System Windows "Windows Defender Application Guard" uruchamia przeglądarkę Microsoft Edge w izolowanym, zwirtualizowanym kontenerze. Nawet jeśli złośliwa strona wykorzystała lukę w Edge, nie mogła narazić komputera na szwank. Ochrona aplikacji jest domyślnie wyłączona.
Począwszy od aktualizacji z kwietnia 2018 r. Każdy, kto korzysta z Windows 10 Professional, może teraz włączyć Ochronę Aplikacji. Wcześniej ta funkcja była dostępna tylko w systemie Windows 10 Enterprise. Jeśli masz system Windows 10 Home i chcesz aplikacji Application Guard, musisz uaktualnić do wersji Pro.
Aplikacja Windows Defender Application Guard, znana również jako Application Guard lub WDAG, działa tylko z przeglądarką Microsoft Edge. Po włączeniu tej funkcji system Windows może uruchomić Edge w chronionym, izolowanym kontenerze.
W szczególności system Windows korzysta z technologii wirtualizacji Hyper-V firmy Microsoft. Dlatego Application Guard wymaga posiadania komputera ze sprzętem do wirtualizacji Intel VT-X lub AMD-V. Microsoft wymienia także inne wymagania systemowe, w tym 64-bitowy procesor z co najmniej 4 rdzeniami, 8 GB pamięci RAM i 5 GB wolnego miejsca.
Aby włączyć tę funkcję, przejdź do Panel sterowania> Programy> Włącz lub wyłącz funkcje systemu Windows.
Sprawdź opcję "Ochrona aplikacji Windows Defender" na liście tutaj, a następnie kliknij przycisk "OK".
Jeśli nie widzisz opcji na tej liście, używasz wersji domowej systemu Windows 10 lub nie uaktualniono jeszcze do aktualizacji z kwietnia 2018 roku.
Jeśli widzisz tę opcję, ale jest ona wyszarzona, Twój komputer nie obsługuje tej funkcji. Być może nie masz komputera PC ze sprzętem Intel VT-x lub AMD-V lub może być konieczne włączenie Intel VT-X w BIOS-ie komputera. Ta opcja również będzie wyszarzona, jeśli masz mniej niż 8 GB pamięci RAM.
System Windows zainstaluje funkcję Ochrona aplikacji Windows Defender. Po zakończeniu pojawi się monit o ponowne uruchomienie komputera. Musisz ponownie uruchomić komputer, aby móc korzystać z tej funkcji.
Edge nadal działa domyślnie w trybie przeglądania, ale teraz możesz teraz otworzyć bezpieczne okno przeglądania chronione funkcją Ochrona aplikacji.
Aby to zrobić, uruchom Microsoft Edge normalnie. W Edge, kliknij Menu> Nowe okno ochrony aplikacji.
Otworzy się nowe, oddzielne okno przeglądarki Microsoft Edge. Pomarańczowy tekst "Ochrona aplikacji" w lewym górnym rogu okna informuje, że okno przeglądarki jest zabezpieczone Ochroną aplikacji.
Możesz otworzyć stąd dodatkowe okna przeglądarki - nawet dodatkowe okna InPrivate do przeglądania prywatnego - i będą też miały pomarańczowy tekst "Ochrona aplikacji".
Okno Ochrona aplikacji ma również oddzielną ikonę na pasku zadań od normalnej ikony przeglądarki Microsoft Edge. Zawiera niebieskie logo "e" z niebieską ikoną tarczy nad nim.
Podczas pobierania i otwierania niektórych typów plików Edge może uruchamiać przeglądarki dokumentów lub inne typy aplikacji w trybie Ochrona aplikacji. Jeśli aplikacja działa w trybie Ochrony aplikacji, na jego ikonie paska zadań pojawi się ta sama ikona szarej tarczy.
W trybie Ochrona aplikacji nie można używać funkcji Ulubione lub Czytanie listy brzegów. Każda utworzona historia przeglądarki zostanie również usunięta po wylogowaniu się z komputera. Wszystkie pliki cookie z bieżącej sesji zostaną wyczyszczone, gdy śpiewasz z komputera. Oznacza to, że będziesz musiał ponownie logować się na swoich stronach internetowych za każdym razem, gdy zaczniesz korzystać z trybu ochrony aplikacji.
Pliki do pobrania są również ograniczone. Izolowana przeglądarka krawędziowa nie może uzyskać dostępu do normalnego systemu plików, więc nie można pobierać plików do systemu ani przesyłać plików z normalnych folderów do stron internetowych w trybie Ochrona aplikacji. Nie można pobierać i otwierać większości typów plików w trybie Ochrony aplikacji, w tym plików .exe, chociaż można wyświetlać pliki PDF i inne typy dokumentów. Pobrane pliki są przechowywane w specjalnym systemie plików Ochrona aplikacji i są wymazywane po wylogowaniu się z komputera.
