Nota
- Microsoft Defender Application Guard, incluse le API di avvio delle app isolate di Windows, è deprecata per Microsoft Edge for Business e non verrà più aggiornata. Per altre informazioni sulle funzionalità di sicurezza di Microsoft Edge, vedere Sicurezza di Microsoft Edge for Business.
- A partire da Windows 11, versione 24H2, Microsoft Defender Application Guard, incluse le API di avvio delle app isolate di Windows, non è più disponibile.
- Poiché Application Guard è deprecato, non verrà eseguita una migrazione al manifesto edge V3. Le estensioni del browser corrispondenti e l'app di Windows Store associata non sono più disponibili. Se si vuole bloccare i browser non protetti fino a quando non si è pronti per ritirare l'utilizzo di MDAG nell'organizzazione, è consigliabile usare i criteri di AppLocker o il servizio di gestione Di Microsoft Edge. Per altre informazioni, vedere Microsoft Edge e Microsoft Defender Application Guard.
Questo articolo elenca le domande frequenti con risposte per Microsoft Defender Application Guard (Application Guard). Le domande riguardano le funzionalità, l'integrazione con il sistema operativo Windows e la configurazione generale.
Domande frequenti
È possibile abilitare Application Guard su computer dotati di 4 GB di RAM?
È consigliabile usare 8 GB di RAM per ottenere prestazioni ottimali, ma è possibile usare i valori DWORD del Registro di sistema seguenti per abilitare Application Guard nei computer che non soddisfano la configurazione hardware consigliata.
HKLM\software\Microsoft\Hvsi\SpecRequiredProcessorCount
Il valore predefinito è quattro core.
HKLM\software\Microsoft\Hvsi\SpecRequiredMemoryInGB
Il valore predefinito è 8 GB.
HKLM\software\Microsoft\Hvsi\SpecRequiredFreeDiskSpaceInGB
Il valore predefinito è 5 GB.
La configurazione di rete usa un proxy e si sta eseguendo un messaggio "Impossibile risolvere gli URL esterni da MDAG Browser: Errore: err_connection_refused". Ricerca per categorie risolvere questo?
Il server pac o manuale deve essere un nome host (non IP) indipendente dall'elenco di siti. Inoltre, se lo script PAC restituisce un proxy, deve soddisfare gli stessi requisiti.
Per assicurarsi che i nomi di dominio completi (FQDN) per il "file PAC" e i "server proxy a cui reindirizza il file PAC" vengano aggiunti come risorse neutre nei criteri di isolamento della rete usati da Application Guard, è possibile:
- Verificare questa aggiunta andando a edge://application-guard-internals/#utilities e immettendo il nome di dominio completo per pac/proxy nel campo "Verifica attendibilità URL" e verificando che sia "Neutral".
- Deve essere un FQDN. Un semplice indirizzo IP non funzionerà.
- Facoltativamente, se possibile, gli indirizzi IP associati al server che ospita quanto sopra devono essere rimossi dagli intervalli IP aziendali nei criteri di isolamento della rete usati da Application Guard.
Ricerca per categorie configurare Microsoft Defender Application Guard per l'uso con il proxy di rete (indirizzi ip-letterali)?
Application Guard richiede che i proxy abbiano un nome simbolico, non solo un indirizzo IP. IP-Literal impostazioni proxy, ad 192.168.1.4:81
esempio, possono essere annotate come itproxy:81
o usando un record, ad P19216810010
esempio per un proxy con un indirizzo IP di 192.168.100.10
. Questa annotazione si applica a Windows 10 Enterprise edizione, versione 1709 o successiva. Queste annotazioni sono relative ai criteri proxy in Isolamento rete in Criteri di gruppo o Intune.
Quali IME (Input Method Editor) in 19H1 non sono supportati?
Gli IME (Input Method Editor) seguenti introdotti in Windows 10 versione 1903 non sono attualmente supportati in Microsoft Defender Application Guard:
- Vietnam Telex tastiera
- Tastiera basata sul tasto del numero del Vietnam
- Tastiera fonetica hindi
- Tastiera fonetica bangla
- Tastiera fonetica Marathi
- Tastiera fonetica Telugu
- Tastiera fonetica tamil
- Tastiera fonetica Kannada
- Tastiera fonetica malayalam
- Tastiera fonetica gujarati
- Tastiera fonetica odiata
- Tastiera fonetica punjabi
Sono stati abilitati i criteri di accelerazione hardware nella distribuzione Windows 10 Enterprise versione 1803. Perché gli utenti ricevono ancora solo il rendering della CPU?
Questa funzionalità è attualmente solo sperimentale e non funziona senza una chiave del Registro di sistema aggiuntiva fornita da Microsoft. Se si vuole valutare questa funzionalità in una distribuzione di Windows 10 Enterprise versione 1803, contattare Microsoft e microsoft collaborerà con l'utente per abilitare la funzionalità.
