Supporto di Microsoft Edge per Microsoft Defender Application Guard

Importante

Microsoft Defender Application Guard, incluse le API di avvio delle app isolate di Windows, è deprecata per Microsoft Edge for Business e non verrà più aggiornata. A partire da Windows 11, versione 24H2, Microsoft Defender Application Guard, incluse le API di avvio delle app isolate di Windows, non è più disponibile.

Installazioni esistenti di Application Guard

Questa deprecazione non influisce sulle installazioni esistenti di Microsoft Defender Application Guard (MDAG). Le organizzazioni possono continuare a usare Application Guard nelle versioni correnti di Windows, ma è consigliabile che gli amministratori della sicurezza valutino i requisiti di sicurezza in futuro. Questa funzionalità potrebbe essere rimossa in una versione futura di Windows, ma continuerà a essere mantenuta per le installazioni esistenti in Windows.

Considerazioni sulla deprecazione

La deprecazione include gli elementi seguenti di Application Guard.

  • Se l'organizzazione richiede l'isolamento basato su contenitori, è consigliabile Sandbox di Windows o Desktop virtuale Azure (AVD).
  • Poiché Application Guard è deprecato, non verrà eseguita una migrazione al manifesto edge V3. Le estensioni corrispondenti e l'app di Windows Store associata non saranno disponibili dopo maggio 2024. Ciò influisce sui browser seguenti: Chrome e Firefox. Se si vuole bloccare i browser non protetti fino a quando non si è pronti per ritirare l'utilizzo di MDAG nell'organizzazione, è consigliabile usare i criteri di AppLocker o il servizio di gestione Di Microsoft Edge.

Suggerimento

Scaricare il white paper sulla sicurezza Microsoft Edge for Business per altre informazioni sulle funzionalità che rendono Edge for Business un browser aziendale sicuro.

Le funzionalità di sicurezza aggiuntive in Edge lo rendono molto sicuro senza dover Application Guard. L'elenco crescente di funzionalità di sicurezza include:

  • Defender SmartScreen per il supporto anti-phishing e malware e l'analisi e il blocco degli URL.
  • Modalità di sicurezza avanzata per la protezione dalle vulnerabilità correlate alla memoria disabilitando la compilazione JavaScript JIT (e altre protezioni).
  • Protezione degli errori di digitazione del sito Web per i siti Web con errori di ortografia.
  • Prevenzione della perdita dei dati per identificare, monitorare e proteggere automaticamente gli elementi sensibili.

Panoramica

Questo articolo descrive come Microsoft Edge supporta Microsoft Defender Application Guard (Application Guard).

Gli architetti della sicurezza nell'organizzazione devono gestire la tensione esistente tra produttività e sicurezza. È relativamente facile bloccare un browser e consentire solo il caricamento di pochi siti attendibili. Questo approccio migliorerà le condizioni di sicurezza complessive, ma è verosimilmente meno produttivo. Rendendolo meno restrittivo al fine di migliorare la produttività, si aumenta il profilo di rischio. Si tratta di un equilibrio difficile da trovare.

È ancora più difficile stare al passo con le nuove minacce emergenti in questo scenario di minaccia in continuo cambiamento. I browser restano la superficie di attacco principale nei dispositivi client, perché la loro attività di base è quella di consentire agli utenti di accedere, scaricare e aprire contenuto non attendibile da origini non attendibili. Gli autori di minacce sono costantemente al lavoro per creare nuove forme di ingegneria sociale al fine di attaccare il browser. La prevenzione degli incidenti di sicurezza o le strategie di rilevamento/risposta non possono garantire la sicurezza al 100%.

Una delle principali strategie di sicurezza da considerare è la Assume Breach Methodology, ossia la metodologia di presunzione di violazione, che implica l'accettazione della riuscita di un attacco almeno una volta nonostante gli sforzi per impedirlo. Questo presupposto richiede la creazione di difese che contengano il danno, in modo che la rete aziendale e altre risorse rimangano protette in questo scenario. La distribuzione di Application Guard per Microsoft Edge si adatta perfettamente a questa strategia.

Informazioni su Application Guard

Progettato per Windows 10/11 e Microsoft Edge, Application Guard usa un approccio di isolamento hardware. che consente di avviare gli spostamenti nei siti non attendibili all'interno di un contenitore. L'isolamento hardware consente alle organizzazioni di proteggere la rete e i dati aziendali nel caso in cui gli utenti visitino un sito che è compromesso o dannoso.

L'amministratore dell'organizzazione definisce quali sono i siti, le risorse del cloud e le reti interne attendibili. Tutto ciò che non è incluso nell'elenco dei siti attendibili viene considerato non attendibile. Questi siti sono isolati dalla rete e dai dati aziendali nel dispositivo dell'utente.

