衛士應用程式保護
Microsoft™ Defender Application Guard (Application Guard) 設定會在個別的瀏覽環境中隔離使用者在瀏覽網際網路時可能存取的企業定義未授信網站,以保護您的組織免受惡意攻擊。
何謂應用程式保護?
Application Guard 是一種硬體型端點防禦,是內建在 Microsoft Edge中的安全工具。 Application Guard 會將企業定義未授信網站與虛擬機器 (VM) 中的桌面 (主機) 隔離,以防止惡意活動到達桌面。 此特性在 Windows™ 10 1709 版以及更新版本上受支援。 如需 Application Guard 的相關資訊,請參閱 https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-application-guard/md-app-guard-overview。
Application Guard 的運作方式
如果使用者透過瀏覽器造訪未授信網站,則瀏覽器會在與主機分開且已啟用隔離 Hyper-V 的儲存器中開啟該網站。 如果處於儲存器隔離的未授信網站是惡意網站,則主機會受到保護,且攻擊者無法存取企業資料。
已啟用 Application Guard 的瀏覽器
此特性在 Microsoft Edge 瀏覽器上受支援。 如果您的瀏覽器處於「應用程式保護」模式,則瀏覽器工具列中會顯示下列圖示:
執行 Application Guard 的硬體需求
| 硬體 | 需求 |
|---|---|
| 64 位元 CPU | Hypervisor 及虛擬化型安全 (VBS) 至少需要 4 核心 (邏輯處理器)。 如需 Hyper-V 的相關資訊,請參閱 https://docs.microsoft.com/en-us/virtualization/hyper-v-on-windows/about/。 |
| CPU 虛擬化延伸 | 延伸分頁表 (第二層位址轉換或 SLAT) 及下列其中一項:
|
| 硬體記憶體 | 最少 8 GB |
| 硬碟 | 建議 5 GB 可用空間、固態磁碟 (SSD) |
| 輸入/輸出記憶體管理單元 (IOMMU) 支援 | 不需要,但建議 |
配置應用程式保護設定
| 原則設定 | 說明 | 支援的裝置 |
|---|---|---|
| 配置 Defender Application Guard | 如果啟用此設定,您可以在個別瀏覽環境中隔離那些網站,以防止惡意攻擊擴散至主機,從而配置設定來保護使用者免於存取惡意/不受信任的網站。 | Windows 10 + Professional、Education、Enterprise |
| Defender Application Guard 設定 | ||
| 剪貼簿設定 | 指定使用者可以從主機複製到 Application Guard 階段作業的內容類型。 啟用 剪貼簿行為 中的設定,以指定使用者在 Application Guard 儲存器中的剪貼簿行為。 如果使用者嘗試複製不容許的內容,則會向使用者顯示一則訊息。 設定包括:
|
Windows 10 + Professional、Education、Enterprise |
| 剪貼簿行為 | 指定使用者在 Application Guard 儲存器中的剪貼簿行為。 如果使用者嘗試複製不容許的內容,則會向使用者顯示一則訊息。 設定包括:
|
Windows 10 + Professional、Education、Enterprise |
| 列印設定 | 指定當使用者位於 Application Guard 儲存器中時,列印功能的行為方式。 設定包括:
|
Windows 10 + Professional、Education、Enterprise |
| 容許在儲存器內存取相機及麥克風 | 如果啟用此設定,則 Application Guard 儲存器中的應用程式可以存取裝置的相機及麥克風 (如果也在使用者裝置上啟用那些設定)。 | Windows 10 + Professional、Education、Enterprise |
| 容許持續保存使用者資料 | 如果啟用此設定,則資料可以在應用程式保護儲存器中的不同階段作業之間持續保存。 Application Guard 會將使用者下載的檔案及其他項目 (Cookie、我的最愛) 儲存在瀏覽器工具列中,以供未來 Application Guard 階段作業使用。 為了保持應用程式保護階段作業安全並與主機隔離,應用程式保護階段作業中儲存的我的最愛不會複製到主機。 從 Application Guard 儲存器下載的檔案會下載至 C:\Users\wdagutilityaccount\Downloads。 如果該檔案中隱藏惡意 Script ,則該 Script 無法存取主機上的企業資料。 重設 Application Guard 儲存器 如果您禁止或停用資料持續性,則重新啟動裝置或登入及登出隔離的儲存器會觸發重新啟動事件,以捨棄所有產生的資料 (包括階段作業 Cookie 及「我的最愛」) ,並從應用程式保護中移除資料。 如果您啟用資料持續性,則會在儲存器回收事件之間保留所有使用者產生的構件。 不過,這些構件只存在於隔離的儲存器中,不會與主機共用。 在 Windows 10 的重新啟動及建置至建置升級之後,此資料會持續保存。 如果您想要停止支援使用者的資料持續性,請使用下列 Windows 提供的公用程式來重設儲存器,並捨棄任何個人資料。 若要重設儲存器,請執行下列動作:
|
Windows 10 + Professional、Education、Enterprise |
| 容許虛擬 GPU 處理圖形 | 如果啟用此設定,則 Application Guard 可以使用虛擬圖形處理裝置 (GPU) 來處理圖形。 Windows 10 1803 版以及更新版本支援此設定。 Application Guard 使用 Hyper-V 來存取支援的高安全呈現圖形硬體 (GPU)。 Application Guard 協助 GPU 改善視訊播放及其他圖形密集使用案例的呈現效能和電池壽命。 如果您在未連接高安全呈現圖形硬體的情況下啟用此設定,則 Application Guard 會自動回復為軟體型 (CPU) 呈現。 附註: 如果圖形裝置或驅動程式已受損,啟用此設定可能會對主機裝置造成風險。
|
Windows 10 + Professional、Education、Enterprise |
| 將下載的檔案儲存至主機作業系統 | 如果啟用此設定,使用者可以將檔案從其 Application Guard 儲存器下載至其主機。 Windows 10 1803 版以及更新版本支援此設定。 | Windows 10 + Professional、Education、Enterprise |
| 封鎖非企業內容 | 如果啟用此設定,則會防止網站在 Microsoft Edge 和 Internet Explorer 中載入非企業內容 (來自未授信網站的內容)。 在 Windows 10 + Enterprise 或 Windows 10 + Education with Microsoft Defender Application Guard in Enterprise 模式下, Microsoft Edge 支援此設定。 |
Windows 10 + 教育,企業 |
| 憑證指模 | 與 Application Guard 儲存器共用特定裝置層次主要憑證。 指模符合指定憑證的憑證會傳送至儲存器。 對於多個憑證,請使用逗點來區隔您要傳送之每一個憑證的指模。 例如:b4e72779a8a362c860c36a6461f31e3aa7e58c14,1b1d49f06d2a697a544a1059bd59a7b058cda924 此設定支援下列版本:
|
Windows 10 + 教育,企業 |