Microsoft Edge получил технологию Application Guard Защитника Windows

Впервые компания Microsoft объявила о разработке Application Guard Защитника Windows в конце 2016 года. Тогда Редмонд пообещал представить функцию для тестирования участника программы предварительной оценки в ближайшие месяцы, а все пользователи Windows 10 смогут получить новую функцию с выходом Creators Update. Как выяснилось, новая технология уже реализована в системе в последней сборке Insider Preview.

Application Guard Защитника Windows — это облегченный виртуальный компьютер, который помогает изолировать действия потенциально вредоносных веб-сайтов, чтобы защитить операционные системы, приложения и данные.

В Windows 10 Insider Preview build 1503 технология виртуализации Windows Defender Application Guard встроена непосредственно в веб-браузер Microsoft Edge. Проверить наличие новой функции можно введя about:applicationguard в адресную строку браузера.

На данный момент пользователь может увидеть только приветственный экран, который подтверждает наличие функции в Microsoft Edge. Ожидается, что Microsoft официально объявит о реализации новой возможности уже в следующей сборке, которая ожидается на этой неделе.

Что такое Application Guard Защитника Windows?

Данная функция безопасности Microsoft Edge добавляет новый уровень защиты для устройств Windows 10. Она позволяет изолировать угрозы в виртуализированную среду и, таким образом, ограничивать и блокировать доступ к данным в реальной системе.

В приветственном экране сообщается: “Windows Defender Application Guard использует новейшую технологию виртуализации для защиты операционной системы за счет создания изолированной среды для сеанса Microsoft Edge. Сессия виртуализации будет запускаться каждый раз при посещении подозрительного сайта, чтобы обезопасить компьютер от вредоносных атак”.

“Все данные о посещаемых сайтах, загруженные файлы и измененные настройки в изолированной среде будут удаляться при выходе из учетной записи. Таким образом, будут нейтрализованы потенциальные зловреды”.

Данная функция станет доступна пользователям с выходом Windows 10 Creators Update в апреле. Кроме Windows Defender Application Guard, Microsoft Edge в Creators Update получит много других улучшений, включая расширенные возможности работы с вкладками, а также поддержку дополнительных расширений.

Как включить Application Guard для браузера Microsoft Edge

В данной статье показана пошаговая инструкция для включения защиты Windows Defender Application Guard для браузера Microsoft Edge в Windows 10 Pro.

В операционной системе Windows 10 Pro , в целях дополнительной безопасности, можно включить Windows Defender Application Guard, чтобы защитить ваш компьютер от вредоносных программ и других атак во время просмотра веб-страниц в браузере Microsoft Edge.

Функция Windows Defender Application Guard (WDAG) позволяет запускать штатные браузеры Microsoft Edge и Internet Explorer в изолированной виртуальной среде с помощью технологии Hyper-V, тем самым защищая систему от вредоносных программ и от проникновения вирусов. Все данные, получаемые браузером при посещении сайтов сохраняются в отдельный, безопасный контейнер, который при закрытии браузера автоматически очищается.

Функция Windows Defender Application Guard не является новой, и впервые появилась в обновлении Creators Update (версия 1709), но была доступна только в Windows 10 редакции Enterprise (Корпоративная). Начиная с версии 1803, данный функционал доступен для устройств под управлением Windows 10 Pro, с процессорами поддерживающими виртуализацию.

Как включить Application Guard для браузера Microsoft Edge

Если Вам требуется дополнительный уровень безопасности, то Вы можете включить Application Guard для браузера Microsoft Edge, выполнив следующие действия.

Нажмите сочетание клавиш + R, в окне Выполнить введите OptionalFeatures и нажмите клавишу Enter ↵.

В открывшемся окне Компоненты Windows установите флажок в чекбоксе опции Application Guard в Защитнике Windows и нажмите кнопку OK .

В следующем окне нажмите кнопку Перезагрузить сейчас.

