Partilhar via


Criar e implementar a política de Microsoft Defender Application Guard

Aplica-se a: Configuration Manager (ramo atual)

Pode criar e implementar Microsoft Defender Application Guard políticas (Application Guard) utilizando a proteção do ponto final do Gestor de Configuração. Estas políticas ajudam a proteger os seus utilizadores abrindo web sites não fided os falsos num recipiente isolado seguro que não seja acessível por outras partes do sistema operativo.

Pré-requisitos

Para criar e implementar uma política de Microsoft Defender Application Guard, tem de utilizar a atualização do Criador de Windows 10 de outono (1709). Os Windows 10 dispositivos a que se implementa a política devem ser configurados com uma política de isolamento em rede. Para mais informações, consulte a Microsoft Defender Application Guard visão geral.

Crie uma política e navegue nas definições disponíveis

  1. Na consola 'Gestor de Configuração', escolha Ativos e Conformidade.

  2. No espaço de trabalho Ativos e Conformidade, escolha a Windows Defender Application Guard > de Proteção de Pontos > Finais.

  3. No separador Casa, no grupo Criar, clique em Criar Windows Defender Application Guard Política.

  4. Utilizando o artigo como referência, pode navegar e configurar as definições disponíveis. O Gestor de Configuração permite-lhe definir determinadas definições de política:

  5. Na página Definição de Rede, especifique a identidade corporativa e defina o limite da sua rede corporativa.

    Nota

    Windows 10 Os computadores armazenam apenas uma lista de isolamento de rede no cliente. Pode criar dois tipos diferentes de listas de isolamento de rede e implantá-las para o cliente:

    • um da Windows Proteção de Informação
    • um de Microsoft Defender Application Guard

    Se implementar ambas as políticas, estas listas de isolamento de rede devem coincidir. Se implementar listas que não correspondam ao mesmo cliente, a implementação falhará. Para mais informações, consulte a documentação Windows Proteção de Informação.

  6. Quando terminar, complete o assistente e desloque a política para um ou mais Windows 10 1709 dispositivos.

Configurações de interação do anfitrião

Configura interações entre dispositivos hospedeiros e o recipiente da Guarda de Aplicações. Antes da versão 1802 do Gestor de Configuração, tanto o comportamento da aplicação como a interação do anfitrião estavam no separador Definições.

  • Clipboard - Nas definições anteriores ao Gestor de Configuração 1802
    • Tipo de conteúdo permitido
      • Texto
      • Imagens
  • Impressão:
    • Ativar a impressão para XPS
    • Ativar a impressão em PDF
    • Permitir a impressão em impressoras locais
    • Ativar a impressão para impressoras de rede
  • Gráficos: (começando com a versão 1802 do Gestor de Configuração)
    • Acesso ao processador de gráficos virtuais
  • Ficheiros: (começando com a versão 1802 do Gestor de Configuração)
    • Guardar ficheiros descarregados para hospedar

Definições de comportamento de aplicação

Configura o comportamento da aplicação dentro da sessão da Guarda de Aplicações. Antes da versão 1802 do Gestor de Configuração, tanto o comportamento da aplicação como a interação do anfitrião estavam no separador Definições.

  • Conteúdo:

    • Os sites empresariais podem carregar conteúdo não-empresarial, como plug-ins de terceiros.

      Nota

      Esta definição de política já não é suportada no novo navegador Microsoft Edge. As páginas web que contenham conteúdo misto, tanto da empresa como da empresa, podem carregar incorretamente ou falhar completamente se esta funcionalidade estiver ativada. Consulte a documentação Windows Defender Application Guard definição para obter mais informações.

  • Outros:

    • Reter dados de navegador gerados pelo utilizador
    • Eventos de segurança de auditoria na sessão isolada de guarda de aplicações

Gestão de ficheiros

A partir da versão 1906 do Gestor de Configuração, existe uma definição de política que permite aos utilizadores confiar em ficheiros que normalmente abrem na Application Guard. Após a conclusão com sucesso, os ficheiros serão abertos no dispositivo anfitrião em vez de na Aplicação Guard. Para obter mais informações sobre as políticas da Guarda de Aplicações, consulte configurar Microsoft Defender Application Guard definições de política.

  • Permitir que os utilizadores confiem em ficheiros que abrem em Windows Defender Application Guard - Permita ao utilizador marcar ficheiros como confiáveis. Quando um ficheiro é confiável, abre-se no hospedeiro e não na Guarda de Aplicações. Aplica-se a Windows 10 versão 1809 ou clientes superiores.
    • Proibido: Não permita que os utilizadores marquem ficheiros como fidedignos (padrão).
    • Ficheiro verificado por antivírus: Permitir que os utilizadores marquem ficheiros como fidedignos após uma verificação antivírus.
    • Todos os ficheiros: Permitir que os utilizadores marquem qualquer ficheiro como confiável.

Quando ativar a gestão de ficheiros, poderá ver erros registados no DCMReporting do cliente.log. Os erros abaixo normalmente não afetam a funcionalidade:

  • Em dispositivos compatíveis:
    • FileTrustCriteria_condition não encontrados
  • Em dispositivos não compatíveis:
    • FileTrustCriteria_condition não encontrados
    • FileTrustCriteria_condition não podia estar no mapa
    • FileTrustCriteria_condition não encontrados na digestão

Para editar as definições de Guarda de Aplicações, expanda a Proteção de Pontos Finais no espaço de trabalho Ativos e Conformidade e, em seguida, clique no nó Windows Defender Application Guard. Clique com o botão direito na política que pretende editar e, em seguida, selecione Propriedades.

Problemas conhecidos

Dispositivos em execução Windows 10, a versão 2004 apresentará falhas no relatório de conformidade para Microsoft Defender Application Guard File Trust Criteria. Esta questão ocorre porque algumas subclasses foram removidas da classe WMI MDM_WindowsDefenderApplicationGuard_Settings01 em Windows 10, versão 2004. Todas as outras definições Microsoft Defender Application Guard continuarão a ser aplicadas, apenas os Critérios de Confiança do Ficheiro falharão. Atualmente, não existem soluções alternativas para contornar o erro.

Passos seguintes

Para mais informações sobre Microsoft Defender Application Guard, consulte