Modifier

Partager via


Forum aux questions - Microsoft Defender Application Guard

Remarque

  • Protection d'application Microsoft Defender, y compris les API du lanceur d’applications isolés Windows, est déconseillé pour Microsoft Edge for Business et ne sera plus mis à jour. Pour en savoir plus sur les fonctionnalités de sécurité de Microsoft Edge, consultez Microsoft Edge For Business Security.
  • À compter de Windows 11, version 24H2, Protection d'application Microsoft Defender, y compris les API du lanceur d’applications isolées Windows, n’est plus disponible.
  • Étant donné que Protection d'application est déconseillé, il n’y aura pas de migration vers Edge Manifest V3. Les extensions de navigateur correspondantes et l’application Windows Store associée ne sont plus disponibles. Si vous souhaitez bloquer les navigateurs non protégés jusqu’à ce que vous soyez prêt à mettre hors service l’utilisation de MDAG dans votre entreprise, nous vous recommandons d’utiliser des stratégies AppLocker ou le service de gestion Microsoft Edge. Pour plus d’informations, consultez Microsoft Edge et Protection d'application Microsoft Defender.

Cet article répertorie les questions fréquemment posées avec des réponses pour Protection d'application Microsoft Defender (Protection d'application). Les questions couvrent les fonctionnalités, l’intégration au système d’exploitation Windows et la configuration générale.

Forum Aux Questions

Puis-je activer Protection d'application sur les ordinateurs équipés de 4 Go de RAM ?

Nous recommandons 8 Go de RAM pour des performances optimales, mais vous pouvez utiliser les valeurs DWORD de Registre suivantes pour activer Protection d'application sur les machines qui ne répondent pas à la configuration matérielle recommandée.

HKLM\software\Microsoft\Hvsi\SpecRequiredProcessorCount (La valeur par défaut est quatre cœurs.)

HKLM\software\Microsoft\Hvsi\SpecRequiredMemoryInGB (La valeur par défaut est 8 Go.)

HKLM\software\Microsoft\Hvsi\SpecRequiredFreeDiskSpaceInGB (La valeur par défaut est 5 Go.)

Ma configuration réseau utilise un proxy et je rencontre un message « Impossible de résoudre les URL externes à partir du navigateur MDAG : erreur : err_connection_refused ». Comment faire résoudre ce problème ?

Le serveur manuel ou PAC doit être un nom d’hôte (et non une adresse IP) neutre sur la liste des sites. En outre, si le script PAC retourne un proxy, il doit répondre à ces mêmes exigences.

Pour vous assurer que les noms de domaine complets (FQDN) pour le « fichier PAC » et les « serveurs proxy vers lesquels le fichier PAC redirige » sont ajoutés en tant que ressources neutres dans les stratégies d’isolation réseau utilisées par Protection d'application, vous pouvez :

  • Vérifiez cet ajout en accédant à edge://application-guard-internals/#utilities et en entrant le nom de domaine complet pour le pac/proxy dans le champ « case activée url trust » et en vérifiant qu’il indique « Neutral ».
  • Il doit s’agir d’un nom de domaine complet. Une adresse IP simple ne fonctionne pas.
  • Si possible, les adresses IP associées au serveur hébergeant le serveur ci-dessus doivent éventuellement être supprimées des plages d’adresses IP d’entreprise dans les stratégies d’isolation réseau utilisées par Protection d'application.

Comment faire configurer Protection d'application Microsoft Defender pour qu’il fonctionne avec mon proxy réseau (adresses ip littérales) ?

Protection d'application nécessite que les proxys aient un nom symbolique, pas seulement une adresse IP. IP-Literal paramètres de proxy tels que 192.168.1.4:81 peuvent être annotés en tant que itproxy:81 ou à l’aide d’un enregistrement tel que P19216810010 pour un proxy avec une adresse IP de 192.168.100.10. Cette annotation s’applique à Windows 10 Entreprise édition, version 1709 ou ultérieure. Ces annotations concernent les stratégies de proxy sous Isolation réseau dans stratégie de groupe ou Intune.

Quels éditeurs de méthode d’entrée (IME) dans 19H1 ne sont pas pris en charge ?

Les éditeurs de méthode d’entrée (IME) suivants introduits dans Windows 10 version 1903 ne sont actuellement pas pris en charge dans Protection d'application Microsoft Defender :

  • Clavier telex vietnam
  • Clavier à touches numériques du Vietnam
  • Clavier phonétique hindi
  • Clavier phonétique bangla
  • Clavier phonétique Marathi
  • Clavier phonétique télougou
  • Clavier phonétique tamoul
  • Clavier phonétique Kannada
  • Clavier phonétique malayalam
  • Clavier phonétique gujarati
  • Clavier phonétique Odia
  • Clavier phonétique punjabi

J’ai activé la stratégie d’accélération matérielle sur mon déploiement Windows 10 Entreprise, version 1803. Pourquoi mes utilisateurs continuent-ils d’obtenir uniquement le rendu du processeur ?