Также включить компонент Application Guard в Защитнике Windows для Microsoft Edge можно используя консоль Windows PowerShell.

Запустите консоль Windows PowerShell от имени администратора и выполните следующую команду и перезагрузите компьютер:

Enable-WindowsOptionalFeature -online -FeatureName Windows-Defender-ApplicationGuard

Как использовать Application Guard для Microsoft Edge

После выполнения шагов включения Application Guard для браузера Microsoft Edge, автоматически будет создана новая виртуальная среда, чтобы полностью изолировать сеанс просмотра веб-страниц от компьютера и теперь Вы можете запустить сеанс Microsoft Edge с помощью Защитника Windows Application Guard.

Откройте браузер Microsoft Edge и в правом верхнем углу окна браузера нажмите кнопку Параметры и прочее или нажмите сочетание клавиш ALT + X и в открывшемся боковом меню выберите пункт Новое окно Application Guard.

Если Вы запускаете Microsoft Edge в Application Guard в первый раз, то это займет некоторое время (пару минут) и вы увидите окно показанное ниже, но будущие сеансы будут открываться быстро.

При запуске Microsoft Edge в Application Guard будет открыто новое окно браузера, где можно просматривать веб-страницы, при этом в левом верхнем углу окна появится оранжевая «кнопка (вкладка)», указывающая на активность Application Guard.

После настройки компонента можно использовать браузер Microsoft Edge (или Internet Explorer) для просмотра ненадежных сайтов с помощью отдельного контейнера Hyper-V, который является отдельной средой от основной установки операционной системы Windows 10. Если сайт попытается выполнить вредоносный код, ваш компьютер и данные будут защищены.

Как отключить Application Guard для браузера Microsoft Edge

Чтобы отключить Application Guard для браузера Microsoft Edge, в окне Компоненты Windows уберите флажок в чекбоксе опции Application Guard в Защитнике Windows и нажмите кнопку OK .

В следующем окне нажмите кнопку Перезагрузить сейчас.

Также отключить компонент Application Guard в Защитнике Windows для Microsoft Edge можно используя консоль Windows PowerShell.

Запустите консоль Windows PowerShell от имени администратора и выполните следующую команду и перезагрузите компьютер:

Disable-WindowsOptionalFeature -online -FeatureName Windows-Defender-ApplicationGuard

Обзор microsoft Defender Application Guard Microsoft Defender Application Guard overview

Microsoft Defender Application Guard (Application Guard) предназначен для предотвращения старых и новых атак, чтобы поддерживать производительность сотрудников. Microsoft Defender Application Guard (Application Guard) is designed to help prevent old and newly emerging attacks to help keep employees productive. С помощью нашего уникального подхода к изоляции оборудования наша цель состоит в том, чтобы уничтожить книгу воспроизведения, используемую злоумышленниками, из-за того, что современные методы атаки устарели. Using our unique hardware isolation approach, our goal is to destroy the playbook that attackers use by making current attack methods obsolete.

Что представляет собой Application Guard и как он работает? What is Application Guard and how does it work?

Для Microsoft Edge служба application Guard помогает изолировать сайты, не защищенные корпоративными данными, защищая вашу компанию во время просмотра сотрудниками Интернета. For Microsoft Edge, Application Guard helps to isolate enterprise-defined untrusted sites, protecting your company while your employees browse the Internet. Как администратор предприятия вы определяете, какие веб-сайты, облачные ресурсы и внутренние сети можно считать доверенными. As an enterprise administrator, you define what is among trusted web sites, cloud resources, and internal networks. Все элементы, отсутствующие в вашем списке, расцениваются как ненадежные. Everything not on your list is considered untrusted. Если сотрудник отправляется на ненарушимый сайт через Microsoft Edge или Internet Explorer, Microsoft Edge открывает сайт в изолированном контейнере с Hyper-V включенной поддержкой. If an employee goes to an untrusted site through either Microsoft Edge or Internet Explorer, Microsoft Edge opens the site in an isolated Hyper-V-enabled container.

