Функція Windows Defender Application Guard у Windows 10 запускає браузер Microsoft Edge в ізольованому віртуалізованому контейнері. Навіть якщо шкідливий веб-сайт використовує вразливість в Edge, він не може поставити під загрозу ваш комп'ютер. Типовий Application Guard вимкнено.
Починаючи з оновлення за квітень 2018 року, будь-хто, хто використовує Windows 10 Professional, тепер може включити Application Guard. Раніше ця функція була доступна тільки в Windows 10 Enterprise. Якщо у вас Windows 10 Home і ви хочете Application Guard, вам доведеться перейти на Pro.
Системні Вимоги
Захисник додатків Windows Defender, також відомий як Application Guard або WDAG, працює тільки з браузером Microsoft Edge. Коли ви вмикаєте цю функцію, Windows може запускати Edge в захищеному ізольованому контейнері.
Зокрема, Windows використовує технологію віртуалізації Hyper-V від Microsoft. Ось чому Application Guard вимагає наявності ПК з обладнанням для віртуалізації Intel VT-X або AMD-V. Microsoft також перераховує інші системні вимоги, включаючи 64-розрядний процесор з мінімум 4 ядрами, 8 ГБ оперативної пам'яті і 5 ГБ вільного місця.
Як увімкнути Захисник програм Захисника Windows
Щоб увімкнути цю функцію, перейдіть до Панелі керування > Увімкнути або вимкнути функції Windows.
Позначте пункт «Захисник Windows» у списку і натисніть кнопку «OK».
Якщо ви не бачите опцію в цьому списку, ви використовуєте домашню версію Windows 10 або ще не оновили оновлення до квітня 2018 року.
Якщо ви бачите цей параметр, але він недоступний, ваш комп'ютер не підтримує цю функцію. У вас може не бути ПК з апаратним забезпеченням Intel VT-x або AMD-V, або вам може знадобитися включити Intel VT-X в BIOS вашого комп'ютера. Цей параметр також буде недоступним, якщо у вас менше 8 ГБ ОЗП.
Windows встановить функцію Захисника додатків Захисника Windows. Якщо це буде зроблено, вам буде запропоновано перезавантажити комп'ютер. Ви повинні перезавантажити комп'ютер, перш ніж використовувати цю функцію.
Як запустити Edge в Application Guard
Edge, як і раніше, працює в звичайному режимі перегляду за замовчуванням, але тепер ви можете відкрити вікно безпечного перегляду, захищене функцією Application Guard.
Для цього спочатку запустіть Microsoft Edge в звичайному режимі. У Edge виберіть "Меню" > "Вікно" Захист нової програми ".
Відкриється нове окреме вікно браузера Microsoft Edge. Помаранчевий текст «Application Guard» у верхньому лівому кутку вікна інформує вас про те, що вікно браузера захищено за допомогою Application Guard.
Звідси ви можете відкрити додаткові вікна переглядача - навіть додаткові вікна InPrivate для приватного перегляду - і вони також матимуть помаранчевий текст «Application Guard».
Вікно Application Guard також має значок окремої панелі завдань від звичайного значка браузера Microsoft Edge. Він має синій логотип Edge'e "з сірим значком щита над ним.
Коли ви завантажуєте і відкриваєте деякі типи файлів, Edge може запускати засоби перегляду документів або інші типи програм у режимі Application Guard. Якщо програма працює в режимі Application Guard, ви побачите той самий піктограма сірого щита над піктограмою на панелі завдань.
У режимі Application Guard ви не можете використовувати функції вибраного або списку читання Edge. Будь-яка історія браузера, яку ви створюєте, також буде вилучена при виході з ПК. Всі куки поточного сеансу також буде вилучено, коли ви співаєте з комп "ютера. Це означає, що вам доведеться заходити на свої веб-сайти кожен раз, коли ви починаєте використовувати режим Application Guard.
