Вопросы и ответы об Application Guard в Microsoft Defender

Для оптимальной производительности рекомендуется использовать 8 ГБ ОЗУ, но для включения Application Guard на компьютерах, которые не соответствуют рекомендуемой конфигурации оборудования, можно использовать следующие значения DWORD реестра.

HKLM\software\Microsoft\Hvsi\SpecRequiredProcessorCount (По умолчанию используется четыре ядра.)

HKLM\software\Microsoft\Hvsi\SpecRequiredMemoryInGB (По умолчанию — 8 ГБ.)

HKLM\software\Microsoft\Hvsi\SpecRequiredFreeDiskSpaceInGB (По умолчанию — 5 ГБ.)

Вручную или PAC-сервер должен быть именем узла (не IP-адресом), нейтральным в списке сайтов. Кроме того, если скрипт PAC возвращает прокси-сервер, он должен соответствовать тем же требованиям.

Чтобы обеспечить добавление полных доменных имен (полных доменных имен) для "PAC-файла" и "прокси-серверов, на которые перенаправляется PAC-файл" в качестве нейтральных ресурсов в политиках сетевой изоляции, используемых Application Guard, можно:

• Проверьте это добавление, выбрав edge://application-guard-internals/#utilities и введя полное доменное имя для pac/proxy в поле "проверка доверия URL-адреса" и убедитесь, что в нем указано "Нейтральный".
• Это должно быть полное доменное имя. Простой IP-адрес не будет работать.
• При необходимости IP-адреса, связанные с сервером, на котором размещен указанный выше сервер, должны быть удалены из диапазонов IP-адресов предприятия в политиках сетевой изоляции, используемых Application Guard.

Application Guard требует, чтобы прокси-серверы имели символическое имя, а не только IP-адрес. IP-Literal параметры прокси-сервера, например 192.168.1.4:81 , могут быть помечены как itproxy:81 или с помощью записи, P19216810010 например для прокси-сервера с IP-адресом 192.168.100.10. Эта заметка относится к выпуску Windows 10 Корпоративная версии 1709 или более поздней. Эти заметки будут использоваться для политик прокси-сервера в разделе Сетевая изоляция в групповой политике или Intune.

Следующие редакторы методов ввода (IME), представленные в Windows 10 версии 1903, в настоящее время не поддерживаются в Application Guard в Microsoft Defender:

• Клавиатура вьетнамского телекса
• Вьетнамская клавиатура на основе клавиши с номером
• Фонетическая клавиатура хинди
• Фонетическая клавиатура Bangla
• Фонетическая клавиатура Маратхи
• Фонетическая клавиатура Telugu
• Фонетическая клавиатура тамильского языка
• Фонетическая клавиатура Kannada
• Фонетическая клавиатура Malayalam
• Фонетическая клавиатура Гуджарати
• Фонетическая клавиатура Odia
• Пенджабская фонетическая клавиатура

В настоящее время эта функция является экспериментальной и не работает без дополнительного раздела реестра, предоставленного корпорацией Майкрософт. Если вы хотите оценить эту функцию при развертывании Windows 10 Корпоративная версии 1803, обратитесь в корпорацию Майкрософт, и мы будем работать с вами, чтобы включить эту функцию.

WDAGUtilityAccount является частью Application Guard, начиная с Windows 10 версии 1709 (Fall Creators Update). Он остается отключенным по умолчанию, если на вашем устройстве не включено Application Guard. WDAGUtilityAccount используется для входа в контейнер Application Guard в качестве стандартного пользователя со случайным паролем. Это НЕ вредоносная учетная запись. Для правильной работы ему требуются разрешения на вход в качестве службы . Если в этом разрешении отказано, может возникнуть следующая ошибка:

Ошибка: 0x80070569, ошибка Ext: 0x00000001; RDP: Ошибка: 0x00000000, ошибка Ext: 0x00000000 Расположение: 0x00000000

Чтобы доверять поддомену, необходимо перед доменом с двумя точками (..). Например: ..contoso.com гарантирует, что mail.contoso.com или news.contoso.com являются доверенными. Первая точка представляет строки для имени поддомена (почта или новости), а вторая точка распознает начало доменного имени (contoso.com). Эти две точки не позволяют сайтам fakesitecontoso.com быть доверенными.

При использовании Windows Pro или Windows Корпоративная у вас есть доступ к использованию Application Guard в автономном режиме. Однако при использовании Enterprise у вас есть доступ к Application Guard в режиме Enterprise-Managed. В этом режиме есть некоторые дополнительные функции, которые нет в автономном режиме. Дополнительные сведения см. в статье Подготовка к установке Microsoft Defender Application Guard.

Да, домены корпоративных ресурсов, размещенные в облаке, и домены, которые классифицируются как рабочие и личные, имеют ограничение в 16383 байта.

Microsoft Defender Application Guard обращается к файлам из виртуального жесткого диска, подключенного к узлу, который необходимо записать во время установки. Если драйвер шифрования предотвращает подключение или запись виртуального жесткого диска, Application Guard не работает и выводит сообщение об ошибке (0x80070013 ERROR_WRITE_PROTECT).

Между CSP и GP не существует сопоставления "один к одному" среди всех политик сетевой изоляции. Обязательные политики сетевой изоляции для развертывания Application Guard отличаются между CSP и GP.