Для Microsoft Office application Guard помогает предотвратить доступ к доверенным ресурсам файлов Word, PowerPoint и Excel. For Microsoft Office, Application Guard helps prevents untrusted Word, PowerPoint and Excel files from accessing trusted resources. Application Guard открывает ненавязаные файлы в изолированном Hyper-V с включенной поддержкой. Application Guard opens untrusted files in an isolated Hyper-V-enabled container. Изолированный контейнер Hyper-V отдельно от хост-операционной системы. The isolated Hyper-V container is separate from the host operating system. Это изолирование контейнера означает, что если ненарушенный сайт или файл окажется вредоносным, хост-устройство защищено, а злоумышленник не может получить данные предприятия. This container isolation means that if the untrusted site or file turns out to be malicious, the host device is protected, and the attacker can’t get to your enterprise data. Данная концепция предполагает работу изолированного контейнера в анонимном режиме, поэтому злоумышленник не сможет заполучить корпоративные учетные данные вашего сотрудника. For example, this approach makes the isolated container anonymous, so an attacker can’t get to your employee’s enterprise credentials.

На каких типах устройств необходимо использовать Application Guard? What types of devices should use Application Guard?

Приложение Guard было создано для целей нескольких типов устройств: Application Guard has been created to target several types of devices:

Корпоративные настольные компьютеры. Enterprise desktops. Эти настольные компьютеры присоединены к домену и контролируются вашей организацией. These desktops are domain-joined and managed by your organization. Управление конфигурацией в основном делается с помощью Microsoft Endpoint Manager или Microsoft Intune. Configuration management is primarily done through Microsoft Endpoint Manager or Microsoft Intune. Сотрудники, как правило, имеют стандартные привилегии пользователя и используют высокоскоростную проводную корпоративную сеть. Employees typically have Standard User privileges and use a high-bandwidth, wired, corporate network.

Корпоративные мобильные ноутбуки. Enterprise mobile laptops. Эти ноутбуки присоединены к домену и контролируются вашей организацией. These laptops are domain-joined and managed by your organization. Управление конфигурацией в основном делается с помощью Microsoft Endpoint Manager или Microsoft Intune. Configuration management is primarily done through Microsoft Endpoint Manager or Microsoft Intune. Сотрудники, как правило, имеют стандартные привилегии пользователя и используют высокоскоростную беспроводную корпоративную сеть. Employees typically have Standard User privileges and use a high-bandwidth, wireless, corporate network.

Принесите свои собственные мобильные ноутбуки (BYOD). Bring your own device (BYOD) mobile laptops. Эти персональные ноутбуки не являются доменными, но управляются вашей организацией с помощью таких средств, как Microsoft Intune. These personally-owned laptops are not domain-joined, but are managed by your organization through tools, such as Microsoft Intune. Сотрудник, как правило, является администратором на своем устройстве и использует высокоскоростную беспроводную корпоративную сеть на работе и аналогичную личную сеть дома. The employee is typically an admin on the device and uses a high-bandwidth wireless corporate network while at work and a comparable personal network while at home.

Личные устройства. Personal devices. Эти персональные настольные компьютеры или мобильные ноутбуки не присоединяются к домену и не управляются организацией. These personally-owned desktops or mobile laptops are not domain-joined or managed by an organization. Пользователь является администратором на устройстве и использует беспроводную личную сеть с высокой пропускной способностью в то время как дома или сопоставимой общественной сети во время снаружи. The user is an admin on the device and uses a high-bandwidth wireless personal network while at home or a comparable public network while outside.

Расширение Application Guard в Microsoft Defender Microsoft Defender Application Guard Extension

Область применения: Applies to:

Расширение охраны приложений Microsoft Defender — это надстройка веб-браузера, доступная для Chrome и Firefox. Microsoft Defender Application Guard Extension is a web browser add-on available for Chrome and Firefox.