Che cos'è l'account locale WDAGUtilityAccount?
WDAGUtilityAccount fa parte di Application Guard, a partire da Windows 10 versione 1709 (Fall Creators Update). Rimane disabilitato per impostazione predefinita, a meno che non sia abilitato Application Guard nel dispositivo. WDAGUtilityAccount viene usato per accedere al contenitore Application Guard come utente standard con una password casuale. NON è un account dannoso. È necessario che l'accesso come servizio sia in grado di funzionare correttamente. Se questa autorizzazione viene negata, potrebbe essere visualizzato l'errore seguente:
Errore: 0x80070569, errore Ext: 0x00000001; RDP: Errore: 0x00000000, errore Ext: 0x00000000 Location: 0x00000000
Ricerca per categorie considerare attendibile un sottodominio nell'elenco dei siti?
Per considerare attendibile un sottodominio, è necessario precedere il dominio con due punti (..). Ad esempio: ..contoso.com
garantisce che mail.contoso.com
o news.contoso.com
siano attendibili. Il primo punto rappresenta le stringhe per il nome del sottodominio (posta o notizie) e il secondo punto riconosce l'inizio del nome di dominio (contoso.com
). Questi due punti impediscono l'attendibilità dei siti, ad fakesitecontoso.com
esempio.
Esistono differenze tra l'uso di Application Guard in Windows Pro e Windows Enterprise?
Quando si usa Windows Pro o Windows Enterprise, è possibile accedere all'uso di Application Guard in modalità autonoma. Tuttavia, quando si usa Enterprise si ha accesso a Application Guard in modalità Enterprise-Managed. Questa modalità include alcune funzionalità aggiuntive non disponibili nella modalità autonoma. Per altre informazioni, vedere Preparare l'installazione di Microsoft Defender Application Guard.
Esiste un limite di dimensioni per gli elenchi di domini che è necessario configurare?
Sì, sia i domini delle risorse aziendali ospitati nel cloud che i domini classificati come aziendali e personali hanno un limite di 1.6383 byte.
Perché il driver di crittografia interrompe Microsoft Defender Application Guard?
Microsoft Defender Application Guard accede ai file da un disco rigido virtuale montato nell'host che deve essere scritto durante l'installazione. Se un driver di crittografia impedisce il montaggio o la scrittura di un disco rigido virtuale, Application Guard non funziona e genera un messaggio di errore (0x80070013 ERROR_WRITE_PROTECT).
Perché i criteri di isolamento della rete in Criteri di gruppo e CSP hanno un aspetto diverso?
Non esiste un mapping uno-a-uno tra tutti i criteri di isolamento della rete tra CSP e Criteri di gruppo. I criteri di isolamento di rete obbligatori per distribuire Application Guard sono diversi tra CSP e Criteri di gruppo.
Criteri criteri criteri di isolamento rete obbligatori per distribuire Application Guard: DomainSubnets o CloudResources
Criteri CSP di isolamento di rete obbligatori per distribuire Application Guard: EnterpriseCloudResources o (EnterpriseIpRange e EnterpriseNetworkDomainNames)
Per EnterpriseNetworkDomainNames non sono presenti criteri CSP mappati.
Application Guard accede ai file da un disco rigido virtuale montato nell'host che deve essere scritto durante l'installazione. Se un driver di crittografia impedisce il montaggio o la scrittura di un disco rigido virtuale, Application Guard non funziona e genera un messaggio di errore (0x80070013 ERROR_WRITE_PROTECT).
Perché Application Guard ha smesso di funzionare dopo aver disattivato l'hyperthreading?
Se l'hyperthreading è disabilitato (a causa di un aggiornamento applicato tramite un articolo della Knowledge Base o tramite le impostazioni del BIOS), è possibile Application Guard non soddisfi più i requisiti minimi.
Perché viene visualizzato il messaggio di errore "ERROR_VIRTUAL_DISK_LIMITATION"?
Application Guard potrebbe non funzionare correttamente nei volumi compressi NTFS. Se il problema persiste, provare a decomprimere il volume.
Perché viene visualizzato il messaggio di errore "ERR_NAME_NOT_RESOLVED" dopo non essere riuscito a raggiungere il file PAC?
Questo problema è noto. Per attenuare questo problema, è necessario creare due regole del firewall. Per informazioni sulla creazione di una regola del firewall con Criteri di gruppo, vedere Configurare le regole di Windows Firewall con Criteri di gruppo
Prima regola (server DHCP)
Percorso del programma:
%SystemRoot%\System32\svchost.exe
Servizio locale:
Sid: S-1-5-80-2009329905-444645132-2728249442-922493431-93864177 (Internet Connection Service (SharedAccess))
Protocollo UDP
Porta 67
Seconda regola (client DHCP)
Questa regola è uguale alla prima regola, ma con ambito alla porta locale 68. Nell'interfaccia utente Microsoft Defender Firewall seguire questa procedura:
Fare clic con il pulsante destro del mouse sulle regole in ingresso e quindi creare una nuova regola.
