常見問答集─Microsoft Defender 應用程式防護

  • 常見問題集

注意

本文列出Microsoft Defender 應用程式防護 (應用程式防護) 的常見問題與解答。 問題涵蓋功能、與 Windows 作業系統整合,以及一般設定。

常見問題集

我可以在配備 4 GB RAM 的電腦上啟用應用程式防護嗎?

我們建議使用 8 GB RAM 以獲得最佳效能,但您可以使用下列登錄 DWORD 值,在不符合建議硬體設定的電腦上啟用應用程式防護。

HKLM\software\Microsoft\Hvsi\SpecRequiredProcessorCount (預設值為四個 cores.)

HKLM\software\Microsoft\Hvsi\SpecRequiredMemoryInGB (預設值為8 GB.)

HKLM\software\Microsoft\Hvsi\SpecRequiredFreeDiskSpaceInGB (預設值為5 GB.)

我的網路設定使用 Proxy,而我遇到「無法從 MDAG 瀏覽器解析外部 URL:錯誤:err_connection_refused」。 如何解決此問題?

手動或 PAC 伺服器必須是主機名, (不是網站清單上中性的 IP) 。 此外,如果 PAC 腳本傳回 Proxy,就必須符合這些相同的需求。

若要確保 「PAC 檔案」和「PAC 檔案重新導向的 Proxy 伺服器」 (完整功能變數名稱) 的 FQDN 會新增為應用程式防護所使用網路隔離原則中的中性資源,您可以.

  • 移至 [檢查 URL 信任] 字段中的 pac/proxy edge://application-guard-internals/#utilities 並輸入 FQDN,並確認其顯示為 「中性」,以確認新增此專案。
  • 它必須是 FQDN。 簡單的IP位址將無法運作。
  • 如果可能的話,您也可以從應用程式防護所使用之網路隔離原則中的企業IP範圍中移除與裝載上述伺服器相關聯的IP位址。

如何設定 Microsoft Defender 應用程式防護,以使用我的網路 Proxy (IP 常值位址) ?

應用程式防護需要 Proxy 具有符號名稱,而不只是IP位址。 IP-Literal Proxy 設定,例如 192.168.1.4:81 ,可以標註為 itproxy:81 或使用記錄,例如 P19216810010 IP位址為的 192.168.100.10Proxy。 此批注適用於 Windows 10 企業版 1709 版或更新版本。 這些註釋適用於組策略或 Intune 中 [網路隔離] 下的 Proxy 原則。

不支援在 19H1 中 (IME) 的哪些輸入法編輯器?

Microsoft Defender 應用程式防護目前不支援 Windows 10 版本 1903 中引進 (輸入法) 輸入法編輯器:

  • 越南 Telex 鍵盤
  • 越南按鍵式鍵盤
  • 印度文注音鍵盤
  • 孟加拉國文注音鍵盤
  • Marathi 注音鍵盤
  • Telugu 注音鍵盤
  • 坦米文注音鍵盤
  • Kannada 注音鍵盤
  • 馬來亞蘭文注音鍵盤
  • 古吉拉提文注音鍵盤
  • Odia 注音鍵盤
  • 旁遮普文注音鍵盤

我在 Windows 10 企業版 1803 版部署上啟用硬體加速原則。 為什麼我的使用者仍然只會取得 CPU 轉譯?

這項功能目前僅供實驗性使用,若沒有Microsoft提供的額外登錄機碼,則無法運作。 如果您想要在 Windows 10 企業版 1803 版的部署上評估此功能,請連絡 Microsoft,我們會與您合作以啟用此功能。

什麼是 WDAGUtilityAccount 本機帳戶?

WDAGUtilityAccount 是應用程式防護的一部分,從 Windows 10 版本 1709 開始, (Fall Creators Update) 。 除非在您的裝置上啟用應用程式防護,否則預設會維持停用狀態。 WDAGUtilityAccount 是用來以具有隨機密碼的標準使用者身分登入 Application Guard 容器。 這不是惡意帳戶。 它需要 以服務方式登入權 限,才能正確運作。 如果拒絕此許可權,您可能會看到下列錯誤:

錯誤:0x80070569、Ext 錯誤:0x00000001;RDP:錯誤:0x00000000、Ext 錯誤:0x00000000位置:0x00000000

如何信任網站清單中的子域?