Microsoft Defender Application Guard Hyper-V в Windows 10, чтобы защитить пользователей от потенциально опасного контента в Интернете. Microsoft Defender Application Guard provides Hyper-V isolation on Windows 10, to protect users from potentially harmful content on the web. Расширение помогает Application Guard защитить пользователей, работающих с другими веб-браузерами. The extension helps Application Guard protect users running other web browsers.

Application Guard по умолчанию предоставляет поддержку как Microsoft Edge, так и Internet Explorer. Application Guard, by default, offers native support to both Microsoft Edge and Internet Explorer. Этим браузерам не требуется расширение, описанное здесь для application Guard, чтобы защитить их. These browsers do not need the extension described here for Application Guard to protect them.

Расширение охраны приложений Microsoft Defender защищает устройства в вашей организации от расширенных атак, перенаправляя ненадеганные веб-сайты в изолированную версию Microsoft Edge. Microsoft Defender Application Guard Extension defends devices in your organization from advanced attacks, by redirecting untrusted websites to an isolated version of Microsoft Edge. Если ненастоячивый веб-сайт оказывается вредоносным, он остается в защищенном контейнере Application Guard, сохраняя защиту устройства. If an untrusted website turns out to be malicious, it remains within Application Guard’s secure container, keeping the device protected.

Предварительные условия Prerequisites

Расширение охраны приложений Microsoft Defender работает со следующими выпусками Windows 10, версии 1803 или более поздней версии: Microsoft Defender Application Guard Extension works with the following editions of Windows 10, version 1803 or later:

• Windows 10 Профессиональная Windows 10 Professional
• Windows10 Корпоративная Windows 10 Enterprise
• Windows 10 для образовательных учреждений Windows 10 Education

Само приложение Guard необходимо для расширения для работы. Application Guard itself is required for the extension to work. Он имеет собственный набор требований. It has its own set of requirements. Проверьте руководство по установке Application Guard для дальнейших действий, если оно еще не установлено. Check the Application Guard installation guide for further steps, if you don’t have it installed already.

Установка расширения Installing the extension

Application Guard можно запускать в управляемом режиме или в режиме автономный. Application Guard can be run under managed mode or standalone mode. Основное различие между этими двумя режимами состоит в том, были ли установлены политики для определения границ организации. The main difference between the two modes is whether policies have been set to define the organization’s boundaries.

Администраторы предприятий, работающие в управляемом режиме Application Guard,должны сначала определить параметры сетевой изоляции Application Guard, поэтому набор корпоративных сайтов уже создан. Enterprise administrators running Application Guard under managed mode should first define Application Guard’s network isolation settings, so a set of enterprise sites is already in place.

После этого действия по установке расширения аналогичны тому, работает ли Application Guard в управляемом или автономным режиме. From there, the steps for installing the extension are similar whether Application Guard is running in managed or standalone mode.

1. На локальном устройстве скачайте и установите расширение Application Guard для Google Chrome и/или Mozilla Firefox. On the local device, download and install the Application Guard extension for Google Chrome and/or Mozilla Firefox.
2. Установите приложение-компаньон Microsoft Defender Application Guard из Microsoft Store. Install the Microsoft Defender Application Guard companion app from the Microsoft Store. Это приложение-компаньон позволяет Application Guard работать с веб-браузерами, не microsoft Edge или Internet Explorer. This companion app enables Application Guard to work with web browsers other than Microsoft Edge or Internet Explorer.
3. Перезагрузите устройство. Restart the device.

Рекомендуемые политики групп браузера Recommended browser group policies

И Chrome, и Firefox имеют собственные групповые политики для браузера. Both Chrome and Firefox have their own browser-specific group policies. Рекомендуется администраторам использовать следующие параметры политики. We recommend that admins use the following policy settings.