Scegliere una regola personalizzata.
Specificare il percorso del programma seguente:
%SystemRoot%\System32\svchost.exe
.Specificare le impostazioni seguenti:
- Tipo di protocollo: UDP
- Porte specifiche: 67
- Porta remota: qualsiasi
Specificare eventuali indirizzi IP.
Consentire la connessione.
Specificare per usare tutti i profili.
La nuova regola deve essere visualizzata nell'interfaccia utente. Fare clic con il pulsante destro del mouse sulleproprietà della regola>.
Nella scheda Programmi e servizi selezionare Impostazioni nella sezione Servizi.
Scegliere Applica a questo servizio e selezionare Accesso condiviso ICS (Internet Connection Sharing).
Come è possibile disabilitare parti del servizio di connessione Internet (ICS) senza interrompere Application Guard?
ICS è abilitato per impostazione predefinita in Windows e ICS deve essere abilitato affinché Application Guard funzionino correttamente. Non è consigliabile disabilitare ICS. È tuttavia possibile disabilitare ICS in parte usando un Criteri di gruppo e modificando le chiavi del Registro di sistema.
Nell'impostazione Criteri di gruppo, Impedisci l'uso della condivisione connessione Internet nella rete di dominio DNS, impostarla su Disabilitato.
Disabilitare IpNat.sys dal carico ICS come indicato di seguito:
System\CurrentControlSet\Services\SharedAccess\Parameters\DisableIpNat = 1
Configurare ICS (SharedAccess) per l'abilitazione come indicato di seguito:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Start = 3
(Questo passaggio è facoltativo) Disabilitare IPNAT come indicato di seguito:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPNat\Start = 4
Riavviare il dispositivo.
Perché il contenitore non viene caricato completamente quando sono abilitati i criteri di controllo del dispositivo?
Gli elementi consentiti devono essere configurati come "consentiti" nell'oggetto Criteri di gruppo per garantire il corretto funzionamento di AppGuard.
Criterio: consente l'installazione di dispositivi che corrispondono a uno degli ID dispositivo seguenti:
SCSI\DiskMsft____Virtual_Disk____
{8e7bd593-6e6c-4c52-86a6-77175494dd8e}\msvhdhba
VMS_VSF
root\Vpcivsp
root\VMBus
vms_mp
VMS_VSP
ROOT\VKRNLINTVSP
ROOT\VID
root\storvsp
vms_vsmp
VMS_PP
Criterio: consente l'installazione di dispositivi usando driver che corrispondono a queste classi di configurazione del dispositivo
{71a27cdd-812a-11d0-bec7-08002be2092f}
Si verificano problemi di frammentazione TCP e non è possibile abilitare la connessione VPN. Ricerca per categorie risolvere questo problema?
WinNAT elimina i messaggi ICMP/UDP con pacchetti maggiori di MTU quando si usa il commutatore predefinito o la rete NAT Docker. Il supporto per questa soluzione è stato aggiunto in KB4571744. Per risolvere il problema, installare l'aggiornamento e abilitare la correzione seguendo questa procedura:
Assicurarsi che FragmentAware DWORD sia impostato su 1 in questa impostazione del Registro di sistema:
\Registry\Machine\SYSTEM\CurrentControlSet\Services\Winnat
.Riavviare il dispositivo.
Cosa fa il _Allow agli utenti di considerare attendibili i file aperti in Microsoft Defender'opzione application Guard_ in Criteri di gruppo?
Questo criterio era presente in Windows 10 prima della versione 2004. È stato rimosso dalle versioni successive di Windows perché non impone nulla per Microsoft Edge o Office.
Ricerca per categorie aprire un ticket di supporto per Microsoft Defender Application Guard?
- Visitare Creare una nuova richiesta di supporto.
- In Famiglia di prodotti selezionare Windows. Selezionare il prodotto e la versione del prodotto con cui è necessaria assistenza. Per la categoria che descrive meglio il problema, selezionare Sicurezza di Windows Technologies. Nell'opzione finale selezionare Windows Defender Application Guard.
Esiste un modo per abilitare o disabilitare il comportamento in cui la scheda di Microsoft Edge host si chiude automaticamente quando si accede a un sito non attendibile?
Sì. Usare questo flag di Microsoft Edge per abilitare o disabilitare questo comportamento: --disable-features="msWdagAutoCloseNavigatedTabs"