Inne funkcje, w tym kopiowanie i wklejanie oraz drukowanie, są również wyłączone w oknach ochronnych aplikacji.
Microsoft dodał kilka opcji usunięcia tych ograniczeń, jeśli chcesz, ale są to domyślne ustawienia.
Program Windows Defender Application Guard i jego ograniczenia można skonfigurować za pomocą zasad grupy. Jeśli korzystasz z aplikacji Ochrona aplikacji na własnym samodzielnym komputerze z systemem Windows 10 Professional, możesz uruchomić Edytor zasad grupy lokalnej, klikając przycisk Start, wpisując "gpedit.msc", a następnie naciskając klawisz Enter.
(Edytor zasad grupy nie jest dostępny w wersjach Home systemu Windows 10, ale nie jest również funkcją Ochrona aplikacji Windows Defender).
Przejdź do Konfiguracja komputera> Szablony administracyjne> Składniki systemu Windows> Ochrona aplikacji Windows Defender.
Aby włączyć "utrwalanie danych" i zezwolić aplikacji na zapisywanie ulubionych, historii przeglądarki i plików cookie, kliknij dwukrotnie ustawienie "Zezwalaj na utrwalanie danych dla aplikacji Windows Defender Application Guard", wybierz "Włączone" i kliknij "OK." Ochrona aplikacji nie usunie danych po wylogowaniu się z komputera.
Aby Edge mógł pobierać pliki do normalnych folderów systemowych, kliknij dwukrotnie opcję "Zezwól na pobieranie i zapisywanie plików do hosta z poziomu aplikacji Windows Defender Application Guard", ustaw opcję "Włączone" i kliknij "OK".
Pliki pobrane w trybie Ochrony aplikacji zostaną zapisane w folderze "Niezaufane pliki" w normalnym folderze pobierania konta użytkownika Windows.
Aby zapewnić dostęp Edge do normalnego schowka systemowego, kliknij dwukrotnie opcję "Konfiguruj ustawienia schowka Ochrona aplikacji Windows Defender". Kliknij "Włączone" i dostosuj ustawienia schowka, korzystając z instrukcji tutaj. Na przykład można włączyć operacje schowka z poziomu przeglądarki aplikacji do normalnego systemu operacyjnego, od normalnego systemu operacyjnego do przeglądarki aplikacji Guard Guard lub w obie strony. Możesz także zdecydować, czy chcesz zezwolić na kopiowanie tekstu, kopiowanie obrazów, czy jedno i drugie. Kliknij "OK", kiedy skończysz.
Firma Microsoft zaleca, aby nie zezwalać na kopiowanie z systemu operacyjnego hosta do sesji Ochrona aplikacji. Jeśli tak, skompromitowana sesja przeglądarki aplikacji Ochrona może odczytać dane ze schowka komputera.
Aby włączyć drukowanie, kliknij dwukrotnie opcję "Konfiguruj ustawienia drukowania aplikacji Ochrona programu Windows Defender". Kliknij "Włączone" i dostosuj ustawienia drukarki, korzystając z dostępnych tutaj opcji. Na przykład można wpisać "4", aby umożliwić drukowanie tylko do drukarek lokalnych, "2", aby umożliwić drukowanie tylko do plików PDF, lub "6", aby umożliwić drukowanie tylko lokalnym drukarkom i plikom PDF. Kliknij "OK", kiedy skończysz.
Jeśli włączysz drukowanie do plików PDF lub XPS, Ochrona aplikacji pozwoli ci zapisać te pliki w normalnym systemie plików systemu operacyjnego hosta.
Po zmianie tych ustawień należy ponownie uruchomić komputer. Nie wejdą w życie, dopóki tego nie zrobisz.
Mimo że edytor zasad grupy twierdzi, że te ustawienia wymagają systemu Windows 10 Enterprise, okazało się, że działały idealnie dobrze w systemie Windows 10 Professional z aktualizacją z kwietnia 2018 roku. Ktoś z Microsoftu prawdopodobnie zapomniał zaktualizować dokumentację.
Jeśli potrzebujesz więcej informacji o tym, co robią te ustawienia zasad grupowych, zapoznaj się z dokumentacją zasad grupy Windows Defender Ochrona aplikacji Microsoft.
Jeśli interesują Cię funkcje zabezpieczeń systemu Windows 10, koniecznie sprawdź Kontrolowany dostęp do folderów, który pomaga chronić twoje pliki przed oprogramowaniem ransomware. Ta funkcja jest domyślnie wyłączona.