Per ulteriori informazioni:

Lo screenshot seguente mostra un esempio di messaggio di Application Guard che indica che l'utente sta navigando in uno spazio sicuro.

Messaggio di esplorazione sicura di Application Guard

Novità

Application Guard supporto nel nuovo browser Microsoft Edge ha parità funzionale con Versione legacy di Microsoft Edge e include diversi miglioramenti.

Abilitare il blocco del caricamento

A partire da Microsoft Edge 96, gli amministratori hanno ora la possibilità di bloccare i caricamenti mentre si trova nel contenitore, il che significa che gli utenti non possono caricare file dal dispositivo locale nell'istanza di Application Guard. Il supporto può essere controllato tramite criterio. È possibile aggiornare il criterio Edge ApplicationGuardUploadBlockingEnabled per abilitare o disabilitare i caricamenti nel contenitore.

Abilitare Application Guard in modalità passiva ed esplorare Edge normalmente

A partire da Microsoft Edge 94, gli utenti hanno ora la possibilità di configurare la modalità passiva, il che significa che Application Guard ignora la configurazione dell'elenco di siti e gli utenti possono esplorare Edge normalmente. Il supporto può essere controllato tramite criterio. È possibile aggiornare il criterio Edge ApplicationGuardPassiveModeEnabled per abilitare o disabilitare la modalità passiva.

Nota

Questo criterio influisce SOLO su Edge, quindi gli spostamenti da altri browser potrebbero essere reindirizzati al contenitore Application Guard se sono abilitate le estensioni corrispondenti.

Sincronizzazione dei Preferiti dall'host al contenitore

Alcuni clienti hanno chiesto la sincronizzazione dei Preferiti tra il browser host e il contenitore in Application Guard. A partire da Microsoft Edge 91, gli utenti hanno ora la possibilità di configurare Application Guard in modo da sincronizzare i Preferiti dall'host al contenitore. Questo assicura che anche i nuovi Preferiti vengano visualizzati nel contenitore.

Il supporto può essere controllato tramite criterio. È possibile aggiornare il criterio di Microsoft Edge ApplicationGuardFavoritesSyncEnabled per abilitare o disabilitare la sincronizzazione dei Preferiti.

Nota

Per motivi di sicurezza, la sincronizzazione dei Preferiti è possibile solo dall'host al contenitore e non viceversa. Per garantire un elenco unificato dei Preferiti nell'host e nel contenitore, è stata disabilitata la gestione dei Preferiti all'interno del contenitore.

Identificazione del traffico di rete proveniente dal contenitore

Diversi clienti usano WDAG in una configurazione specifica in cui desiderano identificare il traffico di rete proveniente dal contenitore. Di seguito sono riportati alcuni degli scenari in cui questo può essere utile:

  • Per limitare l'accesso solo a pochi siti non attendibili
  • Per consentire l'accesso a Internet solo dal contenitore

A partire da Microsoft Edge versione 91, è disponibile il supporto integrato per contrassegnare il traffico di rete proveniente da contenitori Application Guard, consentendo alle aziende di usare il proxy per filtrare il traffico e applicare criteri specifici. È possibile usare l'intestazione per identificare il traffico che proviene dal contenitore o dall'host usando ApplicationGuardTrafficIdentificationEnabled.

Supporto dell'estensione all'interno del contenitore

Il supporto per l'estensione all'interno del contenitore è una delle principali richieste dei clienti. Gli scenari sono diversi, da quelli che vogliono eseguire il blocco di annunci all'interno del contenitore per aumentare le prestazioni del browser per poter eseguire estensioni personalizzate nel contenitore.

Sono ora supportate le installazioni di estensione nel contenitore, a partire da Microsoft Edge versione 81. Il supporto può essere controllato tramite criterio. Le updateURL usate nel criterio di ExtensionInstallForcelist devono essere aggiunte come Risorse neutre ai criteri di Isolamento della rete usati da Application Guard.

Alcuni esempi di supporto contenitore includono gli scenari seguenti:

  • Forzare le installazioni di un'estensione nell'host
  • Rimozione di un'estensione dall'host
  • Estensioni bloccate nell'host

Nota

È anche possibile installare manualmente singole estensioni all'interno del contenitore dall'archivio estensioni. Le estensioni installate manualmente verranno conservate nel contenitore solo se è abilitato il criterio Consenti il salvataggio permanente.

Identificazione traffico Application Guard via proxy doppio

Alcuni clienti aziendali stanno distribuendo Application Guard con un caso specifico di utilizzo in cui è necessario identificare il traffico Web in uscita da un contenitore Microsoft Defender Application Guard a livello di proxy. A partire da Stable Channel versione 84, Microsoft Edge supporterà il doppio proxy per soddisfare questo requisito. Questa funzionalità può essere configurata usando i criteri di ApplicationGuardContainerProxy.