若要信任子域,您必須在網域前面加上兩個點 (。。) 。 例如: ..contoso.com 確保 mail.contoso.comnews.contoso.com 是受信任的。 第一個點代表郵件或新聞) (子域名稱的字串,而第二個點會辨識功能變數名稱的開頭 (contoso.com) 。 這兩個點可防止這類網站 fakesitecontoso.com 受到信任。

在 Windows Pro 與 Windows Enterprise 上使用應用程式防護之間是否有差異?

使用 Windows Pro 或 Windows 企業版時,您可以存取在獨立模式中使用應用程式防護。 不過,使用 Enterprise 時,您可以在 Enterprise-Managed 模式中存取應用程式防護。 此模式有一些獨立模式沒有的額外功能。 如需詳細資訊,請參閱準備安裝 Microsoft Defender 應用程式防護。

我需要設定的網域清單是否有大小限制?

是,裝載於雲端的企業資源網域和分類為公司和個人的網域都有 1,6383 位元組的限制。

為什麼我的加密驅動程式會中斷Microsoft Defender 應用程式防護?

Microsoft Defender 應用程式防護會從裝載於主機上的 VHD 存取需要在安裝期間寫入的檔案。 如果加密驅動程式防止掛接或寫入 VHD,應用程式防護將無法運作,並導致錯誤訊息 (0x80070013 ERROR_WRITE_PROTECT) 。

為什麼組策略和 CSP 中的網路隔離原則看起來不同?

CSP 與 GP 之間的所有網路隔離原則之間沒有一對一的對應。 部署應用程式防護的強制網路隔離原則在 CSP 和 GP 之間不同。

  • 部署應用程式防護的強制網路隔離 GP 原則: DomainSubnets 或 CloudResources

  • 部署應用程式防護的強制網路隔離 CSP 原則: EnterpriseCloudResources 或 (EnterpriseIpRange 和 EnterpriseNetworkDomainNames)

  • 對於 EnterpriseNetworkDomainNames,沒有對應的 CSP 原則。

應用程式防護會從裝載於主機上的 VHD 存取需要在安裝期間寫入的檔案。 如果加密驅動程式防止掛接或寫入 VHD,應用程式防護將無法運作,並導致錯誤訊息 (0x80070013 ERROR_WRITE_PROTECT) 。

為什麼當我關閉超線程之後,應用程式防護會停止運作?

如果因為透過 KB 發行項或透過 BIOS 設定) 套用更新, (停用超線程,則應用程式防護可能不再符合最低需求。

為什麼我會收到錯誤訊息「ERROR_VIRTUAL_DISK_LIMITATION」?

應用程式防護可能無法在NTFS壓縮磁碟區上正常運作。 如果此問題持續發生,請嘗試取消壓縮磁碟區。

為什麼我在無法連線到 PAC 檔案之後收到「ERR_NAME_NOT_RESOLVED」錯誤訊息?

這是已知的問題。 若要減輕此問題,您必須建立兩個防火牆規則。 如需使用組策略建立防火牆規則的相關信息,請參閱使用組策略設定 Windows 防火牆規則

DHCP 伺服器 (的第一個規則)

  • 程式路徑: %SystemRoot%\System32\svchost.exe

  • 本地服務: Sid: S-1-5-80-2009329905-444645132-2728249442-922493431-93864177 (Internet Connection Service (SharedAccess))

  • 通訊協定 UDP

  • 埠 67

第二個規則 (DHCP 用戶端)

此規則與第一個規則相同,但範圍為本機埠 68。 在 Microsoft Defender 防火牆用戶介面中,執行下列步驟:

