Функцията "Windows Defender Application Guard" на Windows 10 изпълнява браузъра Microsoft Edge в изолиран виртуализиран контейнер. Дори ако злонамерен уебсайт е използвал недостатък в Edge, той не би могъл да компрометира вашия компютър. Application Guard е деактивирано по подразбиране.
Започвайки с актуализацията от 2018 г. насам, всеки, който използва Windows 10 Professional, вече може да активира Application Guard. Преди това тази функция е била налична само в Windows 10 Enterprise. Ако имате Windows 10 Home и искате Application Guard, ще трябва да преминете към Pro.
Windows Guard Application Guard, известно още като Application Guard или WDAG, работи само с браузъра Microsoft Edge. Когато активирате тази функция, Windows може да пуска Edge в защитен, изолиран контейнер.
По-конкретно, Windows използва технологията за виртуализация Hyper-V на Microsoft. Ето защо Application Guard изисква да имате компютър с хардуер за виртуализация Intel VT-X или AMD-V. Microsoft също изброява други системни изисквания, включително 64-битов процесор с поне 4 ядра, 8 GB RAM и 5 GB свободно пространство.
За да активирате тази функция, отидете на Контролен панел> Програми> Включване или изключване на функциите на Windows.
Проверете опцията "Защита на приложения на Windows Defender" от списъка тук, след което кликнете върху бутона "OK".
Ако не виждате опцията в този списък, вие използвате или домашна версия на Windows 10, или не сте надстроили до актуализацията за април 2018 г.
Ако видите опцията, но тя е зацапана, компютърът ви не поддържа тази функция. Възможно е да нямате компютър с хардуер Intel VT-x или AMD-V или може да се наложи да активирате Intel VT-X в BIOS на вашия компютър. Опцията също ще бъде сива, ако имате по-малко от 8 GB оперативна памет.
Windows ще инсталира функцията Windows Defender Application Guard. Когато това стане, ще бъдете подканени да рестартирате компютъра си. Трябва да рестартирате компютъра, преди да можете да използвате тази функция.
Edge все още работи в нормален режим на сърфиране по подразбиране, но вече можете да отворите защитен прозорец за защита, защитен с функцията Application Guard.
За да направите това, първо стартирайте Microsoft Edge нормално. В Edge кликнете върху Menu> New Window Guard Guard.
Отваря се нов отделен прозорец на браузъра Microsoft Edge. Оранжевият текст "Application Guard" в горния ляв ъгъл на прозореца ви информира, че прозорецът на браузъра е защитен с Application Guard.
Можете да отваряте допълнителни прозорци на браузъра оттук - дори и допълнителни прозорци InPrivate за частно сърфиране - и те ще имат и оранжевия текст "Application Guard".
Прозорецът Application Guard има и отделна икона от лентата на задачите от нормалната икона на браузъра Microsoft Edge. Той разполага със синя лого "Е", със сива икона на щита над него.
Когато изтегляте и отваряте някои типове файлове, Edge може да стартира зрители на документи или други видове приложения в режим Application Guard. Ако дадено приложение се изпълнява в режим "Защита на приложението", ще видите същата икона със сив щит над иконата на лентата на задачите.
В режим "Защита на приложението" не можете да използвате функциите "Любими" или "Четене" на Edge. Всяка история на браузъра, която създавате, също ще бъде изтрита, когато излезете от компютъра си. Всички "бисквитки" от текущата сесия ще бъдат изтрити, когато пеете от компютъра си. Това означава, че ще трябва да се регистрирате отново в уебсайтовете си всеки път, когато започнете да използвате режима за защита на приложения.
Изтеглянията също са ограничени. Изолираният браузър Edge няма достъп до обикновената ви файлова система, така че не можете да изтегляте файлове в системата си или да качвате файлове от обикновените си папки на уебсайтове в режим "Грешка при приложението". Не можете да изтегляте и отваряте повечето типове файлове в режима за защита на приложения, включително .exe файлове, въпреки че можете да преглеждате PDF файлове и други видове документи. Файловете, които изтегляте, се съхраняват в специална файлова система Application Guard и се изтриват, след като излезете от компютъра си.