Il disegno seguente mostra la doppia architettura proxy per Microsoft Edge.

Doppia architettura proxy per Application Guard

Pagina di diagnostica per la risoluzione dei problemi

Un altro aspetto che desta maggiori preoccupazioni per l'utente è la risoluzione dei problemi relativi alla configurazione di Application Guard in un dispositivo quando viene segnalato un problema. Microsoft Edge include una pagina di diagnostica (edge://application-guard-internals) per risolvere i problemi degli utenti. Una di queste diagnostiche riesce a controllare l'URL trust in base alla configurazione nel dispositivo dell'utente.

Lo screenshot seguente mostra una pagina di diagnostica con più schede che consente di diagnosticare i problemi segnalati dall'utente nel dispositivo.

Pagina di diagnostica di Application Guard

Aggiornamenti di Microsoft Edge nel contenitore

Gli aggiornamenti della versione legacy di Microsoft Edge nel contenitore fanno parte del ciclo di aggiornamento del sistema operativo Windows. Dato che la nuova versione di Microsoft Edge si aggiorna indipendentemente dal sistema operativo Windows, non esiste più la dipendenza dagli aggiornamenti del contenitore. Il canale e la versione dell'host Microsoft Edge vengono replicati all'interno del contenitore.

Prerequisiti

I requisiti seguenti si applicano ai dispositivi che usano Application Guard con Microsoft Edge:

  • Windows 10 1809 (Aggiornamento di Windows 10 (ottobre 2018)) e versioni successive.

  • Solo SKU dei client Windows.

    Nota

    Application Guard è supportato solo in SKU Pro e Windows 10/11 Enterprise Windows 10/11.

  • Una delle soluzioni di gestione descritte nei Requisiti software

Come installare Application Guard

Gli articoli seguenti forniscono le informazioni necessarie per installare, configurare e testare Application Guard con Microsoft Edge.

Domande frequenti

La Application Guard è deprecata?

Sì, Microsoft Defender Application Guard, incluse le API di avvio delle app isolate di Windows, verranno deprecate per Microsoft Edge for Business e non verranno più aggiornate.

Application Guard funziona in modalità IE?

La modalità IE supporta la funzionalità Application Guard, ma non prevediamo un uso molto importante di questa funzionalità in modalità IE. È consigliabile distribuire la modalità IE per un elenco di siti interni attendibili e usare Application Guard solo per i siti non attendibili. Assicurarsi che tutti i siti o gli indirizzi IP in modalità Internet Explorer vengano aggiunti anche ai criteri di isolamento della rete da considerare come risorsa attendibile da Application Guard.

È necessario installare l'estensione Application Guard per Chrome?

No, la funzionalità Application Guard è supportata in modo nativo in Microsoft Edge. In effetti, l'estensione Application Guard per Chrome non è una configurazione supportata in Microsoft Edge.

I dipendenti possono scaricare documenti dalla sessione Edge di Application Guard nei dispositivi host?

In Windows 10 Enterprise edizione 1803 gli utenti possono scaricare documenti dal contenitore di Application Guard isolato nel PC host. Questa funzionalità è gestita dai criteri.

In Windows 10 Enterprise versione 1709 o Windows 10 Professional versione 1803 non è possibile scaricare i file dal contenitore Application Guard isolato nel computer host. Tuttavia, i dipendenti possono usare le opzioni Stampa su PDF o Stampa su XPS e salvare i file nel dispositivo host.

I dipendenti possono copiare e incollare tra il dispositivo host e la sessione Edge di Application Guard?

A seconda delle impostazioni dell'organizzazione, i dipendenti possono copiare e incollare immagini (.bmp) e testo da e verso il contenitore isolato.

Perché i dipendenti non vedono i preferiti nella sessione Application Guard Edge?

A seconda delle impostazioni dell'organizzazione, potrebbe essere disattivata la sincronizzazione preferiti. Per gestire i criteri, vedere: Microsoft Edge e Microsoft Defender Application Guard | Microsoft Docs.

Perché i dipendenti non sono in grado di visualizzare le estensioni nella sessione Application Guard Edge?

Assicurarsi di abilitare i criteri delle estensioni nella configurazione Application Guard.

La mia estensione non sembra funzionare in Edge Application Guard?

Se i criteri delle estensioni sono abilitati per MDAG nella configurazione, verificare se l'estensione richiede componenti di gestione dei messaggi nativi, tali estensioni non sono supportate nel contenitore Application Guard.

Sto cercando di watch video di riproduzione con HDR, perché manca l'opzione HDR?

Affinché la riproduzione video HDR funzioni nel contenitore, l'accelerazione hardware vGPU deve essere abilitata in Application Guard.

Sì. Domande frequenti: Microsoft Defender Application Guard

Vedere anche