  1. 以滑鼠右鍵按下輸入規則,然後建立新的規則。

  2. 選擇 自訂規則

  3. 指定下列程序路徑: %SystemRoot%\System32\svchost.exe

  4. 指定下列設定:

    • 通訊協定類型:UDP
    • 特定埠:67
    • 遠端埠:任何

  5. 指定任何IP位址。

  6. 允許連線。

  7. 指定 以使用所有設定檔。

  8. 新的規則應該會顯示在使用者介面中。 以滑鼠右鍵按下 規則>屬性

  9. 在 [ 程序和服務] 索引 標籤的 [ 服務 ] 區段下,選取 [設定]

  10. 選擇 [套用至此服務] ,然後選 取 [因特網聯機共用 (ICS) 共用存取]

如何在不中斷應用程式防護的情況下,停用部分因特網連線服務 (ICS) ?

預設會在 Windows 中啟用 ICS,而且必須啟用 ICS,應用程式防護才能正確運作。 我們不建議停用ICS;不過,您可以使用組策略和編輯登錄機碼,部分停用ICS。

  1. 在組策略設定 [ 禁止在 DNS 網域網络上使用因特網聯機共用] 中,將它設定為 [ 已停用]

  2. 停用ICS載入 IpNat.sys,如下所示:
    System\CurrentControlSet\Services\SharedAccess\Parameters\DisableIpNat = 1

  3. 設定要啟用的ICS (SharedAccess) ,如下所示:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Start = 3

  4. (此步驟是停用IPNAT) 選擇性步驟,如下所示:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPNat\Start = 4

  5. 將裝置重新開機。

為什麼啟用裝置控制原則時,容器不會完全載入?

組策略對象中必須將允許列出的項目設定為「允許」,以確保 AppGuard 正常運作。

原則:允許安裝符合下列任一裝置標識符的裝置:

  • SCSI\DiskMsft____Virtual_Disk____
  • {8e7bd593-6e6c-4c52-86a6-77175494dd8e}\msvhdhba
  • VMS_VSF
  • root\Vpcivsp
  • root\VMBus
  • vms_mp
  • VMS_VSP
  • ROOT\VKRNLINTVSP
  • ROOT\VID
  • root\storvsp
  • vms_vsmp
  • VMS_PP

原則:允許使用符合這些裝置安裝類別的驅動程式來安裝裝置

  • {71a27cdd-812a-11d0-bec7-08002be2092f}

我遇到 TCP 片段問題,無法啟用我的 VPN 連線。 如何修正此問題?

使用預設交換器或 Docker NAT 網路時,WinNAT 會卸除封包大於 MTU 的 ICMP/UDP 訊息。 已在 KB4571744中新增此解決方案的支援。 若要修正此問題,請依照下列步驟安裝更新並啟用修正:

  1. 請確定此登錄設定中的 FragmentAware DWORD 設定為 1: \Registry\Machine\SYSTEM\CurrentControlSet\Services\Winnat

  2. 將裝置重新開機。

_Allow組策略中的 [Microsoft Defender 應用程式Guard_] 選項中開啟的檔案,_Allow使用者信任的檔案有何作用?

此原則存在於 2004 版之前的 Windows 10 中。 它已從更新版本的 Windows 中移除,因為它不會針對 Microsoft Edge 或 Office 強制執行任何動作。

如何開啟 Microsoft Defender 應用程式防護的支援票證?

  • 請造訪 建立新的支援要求
  • 在 [產品系列] 底下,選取 [Windows]。 選取您需要協助的產品和產品版本。 針對最能描述問題的類別,請選取 [Windows 安全性技術]。 在最後一個選項中,選取 [Windows Defender 應用程式防護]

在流覽至不受信任的網站時,是否有方法可以啟用或停用主機Microsoft Edge 索引標籤自動關閉的行為?

是。 使用此Microsoft Edge 旗標來啟用或停用此行為: --disable-features="msWdagAutoCloseNavigatedTabs"

請參閱

設定 Microsoft Defender 應用程式防護原則設定