配置 Microsoft Defender 应用程序防护策略设置
注意
- Microsoft Defender 应用程序防护(包括 Windows 独立应用启动器 API)将弃用 Microsoft Edge for Business,并且 将不再更新。 请下载 Microsoft Edge For Business 安全性白皮书 ,了解有关 Edge for Business 安全功能的详细信息。
- 由于应用程序防护已弃用,因此不会迁移到 Edge 清单 V3。 相应的浏览器扩展和关联的 Windows 应用商店应用不再可用。 如果要阻止未受保护的浏览器,直到准备好在企业中停用 MDAG 使用,我们建议使用 AppLocker 策略或 Microsoft Edge 管理服务。 有关详细信息,请参阅 Microsoft Edge 和 Microsoft Defender 应用程序防护。
Microsoft Defender 应用程序防护 (应用程序防护) 与组策略配合使用,以帮助你管理组织的计算机设置。 通过使用组策略,你可以设置策略设置一次,然后将该设置复制到多台计算机上。 例如,可以在链接到域的组策略对象中设置多个安全设置,然后将所有这些设置应用于域中的每个终结点。
应用程序防护使用网络隔离和特定于应用程序的设置。
Windows 版本和许可要求
下表列出了支持 Microsoft Defender 应用程序防护 (MDAG) 的 Windows 版本,这些版本适用于 Edge 企业模式和企业管理:
| Windows 专业版 | Windows 企业版 | Windows 专业教育版/SE | Windows 教育版 |
|---|---|---|---|
| 否 | 是 | 否 | 是 |
Microsoft Defender 应用程序防护 (适用于 Edge 企业模式和企业管理许可证权利的 MDAG) 由以下许可证授予:
| Windows 专业版/专业教育版/SE | Windows 企业版 E3 | Windows 企业版 E5 | Windows 教育版 A3 | Windows 教育版 A5 |
|---|---|---|---|---|
| 否 | 是 | 是 | 是 | 是 |
有关 Windows 许可的详细信息,请参阅 Windows 许可概述。
有关在独立模式下Microsoft Defender Application Guard (MDAG) for Microsoft Edge 的详细信息,请参阅 Microsoft Defender 应用程序防护概述。
网络隔离设置
这些设置位于 , Computer Configuration\Administrative Templates\Network\Network Isolation可帮助你定义和管理组织的网络边界。 Application Guard 使用此信息自动将访问非公司资源的任何请求传输到 Application Guard 容器中。
注意
对于 Windows 10,如果已安装KB5014666;对于 Windows 11,如果已安装KB5014668,则无需配置网络隔离策略,以在托管模式下为 Microsoft Edge 启用 Application Guard。
注意
你必须配置“托管在云中的企业资源域”或员工设备上的应用设置的专用网络范围,以便使用企业模式成功打开应用程序防护。 代理服务器必须是 分类为工作和个人 策略的域中列出的非特定资源。
| 策略名称 | 支持的版本 | 说明 |
|---|---|---|
| 应用的专用网络范围 | 至少为 Windows Server 2012、Windows 8 或 Windows RT | 以逗号分隔的公司网络内的 IP 地址范围列表。 所包含的终结点或者包含在指定 IP 地址范围内的终结点使用 Microsoft Edge 进行呈现,并且将无法从应用程序防护环境进行访问。 |
| 托管在云中的企业资源域 | 至少为 Windows Server 2012、Windows 8 或 Windows RT | 管道分隔 (|) 域云资源列表。 所包含的终结点使用 Microsoft Edge 进行呈现,并且将无法从应用程序防护环境进行访问。 此列表支持网络隔离设置通配符表中详述 的通配符 。 |
| 分类为工作和个人的域 | 至少为 Windows Server 2012、Windows 8 或 Windows RT | 以逗号分隔的用作工作或个人资源的域名称列表。 包含的终结点使用 Microsoft Edge 呈现,可从应用程序防护和常规Microsoft Edge 环境进行访问。 此列表支持网络隔离设置通配符表中详述 的通配符 。 |
