Defender Application Guard
Los valores de Microsoft Defender Application Guard (Application Guard) protegen a su organización de ataques maliciosos aislándose en un entorno de navegación independiente para sitios no de confianza definidos por la empresa a los que los usuarios pueden acceder al navegar por Internet.
¿Qué es Application Guard?
Application Guard, una defensa de punto final basada en hardware, es una herramienta de seguridad integrada en Microsoft Edge. Application Guard aísla los sitios que no son de confianza definidos por la empresa desde el escritorio (host) a una máquina virtual (MV) para impedir que la actividad maliciosa llegue al escritorio. Esta característica está soportada en Windows 10 versión 1709 y posteriores. Para obtener más información sobre Application Guard, consulte https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-application-guard/md-app-guard-overview.
¿Cómo funciona Application Guard?
Si un usuario visita un sitio que no es de confianza a través del navegador, el navegador abre ese sitio en un contenedor habilitado con Hyper-V aislado que está separado de la máquina host. Si el sitio que no es de confianza que está en aislamiento en un contenedor es un sitio malicioso, la máquina host está protegida y el atacante no puede acceder a los datos de la empresa.
Navegador habilitado con Application Guard
Esta característica está soportada en los navegadores Microsoft Edge . Si el navegador está en modalidad de Application Guard, se visualiza el siguiente icono en la barra de herramientas del navegador:
Requisitos de hardware para ejecutar Application Guard
| Hardware | Requisito |
|---|---|
| CPU de 64 bits | Es necesario un mínimo de 4 núcleos (procesadores lógicos) para el hipervisor y la seguridad basada en la virtualización (VBS). Para obtener más información sobre Hyper-V, consulte https://docs.microsoft.com/en-us/virtualization/hyper-v-on-windows/about/. |
| Extensiones de virtualización de CPU | Tablas de páginas ampliadas (Second Level Address Translation o SLAT) y una de las siguientes:
|
| Memoria de hardware | 8 GB mínimo |
| Disco duro | Se recomienda un disco de estado sólido (SSD) de 5 GB de espacio libre |
| Soporte de la unidad de gestión de memoria de entrada/salida (IOMMU) | No es necesario, pero se recomienda |
Configuración de los ajustes de Application Guard
| Valor de política | Descripción | Dispositivos compatibles |
|---|---|---|
| Configurar Defender Application Guard | Si este ajuste está habilitado, puede configurar ajustes que protejan a los usuarios de acceder a sitios maliciosos o que no son de confianza aislando esos sitios en un entorno de navegación independiente para impedir que los ataques maliciosos se propaguen a la máquina host. | Windows Profesional, Educación, Empresa |
| Valores de Defender Application Guard | ||
| Configuración de portapapeles | Especifica el tipo de contenido que los usuarios pueden copiar desde la máquina host a la sesión de Application
Guard. Habilite los ajustes en el Comportamiento del portapapeles para especificar cómo se comporta el portapapeles cuando el usuario está en el contenedor de Application Guard. Se muestra un mensaje a los usuarios si el usuario intenta copiar contenido que no está permitido. Los valores incluyen:
|
Windows Profesional, Educación, Empresa |
| Comportamiento del portapapeles | Especifica cómo se comporta el portapapeles cuando el usuario está en el contenedor de Application Guard. Se muestra un mensaje a los usuarios si el usuario intenta copiar contenido que no está permitido. Los valores incluyen:
|
Windows Profesional, Educación, Empresa |
| Valores de impresión | Especifica cómo se comporta la funcionalidad de impresión cuando el usuario está en el contenedor de Application Guard. Los valores incluyen:
|
Windows Profesional, Educación, Empresa |
| Permitir acceso a la cámara y al micrófono dentro del contenedor | Si este ajuste está habilitado, las aplicaciones del contenedor de Application Guard pueden acceder al micrófono y la cámara del dispositivo si esos ajustes están también habilitado en el dispositivo del usuario. | Windows Profesional, Educación, Empresa |
| Permitir persistencia de datos de usuario | Si este ajuste está habilitado, los datos pueden persistir en las diferentes sesiones del contenedor de Application
Guard. Application Guard guarda los archivos descargados por el usuario y otros elementos (cookies, Favoritos) en la barra de herramientas del navegador para su uso en sesiones de Application Guard futuras. Para mantener la sesión de Application Guard protegida y aislada de la máquina host, los favoritos que se almacenan en una sesión de Application Guard no se copian en la máquina host. Los archivos que se descargan de un contenedor de Application Guard se descargan en C:\Users\wdagutilityaccount\Downloads. Si un script malicioso está oculto en ese archivo, dicho script no puede acceder a los datos de empresa en la máquina host. Restablecimiento del contenedor de Application Guard Si no permite o deshabilita la persistencia de datos, el reinicio de un dispositivo o el inicio y cierre de sesión del contenedor aislado desencadena un evento de reinicio que descarta todos los datos generados, incluidas las cookies de sesión y los Favoritos, eliminando los datos de Application Guard. Si habilita la persistencia de datos, se conservan todos los artefactos generados por el usuario en los sucesos de reinicio del contenedor. Sin embargo, estos artefactos solo existen en el contenedor aislado y no se comparten con la máquina host. Estos datos persisten tras los reinicios y las actualizaciones build-to-build de Windows. Si desea dejar de dar soporte a la persistencia de datos para los usuario, utilice el siguiente programa de utilidad proporcionado por Windows para restablecer el contenedor y para descartar cualquier dato personal. Para restablecer el contenedor:
|
Windows Profesional, Educación, Empresa |
| Permitir GPU virtual para procesar gráficos | Si este ajuste está habilitado, Application Guard puede utilizar la unidad de proceso de gráficos (GPU) virtual para procesar gráficos. Este valor está soportado en Windows 10 versión 1803 y posteriores. Application Guard utiliza Hyper-V para acceder al hardware de gráficos de representación de alta seguridad (GPU) soportados. Application Guard ayuda a GPU a mejorar el rendimiento de representación y la duración de la batería para la reproducción de vídeo y otros casos de uso intensivo de los gráficos. Si habilita este ajuste sin conectar el hardware de gráficos de representación de alta seguridad, Application Guard revierte automáticamente a la representación basada en software (CPU). Nota: Si los controladores o dispositivos gráficos están comprometidos, la habilitación de este ajuste puede suponer un riesgo para el dispositivo host.
|
Windows Profesional, Educación, Empresa |
| Guardar los archivos descargados en el sistema operativo de host | Si este ajuste está habilitado, los usuarios pueden descargar archivos del contenedor Application Guard a su máquina host. Este valor está soportado en Windows 10 versión 1803 y posteriores. | Windows Profesional, Educación, Empresa |
| Bloquear contenido que no es de la empresa | Si este valor está habilitado, impide que los sitios carguen contenido no empresarial (contenido de sitios que no son de confianza) en Microsoft Edge e Internet Explorer. Esta configuración es compatible con Microsoft Edge en Windows Enterprise o Windows Education con Microsoft Defender Application Guard en modo Enterprise. |
Windows Educación, Empresa |
| Huellas de certificado | Comparte determinados certificados raíz a nivel de dispositivo con el contenedor de Application Guard. Los certificados con una huella que coinciden con los certificados especificados se transfieren al contenedor. Para varios certificados, utilice comas para separar el certificado de huella para cada uno de los certificados que desea transferir. Por ejemplo: b4e72779a8a362c860c36a6461f31e3aa7e58c14,1b1d49f06d2a697a544a1059bd59a7b058cda924 Este ajuste admite las siguientes versiones:
|
Windows Educación, Empresa |