• Обязательная политика групповой политики сетевой изоляции для развертывания Application Guard: DomainSubnets или CloudResources

• Обязательная политика CSP сетевой изоляции для развертывания Application Guard: EnterpriseCloudResources или (EnterpriseIpRange и EnterpriseNetworkDomainNames)

• Для EnterpriseNetworkDomainNames не существует сопоставленной политики CSP.

Application Guard обращается к файлам из виртуального жесткого диска, подключенного к узлу, который необходимо записать во время установки. Если драйвер шифрования предотвращает подключение или запись виртуального жесткого диска, Application Guard не работает и выводит сообщение об ошибке (0x80070013 ERROR_WRITE_PROTECT).

Если гиперпоточность отключена (из-за обновления, примененного в статье базы знаний или с помощью параметров BIOS), существует вероятность, что Application Guard больше не соответствует минимальным требованиям.

Application Guard может работать неправильно на сжатых томах NTFS. Если эта проблема не исчезнет, попробуйте распаковку тома.

Эта проблема известна. Чтобы устранить эту проблему, необходимо создать два правила брандмауэра. Сведения о создании правила брандмауэра с помощью групповой политики см. в статье Настройка правил брандмауэра Windows с помощью групповой политики.

Первое правило (DHCP-сервер)

• Путь к программе: %SystemRoot%\System32\svchost.exe

• Локальная служба: Sid: S-1-5-80-2009329905-444645132-2728249442-922493431-93864177 (Internet Connection Service (SharedAccess))

• Протокол UDP

• Порт 67

Второе правило (DHCP-клиент)

Это правило совпадает с первым правилом, но ограничивается локальным портом 68. В пользовательском интерфейсе брандмауэра Microsoft Defender выполните следующие действия.

1. Щелкните правой кнопкой мыши правила для входящих подключений и создайте новое правило.

2. Выберите пользовательское правило.

3. Укажите следующий путь к программе: %SystemRoot%\System32\svchost.exe.

4. Укажите следующие параметры:

   • Тип протокола: UDP
   • Конкретные порты: 67
   • Удаленный порт: любой

5. Укажите все IP-адреса.

6. Разрешите подключение.

7. Укажите, чтобы использовать все профили.

8. Новое правило должно отображаться в пользовательском интерфейсе. Щелкнитеправой кнопкой мыши свойства правила>.

9. На вкладке Программы и службы в разделе Службы выберите параметры.

10. Выберите Применить к этой службе и общий доступ к подключению к Интернету (ICS).

ICS включена по умолчанию в Windows, и для правильной работы Application Guard необходимо включить ICS. Не рекомендуется отключает ICS; однако можно частично отключить ICS с помощью групповой политики и редактирования разделов реестра.

1. В параметре групповой политики запретить использование общего доступа к подключению к Интернету в сети домена DNS установите для параметра групповой политики значение Отключено.

2. Отключите IpNat.sys от загрузки ICS следующим образом:
   System\CurrentControlSet\Services\SharedAccess\Parameters\DisableIpNat = 1

3. Настройте ICS (SharedAccess) для включения следующим образом:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Start = 3

4. (Этот шаг является необязательным) Отключите IPNAT следующим образом:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPNat\Start = 4

5. Перезагрузите устройство.

Элементы, перечисленные в списке разрешенных, должны быть настроены как разрешенные в объекте групповой политики, чтобы убедиться, что AppGuard работает правильно.

Политика: разрешить установку устройств, соответствующих любому из следующих идентификаторов устройств:

• SCSI\DiskMsft____Virtual_Disk____
• {8e7bd593-6e6c-4c52-86a6-77175494dd8e}\msvhdhba
• VMS_VSF
• root\Vpcivsp
• root\VMBus
• vms_mp
• VMS_VSP
• ROOT\VKRNLINTVSP
• ROOT\VID
• root\storvsp
• vms_vsmp
• VMS_PP

Политика: разрешить установку устройств с помощью драйверов, соответствующих этим классам установки устройств

• {71a27cdd-812a-11d0-bec7-08002be2092f}

WinNAT удаляет сообщения ICMP/UDP с пакетами, превышающими MTU, при использовании коммутатора по умолчанию или сети NAT Docker. Поддержка этого решения добавлена в KB4571744. Чтобы устранить эту проблему, установите обновление и включите исправление, выполнив следующие действия.

1. Убедитесь, что параметр FragmentAware DWORD имеет значение 1 в этом параметре реестра: \Registry\Machine\SYSTEM\CurrentControlSet\Services\Winnat.

2. Перезагрузите устройство.

Эта политика существовала в Windows 10 до версии 2004. Он был удален из более поздних версий Windows, так как он не применяет ничего для Microsoft Edge или Office.

• См . раздел Создание запроса на поддержку.
• В разделе Семейство продуктов выберите Windows. Выберите продукт и версию продукта, с которым требуется помощь. Для категории, которая лучше всего описывает проблему, выберите Технологии безопасности Windows. В последнем варианте выберите Application Guard в Защитнике Windows.

Да. Используйте этот флаг Microsoft Edge, чтобы включить или отключить это поведение: --disable-features="msWdagAutoCloseNavigatedTabs"

См. также

Настройка параметров политики Application Guard в Microsoft Defender