网络隔离设置通配符
| 值 | 左侧的点数 | 含义 |
|---|---|---|
contoso.com |
0 | 仅信任 的 contoso.com文字值。 |
www.contoso.com |
0 | 仅信任 的 www.contoso.com文字值。 |
.contoso.com |
1 | 信任以文本 contoso.com结尾的任何域。 匹配的站点包括 spearphishingcontoso.com、 contoso.com和 www.contoso.com。 |
..contoso.com |
2 | 信任点左侧的域层次结构的所有级别。 匹配的网站包括 shop.contoso.com、 us.shop.contoso.com、 www.us.shop.contoso.com、,但不包括 contoso.com 本身。 |
特定于应用程序的设置
位于 的 Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application Guard这些设置可帮助你管理组织应用程序防护的实现。
| 名称 | 支持的版本 | 描述 | 选项 |
|---|---|---|---|
| 配置 Microsoft Defender 应用程序防护剪贴板设置 | Windows 10 企业版、1709 或更高版本 Windows 10 教育版、1809 或更高版本 Windows 11 企业版和教育版 |
确定应用程序防护能否使用剪贴板功能。 | 已启用。 这仅在托管模式下有效。 打开剪贴板功能,并允许你选择是否进行其他操作: - 在启用虚拟化安全性时完全禁用剪贴板功能。 - 启用将某些内容从应用程序防护复制到 Microsoft Edge。 - 启用将某些内容从 Microsoft Edge 复制到应用程序防护。 重要: 允许复制的内容从 Microsoft Edge 转到应用程序防护可能会导致潜在的安全风险,不建议这样做。 已禁用或未配置。 完全关闭应用程序防护的剪贴板功能。 |
| 配置 Microsoft Defender 应用程序防护打印设置 | Windows 10 企业版、1709 或更高版本 Windows 10 教育版、1809 或更高版本 Windows 11 企业版和教育版 |
确定应用程序防护能否使用打印功能。 | 已启用。 这仅在托管模式下有效。 打开打印功能,并允许你选择是否附加: - 启用应用程序防护以打印为 XPS 格式。 - 启用应用程序防护以打印为 PDF 格式。 - 启用应用程序防护以打印到本地附加的打印机。 - 启用应用程序防护以从以前连接的网络打印机进行打印。 员工无法搜索其他打印机。 已禁用或未配置。 完全关闭应用程序防护的打印功能。 |
| 允许持久性 | Windows 10 企业版、1709 或更高版本 Windows 10 教育版、1809 或更高版本 Windows 11 企业版和教育版 |
确定数据是否跨 Microsoft Defender 应用程序防护中的不同会话保留。 | 已启用。 这仅在托管模式下有效。 应用程序防护将保存用户下载的文件和其他项目(例如 Cookie、收藏夹等),以供将来的应用程序防护会话使用。 已禁用或未配置。 应用程序防护内的所有用户数据都将在会话之间进行重置。 注意:如果以后决定停止支持员工的数据持久性,可以使用 Windows 提供的实用工具重置容器并丢弃任何个人数据。
若要重置容器: |
| 在托管模式下打开 Microsoft Defender 应用程序防护 | Windows 10 企业版、1709 或更高版本 Windows 10 教育版、1809 或更高版本 Windows 11 企业版和教育版 |
确定是否为 Microsoft Edge 和 Microsoft Office 启用应用程序防护。 | 已启用。 为 Microsoft Edge 和/或 Microsoft Office 启用应用程序防护,遵循网络隔离设置,在 Application Guard 容器中呈现不受信任的内容。 除非设备上已设置了所需的先决条件和网络隔离设置,否则应用程序防护实际上不会打开。 可用选项: - 仅为 Microsoft Edge 启用 Microsoft Defender 应用程序防护 - 仅为 Microsoft Office 启用 Microsoft Defender 应用程序防护 - 为 Microsoft Edge 和 Microsoft Office 启用 Microsoft Defender 应用程序防护 已禁用。 关闭应用程序防护,允许所有应用在 Microsoft Edge 和 Microsoft Office 中运行。 注意: 对于 Windows 10,如果已安装KB5014666;对于 Windows 11,如果已安装KB5014668,则不再需要配置网络隔离策略来为 Microsoft Edge 启用 Application Guard。 |