Други функции, включително копиране и поставяне и отпечатване, също са деактивирани за прозорците Application Guard.
Microsoft добави някои опции за премахване на тези ограничения, ако искате, но това са настройките по подразбиране.
Можете да конфигурирате Windows Defender Application Guard и неговите ограничения чрез групови правила. Ако използвате защитата на приложения на собствения си самостоятелен Windows 10 Professional PC, можете да стартирате редактора за локална групова политика, като натиснете бутона Старт, като напишете "gpedit.msc" и след това натиснете Enter.
(Редакторът на груповите правила не е наличен в изданията на Home 10 на Windows 10, но нито една от функциите на Windows Defender Application Guard.)
Отворете Компютърна конфигурация> Административни шаблони> Компоненти на Windows> Защита на приложения на Windows Defender.
За да активирате "устойчивостта на данните" и позволите на Application Guard да запише вашите любими, история на браузъра и "бисквитките", щракнете двукратно върху настройката "Позволявам постоянно съхранение на данни за Windows Defender Application Guard" тук, изберете "Enabled" и натиснете "OK. няма да изтрие данните си, след като излезете от компютъра си.
За да позволите на Edge да изтегля файлове в обикновените системни папки, кликнете два пъти върху "Разрешаване на файлове за изтегляне и записване в хост операционната система от Windows Defender Application Guard", задайте "Enabled" и кликнете върху "OK".
Файловете, които изтегляте в режим "Грешка в приложението", ще бъдат запазени в папката "Неподдържани файлове" в папката за нормални файлове на потребителския акаунт в Windows.
За да дадете Edge достъп до нормалния системен клипборд, щракнете двукратно върху опцията "Конфигуриране на настройките на Windows Defender Application Guard Guard". Кликнете върху "Активирано" и персонализирайте настройките на клипборда, като използвате инструкциите тук. Например, можете да активирате операциите на клипборда от браузъра Application Guard към нормалната операционна система, от нормалната операционна система до браузъра Application Guard или по двата начина. Можете също така да изберете дали искате да разрешите копиране на текст, копиране на изображения или и двете. Кликнете върху "OK", когато сте готови.
Microsoft препоръчва да не разрешавате копирането от операционната система на хост към сесията за защита на приложението. Ако го направите, компрометирана сесия на браузъра за защита на приложенията може да чете данни от клипборда на компютъра ви.
За да активирате печатането, щракнете двукратно върху опцията "Конфигуриране на настройките за печат на Windows Defender Application Guard". Кликнете върху "Активирано" и персонализирайте настройките на принтера си, като използвате опциите тук. Например, можете да въведете "4", за да разрешите отпечатването само на местни принтери, "2", за да разрешите отпечатването само на PDF файлове или "6", за да позволите печатането само на локални принтери и PDF файлове. Кликнете върху "OK", когато сте готови.
Ако разрешите отпечатването на PDF или XPS файлове, Application Guard ще ви позволи да запазите тези файлове в нормалната файлова система на хост операционната система.
След като промените тези настройки, трябва да рестартирате компютъра си. Те няма да влязат в сила, докато не направите това.
Въпреки редактора на груповите правила, който казва, че тези настройки изискват Windows 10 Enterprise, открихме, че те работят перфектно върху Windows 10 Professional с актуализацията от април 2018 г. Някой в "Майкрософт" вероятно е забравил да актуализира документацията.
Ако имате нужда от повече информация за това, което правят тези настройки за групови правила, консултирайте се с документацията на Microsoft за защита на приложенията на Microsoft Windows Defender.
И ако се интересувате от функциите за сигурност на Windows 10, не забравяйте да погледнете до Access Controlled Folder, който помага да защитите вашите файлове от ransomware. Тази функция също е деактивирана по подразбиране.