLM\software\Microsoft\Hvsi\SpecRequiredFreeDiskSpaceInGB (預設值為5 GB.)
我的網路設定使用 Proxy,而我遇到「無法從 MDAG 瀏覽器解析外部 URL:錯誤:err_connection_refused」。 如何? 解決嗎?
手動或 PAC 伺服器必須是主機名, (不是網站清單上中性的 IP) 。 此外,如果 PAC 腳本傳回 Proxy,就必須符合這些相同的需求。
若要確保 「PAC 檔案」和「PAC 檔案重新導向的 Proxy 伺服器」 (完整功能變數名稱) 的 FQDN 會新增為 應用程式防護 所使用網路隔離原則中的中性資源,您可以:
- 移至 [檢查 URL 信任] 字段中的 pac/proxy edge://application-guard-internals/#utilities 並輸入 FQDN,並確認其顯示為 「中性」,以確認新增此專案。
- 它必須是 FQDN。 簡單的IP位址將無法運作。
- 如果可能的話,應該從 應用程式防護 所使用之網路隔離原則中的企業IP範圍中移除與裝載上述伺服器相關聯的IP位址。
如何? 設定 Microsoft Defender 應用程式防護 以使用我的網路 Proxy (IP 常值位址) ?
應用程式防護 需要 Proxy 具有符號名稱,而不只是IP位址。 IP-Literal Proxy 設定,例如 192.168.1.4:81 ,可以標註為 itproxy:81 或使用記錄,例如 P19216810010 IP位址為的 192.168.100.10Proxy。 此註釋適用於 Windows 10 企業版 版本 1709 或更新版本。 這些註釋適用於 群組原則 或 Intune 中網路隔離下的 Proxy 原則。
不支援在 19H1 中 (IME) 的哪些輸入法編輯器?
Microsoft Defender 應用程式防護 目前不支援 Windows 10 1903 版中導入的下列輸入法 (輸入法) :
- 越南 Telex 鍵盤
- 越南按鍵式鍵盤
- 印度文注音鍵盤
- 孟加拉國文注音鍵盤
- Marathi 注音鍵盤
- Telugu 注音鍵盤
- 坦米文注音鍵盤
- Kannada 注音鍵盤
- 馬來亞蘭文注音鍵盤
- 古吉拉提文注音鍵盤
- Odia 注音鍵盤
- 旁遮普文注音鍵盤
我在 Windows 10 企業版 1803 版部署上啟用了硬體加速原則。 為什麼我的使用者仍然只會取得 CPU 轉譯?
這項功能目前僅供實驗性使用,若沒有 Microsoft 提供的額外登錄機碼,則無法運作。 如果您想要在部署 Windows 10 企業版 1803 版時評估此功能,請連絡 Microsoft,我們將與您合作以啟用此功能。
什麼是 WDAGUtilityAccount 本機帳戶?
WDAGUtilityAccount 是 應用程式防護 的一部分,從 Windows 10 版本 1709 開始, (Fall Creators Update) 。 除非在您的裝置上啟用 應用程式防護,否則預設會保持停用狀態。 WDAGUtilityAccount 可用來以具有隨機密碼的標準使用者身分登入 應用程式防護 容器。 這不是惡意帳戶。 它需要 以服務方式登入權 限,才能正確運作。 如果拒絕此許可權,您可能會看到下列錯誤:
錯誤:0x80070569、Ext 錯誤:0x00000001;RDP:錯誤:0x00000000、Ext 錯誤:0x00000000位置:0x00000000
如何? 信任我的網站清單中的子域嗎?
若要信任子域,您必須在網域前面加上兩個點 (。。) 。 例如: ..contoso.com 確保 mail.contoso.com 或 news.contoso.com 是受信任的。 第一個點代表郵件或新聞) (子域名稱的字串,而第二個點會辨識功能變數名稱的開頭 (contoso.com) 。 這兩個點可防止這類網站 fakesitecontoso.com 受到信任。
在 Windows Pro 與 Windows Enterprise 上使用 應用程式防護 有差異嗎?
使用 Windows Pro 或 Windows 企業版時,您可以存取在獨立模式中使用 應用程式防護。 不過,使用 Enterprise 時,您可以存取 Enterprise-Managed 模式 應用程式防護。 此模式有一些獨立模式沒有的額外功能。 如需詳細資訊,請參閱準備安裝 Microsoft Defender 應用程式防護。
我需要設定的網域清單是否有大小限制?
是,裝載於雲端的企業資源網域和分類為公司和個人的網域都有 1,6383 位元組的限制。
為什麼我的加密驅動程式會中斷 Microsoft Defender 應用程式防護?
Microsoft Defender 應用程式防護 從裝載於主機上的 VHD 存取需要在安裝期間寫入的檔案。 如果加密驅動程式防止掛接或寫入 VHD,應用程式防護 將無法運作,並導致錯誤訊息 (0x80070013 ERROR_WRITE_PROTECT) 。
為什麼 群組原則 和 CSP 中的網路隔離原則看起來不同?