Cette fonctionnalité est actuellement uniquement expérimentale et n’est pas fonctionnelle sans une clé de Registre supplémentaire fournie par Microsoft. Si vous souhaitez évaluer cette fonctionnalité sur un déploiement de Windows 10 Entreprise, version 1803, contactez Microsoft et nous travaillerons avec vous pour activer la fonctionnalité.

Qu’est-ce que le compte local WDAGUtilityAccount ?

WDAGUtilityAccount fait partie de Protection d'application, à partir de Windows 10, version 1709 (Fall Creators Update). Il reste désactivé par défaut, sauf si Protection d'application est activé sur votre appareil. WDAGUtilityAccount est utilisé pour se connecter au conteneur Protection d'application en tant qu’utilisateur standard avec un mot de passe aléatoire. Ce n’est PAS un compte malveillant. Il nécessite des autorisations d’ouverture de session en tant que service pour pouvoir fonctionner correctement. Si cette autorisation est refusée, l’erreur suivante peut s’afficher :

Erreur : 0x80070569, Erreur Ext : 0x00000001 ; RDP : Erreur : 0x00000000, Erreur Ext : 0x00000000 Emplacement : 0x00000000

Comment faire approuver un sous-domaine dans ma liste de sites ?

Pour approuver un sous-domaine, vous devez faire précéder votre domaine de deux points (..). Par exemple : ..contoso.com garantit que mail.contoso.com ou news.contoso.com sont approuvés. Le premier point représente les chaînes pour le nom du sous-domaine (courrier ou actualités), et le deuxième point reconnaît le début du nom de domaine (contoso.com). Ces deux points empêchent les sites tels que fakesitecontoso.com d’être approuvés.

Existe-t-il des différences entre l’utilisation de Protection d'application sur Windows Pro et Windows Entreprise ?

Lorsque vous utilisez Windows Pro ou Windows Entreprise, vous avez accès à l’utilisation de Protection d'application en mode autonome. Toutefois, lorsque vous utilisez Enterprise, vous avez accès à Protection d'application en mode Enterprise-Managed. Ce mode a des fonctionnalités supplémentaires que le mode autonome n’a pas. Pour plus d’informations, consultez Préparer l’installation Protection d'application Microsoft Defender.

Existe-t-il une limite de taille pour les listes de domaines que je dois configurer ?

Oui, les domaines de ressources d’entreprise hébergés dans le cloud et les domaines classés comme professionnels et personnels ont une limite de 1 6383 octets.

Pourquoi mon pilote de chiffrement s’arrête-t-il Protection d'application Microsoft Defender ?

Protection d'application Microsoft Defender accède aux fichiers à partir d’un disque dur virtuel monté sur l’hôte qui doit être écrit pendant l’installation. Si un pilote de chiffrement empêche le montage ou l’écriture d’un disque dur virtuel, Protection d'application ne fonctionne pas et génère un message d’erreur (0x80070013 ERROR_WRITE_PROTECT).

Pourquoi les stratégies d’isolation réseau dans stratégie de groupe et csp sont-elles différentes ?

Il n’existe pas de mappage un-à-un entre toutes les stratégies d’isolation réseau entre csp et gp. Les stratégies d’isolation réseau obligatoires pour déployer Protection d'application sont différentes entre csp et GP.

  • Stratégie de stratégie de stratégie de groupe d’isolation réseau obligatoire pour déployer Protection d'application : DomainSubnets ou CloudResources

  • Stratégie CSP d’isolation réseau obligatoire pour déployer Protection d'application : EnterpriseCloudResources ou (EnterpriseIpRange et EnterpriseNetworkDomainNames)

  • Pour EnterpriseNetworkDomainNames, il n’existe aucune stratégie CSP mappée.

Protection d'application accède aux fichiers à partir d’un disque dur virtuel monté sur l’hôte qui doit être écrit pendant l’installation. Si un pilote de chiffrement empêche le montage ou l’écriture d’un disque dur virtuel, Protection d'application ne fonctionne pas et génère un message d’erreur (0x80070013 ERROR_WRITE_PROTECT).

Pourquoi Protection d'application a-t-il cessé de fonctionner après la désactivation de l’hyperthreading ?

Si l’hyperthreading est désactivé (en raison d’une mise à jour appliquée par le biais d’un article de la base de connaissances ou des paramètres du BIOS), il est possible que Protection d'application ne répondent plus à la configuration minimale requise.

Pourquoi le message d’erreur « ERROR_VIRTUAL_DISK_LIMITATION » s’affiche-t-il ?

Protection d'application risque de ne pas fonctionner correctement sur les volumes compressés NTFS. Si ce problème persiste, essayez de décompresser le volume.

Pourquoi le message d’erreur « ERR_NAME_NOT_RESOLVED » s’affiche-t-il quand je ne parviens pas à atteindre le fichier PAC ?

Ce problème est connu. Pour atténuer ce problème, vous devez créer deux règles de pare-feu. Pour plus d’informations sur la création d’une règle de pare-feu avec stratégie de groupe, consultez Configurer des règles de pare-feu Windows avec une stratégie de groupe.