| 允许将文件下载到主机操作系统 | Windows 10 企业版或专业版、1803 或更高版本 Windows 10 教育版、1809 或更高版本 Windows 11 企业版或专业版或教育版 |
确定是否将下载的文件从 Microsoft Defender 应用程序防护容器保存到主机操作系统。 | 已启用。 允许用户将下载的文件从 Microsoft Defender 应用程序防护容器保存到主机操作系统。 此操作在主机和容器之间创建一个共享,该共享还允许从主机上传到 Application Guard 容器。 已禁用或未配置。 用户无法将下载的文件从应用程序防护保存到主机操作系统。 |
| 允许Microsoft Defender 应用程序防护的硬件加速呈现 | Windows 10 企业版、1709 或更高版本 Windows 10 教育版、1809 或更高版本 Windows 11 企业版和教育版 |
确定 Microsoft Defender 应用程序防护是使用硬件加速还是软件加速呈现图形。 | 已启用。 这仅在托管模式下有效。 Microsoft Defender 应用程序防护使用 Hyper-V 访问受支持的高安全性呈现图形硬件 (GPU) 。 使用 Microsoft Defender 应用程序防护时,这些 GPU 可提高渲染性能和电池使用时间,尤其是视频播放和其他图形密集型用例。 如果在未连接任何高安全性渲染图形硬件的情况下启用此设置,Microsoft Defender 应用程序防护将自动还原为基于软件 (CPU) 呈现。
重要: 使用可能遭到入侵的图形设备或驱动程序启用此设置可能会给主机设备带来风险。 已禁用或未配置。 Microsoft Defender 应用程序防护使用基于软件 (CPU) 渲染,并且不会加载任何第三方图形驱动程序或与任何连接的图形硬件进行交互。 |
| 允许在 Microsoft Defender 应用程序防护中访问相机和麦克风 | Windows 10 企业版、1709 或更高版本 Windows 10 教育版、1809 或更高版本 Windows 11 企业版和教育版 |
确定是否允许在 Microsoft Defender 应用程序防护内部访问相机和麦克风。 | 已启用。 这仅在托管模式下有效。 Microsoft Defender 应用程序防护中的应用程序可以访问用户设备上的相机和麦克风。
重要: 使用可能遭到入侵的容器启用此策略可能会绕过相机和麦克风权限,并在用户不知情的情况下访问相机和麦克风。 已禁用或未配置。 Microsoft Defender 应用程序防护中的应用程序无法访问用户设备上的相机和麦克风。 |
| 允许 Microsoft Defender 应用程序防护从用户设备使用根证书颁发机构 | Windows 10 企业版或专业版、1809 或更高版本 Windows 10 教育版、1809 或更高版本 Windows 11 企业版或专业版 |
确定是否与 Microsoft Defender 应用程序防护共享根证书。 | 已启用。 与指定指纹匹配的证书将传输到容器中。 使用逗号分隔多个证书。 已禁用或未配置。 证书不会与 Microsoft Defender 应用程序防护共享。 |
| 允许在 Microsoft Defender 应用程序防护中审核事件 | Windows 10 企业版、1709 或更高版本 Windows 10 教育版、1809 或更高版本 Windows 11 企业版和教育版 |
使用此策略设置,可以决定是否可以从 Microsoft Defender 应用程序防护收集审核事件。 | 已启用。 这仅在托管模式下有效。 应用程序防护从设备继承审核策略,并将系统事件从应用程序防护容器记录到主机。 已禁用或未配置。 事件日志不会从应用程序防护容器收集。 |
应用程序防护支持对话框设置
这些设置位于 Administrative Templates\Windows Components\Windows Security\Enterprise Customization。 如果遇到错误,将显示一个对话框。 默认情况下,此对话框仅包含错误信息和一个按钮,用于通过反馈中心将其报告给Microsoft。 但是,可以在对话框中提供其他信息。