CSP 與 GP 之間的所有網路隔離原則之間沒有一對一的對應。 CSP 和 GP 之間部署 應用程式防護 的強制網路隔離原則不同。
部署 應用程式防護 的強制網路隔離 GP 原則:DomainSubnets 或 CloudResources
部署 應用程式防護 的強制網路隔離 CSP 原則:EnterpriseCloudResources 或 (EnterpriseIpRange 和 EnterpriseNetworkDomainNames)
對於 EnterpriseNetworkDomainNames,沒有對應的 CSP 原則。
應用程式防護 會從裝載於主機上的 VHD 存取需要在安裝期間寫入的檔案。 如果加密驅動程式防止掛接或寫入 VHD,應用程式防護 將無法運作,並導致錯誤訊息 (0x80070013 ERROR_WRITE_PROTECT) 。
當我關閉超線程之後,為什麼 應用程式防護 停止運作?
如果因為透過 KB 發行項或透過 BIOS 設定) 套用更新, (停用超線程,則 應用程式防護 可能不再符合最低需求。
為什麼我會收到錯誤訊息「ERROR_VIRTUAL_DISK_LIMITATION」?
應用程式防護 可能無法在NTFS壓縮磁碟區上正常運作。 如果此問題持續發生,請嘗試取消壓縮磁碟區。
為什麼我在無法連線到 PAC 檔案之後收到「ERR_NAME_NOT_RESOLVED」錯誤訊息?
這是已知的問題。 若要減輕此問題,您必須建立兩個防火牆規則。 如需使用 群組原則 建立防火牆規則的相關信息,請參閱使用組策略設定 Windows 防火牆規則
DHCP 伺服器 (的第一個規則)
程式路徑:
%SystemRoot%\System32\svchost.exe本地服務:
Sid: S-1-5-80-2009329905-444645132-2728249442-922493431-93864177 (Internet Connection Service (SharedAccess))通訊協定 UDP
埠 67
第二個規則 (DHCP 用戶端)
此規則與第一個規則相同,但範圍為本機埠 68。 在 Microsoft Defender 防火牆使用者介面中,執行下列步驟:
以滑鼠右鍵按下輸入規則,然後建立新的規則。
選擇 自訂規則。
指定下列程序路徑:
%SystemRoot%\System32\svchost.exe。指定下列設定:
- 通訊協定類型:UDP
- 特定埠:67
- 遠端埠:任何
指定任何IP位址。
允許連線。
指定 以使用所有設定檔。
新的規則應該會顯示在使用者介面中。 以滑鼠右鍵按下 規則>屬性。
在 [ 程序和服務] 索引 標籤的 [ 服務 ] 區段下,選取 [設定]。
選擇 [套用至此服務] ,然後選 取 [因特網聯機共用 (ICS) 共用存取]。
如何在不中斷 應用程式防護 的情況下停用部分因特網連線服務 (ICS) ?
預設會在 Windows 中啟用 ICS,而且必須啟用 ICS,應用程式防護 才能正確運作。 我們不建議停用ICS;不過,您可以使用 群組原則 和編輯登錄機碼,部分停用ICS。
在 [群組原則] 設定中,[禁止在 DNS 網域網络上使用因特網聯機共用] 設定為 [已停用]。
停用ICS載入 IpNat.sys,如下所示:
System\CurrentControlSet\Services\SharedAccess\Parameters\DisableIpNat = 1設定要啟用的ICS (SharedAccess) ,如下所示:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Start = 3(此步驟是停用IPNAT) 選擇性步驟,如下所示:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPNat\Start = 4將裝置重新開機。
為什麼啟用裝置控制原則時,容器不會完全載入?
允許列出的項目必須在 群組原則 物件中設定為「允許」,以確保 AppGuard 正常運作。
原則:允許安裝符合下列任一裝置標識符的裝置:
SCSI\DiskMsft____Virtual_Disk____{8e7bd593-6e6c-4c52-86a6-77175494dd8e}\msvhdhbaVMS_VSFroot\Vpcivsproot\VMBusvms_mpVMS_VSPROOT\VKRNLINTVSPROOT\VIDroot\storvspvms_vsmpVMS_PP
原則:允許使用符合這些裝置安裝類別的驅動程式來安裝裝置
{71a27cdd-812a-11d0-bec7-08002be2092f}
我遇到 TCP 片段問題,無法啟用我的 VPN 連線。 如何? 修正此問題嗎?
使用預設交換器或 Docker NAT 網路時,WinNAT 會卸除封包大於 MTU 的 ICMP/UDP 訊息。 已在 KB4571744中新增此解決方案的支援。 若要修正此問題,請依照下列步驟安裝更新並啟用修正:
請確定此登錄設定中的 FragmentAware DWORD 設定為 1:
\Registry\Machine\SYSTEM\CurrentControlSet\Services\Winnat。將裝置重新開機。
_Allow組策略中的 [應用程式Guard_] 選項中開啟的檔案,Microsoft Defender _Allow信任開啟的檔案有何作用?
此原則存在於 2004 版之前的 Windows 10 中。 它已從更新版本的 Windows 中移除,因為它不會對 Edge 或 Office 強制執行任何動作。
如何? 開啟 Microsoft Defender 應用程式防護 的支援票證嗎?
- 請流覽 Create 新的支援要求。
- 在 [產品系列] 底下,選取 [Windows]。 選取您需要協助的產品和產品版本。 針對最能描述問題的類別,請選取 [Windows 安全性 Technologies]。 在最後一個選項中,選取 [Windows Defender 應用程式防護]。
在流覽至不受信任的網站時,是否有方法可以啟用或停用主機 Edge 索引標籤自動關閉的行為?
是。 使用此 Edge 旗標來啟用或停用此行為: --disable-features="msWdagAutoCloseNavigatedTabs"