Завантаження також обмежено. Ізольований браузер Edge не може отримати доступ до вашої звичайної файлової системи, тому ви не можете завантажувати файли у вашу систему або завантажувати файли зі звичайних тек на веб-сайти в режимі Application Guard. Не можна завантажувати та відкривати більшість типів файлів у режимі Application Guard, включаючи файли.exe, хоча ви можете переглядати PDF-файли та інші типи документів. Завантажені файли зберігаються в спеціальній файловій системі Application Guard і стираються після виходу з системи на комп'ютері.
Інші функції, включаючи копіювання, вставку і друк, також вимкнені для вікон Application Guard.
Microsoft додала деякі параметри, щоб зняти ці обмеження, якщо хочете, але це параметри за замовчуванням.
Як налаштувати Захисник додатків Захисника Windows
Ви можете налаштувати Захисник програм Захисника Windows і його обмеження за допомогою групової політики. Якщо ви використовуєте Application Guard на своєму автономному ПК з Windows 10 Professional, ви можете запустити редактор локальної групової політики, натиснувши «Пуск», надрукувавши «gpedit.msc», а потім натиснувши «Введення».
(Редактор групової політики недоступний у випусках Windows 10 для дому, але не підтримує функцію Захисник додатків Захисника Windows.)
Перейдіть до налаштувань комп'ютера > Адміністративні шаблони > Компоненти Windows > Захисник програм Захисника Windows.
Щоб увімкнути постійність даних та дозволити Application Guard зберігати вибрані, історію переглядача та куки, двічі клацніть «Дозволити збереження даних для Захисника Windows», виберіть «Увімкнено» та натисніть кнопку «OK». Application Guard не видалить свої дані після виходу з ПК.
Щоб Edge міг завантажувати файли у звичайні системні теки, двічі клацніть «Дозволити завантаження та збереження файлів в операційній системі вузла з Захисника програм Windows Defender», встановіть для нього значення «Включено» та натисніть «OK».
Файли, які ви завантажуєте в режимі Application Guard, зберігатимуться в теці «Ненадійні файли» всередині звичайної теки «Завантаження» вашого облікового запису Windows.
Щоб надати Edge доступ до вашого звичайного системного буфера обміну, двічі клацніть «Налаштування параметрів буфера обміну Захисника програм Windows». Натисніть «Увімкнено» та налаштуйте параметри кишені за допомогою вказаних інструкцій. Наприклад, ви можете дозволити операції з буфером обміну з браузера Application Guard в звичайну операційну систему, зі звичайної операційної системи в браузер Application Guard або обома способами. Ви також можете обрати, чи бажаєте ви дозволити копіювання тексту, копіювання зображень або і те, і інше. Натисніть кнопку «OK», коли ви закінчите.
Microsoft рекомендує не дозволяти копіювати з операційної системи вашого вузла в сеанс Application Guard. В іншому випадку скомпрометована сесія браузера Application Guard може зчитувати дані з буфера обміну вашого комп'ютера.
Щоб увімкнути друк, двічі клацніть «Параметри друку Захисника Windows». Натисніть «Увімкнено» та налаштуйте параметри принтера за допомогою параметрів. Наприклад, ви можете ввести «4», щоб включити друк лише на локальних принтерах, «2», щоб дозволити друк тільки в PDF-файли, або «6», щоб дозволити друк лише на локальні принтери та PDF-файли. Натисніть кнопку «OK», коли ви закінчите.
Якщо ви ввімкнете друк у PDF або XPS, Application Guard дозволить зберегти ці файли у звичайній файловій системі операційної системи вузла.
Ви повинні перезавантажити комп'ютер після зміни цих налаштувань. Вони не набудуть чинності, поки ви не зробите.
Незважаючи на те, що редактор групової політики сказав, що ці параметри вимагають Windows 10 Enterprise, ми виявили, що вони відмінно працювали на Windows 10 Professional з оновленням від квітня 2018 року. Хтось у Microsoft, ймовірно, забув оновити документацію.
Якщо вам потрібна додаткова інформація про дії цих параметрів групової політики, зверніться до документації з групової політики Microsoft Defender Application Guard від Microsoft.
І, якщо ви зацікавлені в функціях безпеки Windows 10, обов'язково подивіться на доступ до керованих тек, який допомагає захистити ваші файли від вимагачів. Цю функцію також вимкнено за замовчуванням.