Première règle (serveur DHCP)

  • Chemin du programme : %SystemRoot%\System32\svchost.exe

  • Service local : Sid: S-1-5-80-2009329905-444645132-2728249442-922493431-93864177 (Internet Connection Service (SharedAccess))

  • Protocole UDP

  • Port 67

Deuxième règle (client DHCP)

Cette règle est identique à la première règle, mais étendue au port local 68. Dans l’interface utilisateur du pare-feu Microsoft Defender, effectuez les étapes suivantes :

  1. Cliquez avec le bouton droit sur les règles de trafic entrant, puis créez une règle.

  2. Choisissez une règle personnalisée.

  3. Spécifiez le chemin d’accès du programme suivant : %SystemRoot%\System32\svchost.exe.

  4. Spécifiez les paramètres suivants :

    • Type de protocole : UDP
    • Ports spécifiques : 67
    • Port distant : tout
  5. Spécifiez les adresses IP.

  6. Autorisez la connexion.

  7. Spécifiez pour utiliser tous les profils.

  8. La nouvelle règle doit s’afficher dans l’interface utilisateur. Cliquez avec le bouton droit sur lespropriétés de la règle>.

  9. Sous l’onglet Programmes et services , sous la section Services , sélectionnez Paramètres.

  10. Choisissez Appliquer à ce service et sélectionnez Accès partagé ics (Partage de connexion Internet).

Comment puis-je désactiver des parties du service de connexion Internet (ICS) sans interrompre Protection d'application ?

ICS est activé par défaut dans Windows, et ICS doit l’être pour que Protection d'application fonctionne correctement. Nous vous déconseillons de désactiver ics. Toutefois, vous pouvez désactiver l’ICS en partie en utilisant une stratégie de groupe et en modifiant les clés de Registre.

  1. Dans le paramètre stratégie de groupe, Interdire l’utilisation du partage de connexion Internet sur votre réseau de domaine DNS, définissez-le sur Désactivé.

  2. Désactivez IpNat.sys du chargement ICS comme suit :
    System\CurrentControlSet\Services\SharedAccess\Parameters\DisableIpNat = 1

  3. Configurez ICS (SharedAccess) à activer comme suit :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Start = 3

  4. (Cette étape est facultative) Désactivez IPNAT comme suit :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPNat\Start = 4

  5. Redémarrez l'appareil.

Pourquoi le conteneur ne se charge-t-il pas entièrement lorsque les stratégies de contrôle d’appareil sont activées ?

Les éléments répertoriés dans la liste verte doivent être configurés comme « autorisés » dans l’objet stratégie de groupe pour garantir le bon fonctionnement d’AppGuard.

Stratégie : Autoriser l’installation d’appareils qui correspondent à l’un des ID d’appareil suivants :

  • SCSI\DiskMsft____Virtual_Disk____
  • {8e7bd593-6e6c-4c52-86a6-77175494dd8e}\msvhdhba
  • VMS_VSF
  • root\Vpcivsp
  • root\VMBus
  • vms_mp
  • VMS_VSP
  • ROOT\VKRNLINTVSP
  • ROOT\VID
  • root\storvsp
  • vms_vsmp
  • VMS_PP

Stratégie : Autoriser l’installation d’appareils à l’aide de pilotes qui correspondent à ces classes de configuration d’appareil

  • {71a27cdd-812a-11d0-bec7-08002be2092f}

Je rencontre des problèmes de fragmentation TCP et je ne peux pas activer ma connexion VPN. Comment faire résoudre ce problème ?

WinNAT supprime les messages ICMP/UDP avec des paquets supérieurs à MTU lors de l’utilisation du commutateur par défaut ou du réseau NAT Docker. La prise en charge de cette solution a été ajoutée dans KB4571744. Pour résoudre le problème, installez la mise à jour et activez le correctif en procédant comme suit :

  1. Vérifiez que fragmentAware DWORD est défini sur 1 dans ce paramètre de Registre : \Registry\Machine\SYSTEM\CurrentControlSet\Services\Winnat.

  2. Redémarrez l'appareil.

Que font les utilisateurs _Allow d’approuver les fichiers qui s’ouvrent dans Microsoft Defender’option Application Guard_ de la stratégie de groupe ?

Cette stratégie était présente dans Windows 10 avant la version 2004. Il a été supprimé des versions ultérieures de Windows, car il n’applique rien pour Microsoft Edge ou Office.

Comment faire ouvrir un ticket de support pour Protection d'application Microsoft Defender ?

  • Consultez Créer une demande de support.
  • Sous Famille de produits, sélectionnez Windows. Sélectionnez le produit et la version du produit pour lequel vous avez besoin d’aide. Pour la catégorie qui décrit le mieux le problème, sélectionnez, Sécurité Windows Technologies. Dans la dernière option, sélectionnez Windows Defender Protection d'application.

Existe-t-il un moyen d’activer ou de désactiver le comportement où l’onglet Microsoft Edge hôte se ferme automatiquement lors de la navigation vers un site non approuvé ?

Oui. Utilisez cet indicateur Microsoft Edge pour activer ou désactiver ce comportement : --disable-features="msWdagAutoCloseNavigatedTabs"