Compartilhar via


CSP WindowsDefenderApplicationGuard

O CSP (provedor de serviços de configuração do WindowsDefenderApplicationGuard) é usado pela empresa para configurar as configurações em Microsoft Defender Application Guard. Este CSP foi adicionado no Windows 10, versão 1709.

Edição do Windows e requisitos de licenciamento

A tabela a seguir lista as edições do Windows que dão suporte a Microsoft Defender Application Guard (MDAG) configuradas por meio do MDM:

Windows Pro Windows Enterprise Windows Pro Education/SE Educação do Windows
Não Sim Não Sim

Microsoft Defender Application Guard (MDAG) configurar por meio de direitos de licença MDM são concedidos pelas seguintes licenças:

Windows Pro/Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Educação A5
Não Sim Sim Sim Sim

Para obter mais informações sobre o licenciamento do Windows, consulte Visão geral do licenciamento do Windows.

A lista a seguir mostra os nós do provedor de serviços de configuração windowsDefenderApplicationGuard:

Auditoria

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1709 [10.0.16299] e posterior
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Audit

Nó interno para Auditoria.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato node
Tipo de acesso Obter

Audit/AuditApplicationGuard

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1709 [10.0.16299] e posterior
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Audit/AuditApplicationGuard

Essa configuração de política permite que você decida se eventos de auditoria podem ser coletados de Application Guard.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Os logs de eventos de auditoria não são coletados para Application Guard.
1 Application Guard herda suas políticas de auditoria do sistema e começa a auditar eventos de segurança para Application Guard contêiner.

Mapeamento de política de grupo:

Nome Valor
Nome AppHVSI_AuditApplicationGuardConfig
Nome Amigável Permitir eventos de auditoria em Microsoft Defender Application Guard
Localização Configuração do Computador
Caminho Componentes > do Windows Microsoft Defender Application Guard
Nome da Chave do Registro SOFTWARE\Policies\Microsoft\AppHVSI
Nome do Valor do Registro AuditApplicationGuard
Nome do Arquivo ADMX AppHVSI.admx

InstallWindowsDefenderApplicationGuard

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1709 [10.0.16299] e posterior
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/InstallWindowsDefenderApplicationGuard

Inicia a instalação remota do recurso Application Guard.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia de caracteres)
Tipo de acesso Exec, Get

Valores Permitidos:

Valor Descrição
Install Iniciará a instalação do recurso.
Uninstall Iniciará a desinstalação do recurso.

PlatformStatus

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 2004 [10.0.19041] e posterior
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/PlatformStatus

Retorna a máscara de bit que indica status de Application Guard instalação da plataforma e pré-requisitos no dispositivo. Bit 0 – Definido como 1 quando Application Guard estiver habilitado no modo de gerenciamento empresarial. Bit 1 – Definido como 1 quando o computador cliente for capaz de Hiper-V. Bit 2 – Reservado para a Microsoft. Bit 3 – Definido como 1 quando Application Guard estiver instalado no computador cliente. Bit 4 – Reservado para a Microsoft. Bit 5 – Definido como 1 quando o computador cliente atender aos requisitos mínimos de hardware.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Obter

Configurações

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1709 [10.0.16299] e posterior
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings

Nó interior para configurações.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato node
Tipo de acesso Obter

Configurações/AllowCameraMicrophoneRedirection

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1809 [10.0.17763] e posterior
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/AllowCameraMicrophoneRedirection

Essa configuração de política permite determinar se aplicativos dentro de Microsoft Defender Application Guard podem acessar a câmera e o microfone do dispositivo quando essas configurações estiverem habilitadas no dispositivo do usuário.

  • Se você habilitar essa configuração de política, os aplicativos dentro Microsoft Defender Application Guard poderão acessar a câmera e o microfone no dispositivo do usuário.

  • Se você desabilitar ou não configurar essa configuração de política, os aplicativos dentro Microsoft Defender Application Guard não poderão acessar a câmera e o microfone no dispositivo do usuário.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Microsoft Defender Application Guard não pode acessar a câmera e o microfone do dispositivo. Quando a política não está configurada, ela é a mesma que desabilitada (0).
1 Ativa a funcionalidade para permitir que Microsoft Defender Application Guard acessem a câmera e o microfone do dispositivo.

Mapeamento de política de grupo:

Nome Valor
Nome AppHVSI_AllowCameraMicrophoneRedirectionConfig
Nome Amigável Permitir acesso à câmera e ao microfone no Microsoft Defender Application Guard
Localização Configuração do Computador
Caminho Componentes > do Windows Microsoft Defender Application Guard
Nome da Chave do Registro SOFTWARE\Policies\Microsoft\AppHVSI
Nome do Valor do Registro AllowCameraMicrophoneRedirection
Nome do Arquivo ADMX AppHVSI.admx

Configurações/AllowPersistence

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1709 [10.0.16299] e posterior
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/AllowPersistence

Essa configuração de política permite que você decida se os dados devem persistir em sessões diferentes em Application Guard.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir

Valores Permitidos:

Valor Descrição
0 Application Guard descarta arquivos baixados pelo usuário e outros itens (como cookies, Favoritos e assim por diante) durante a reinicialização do computador ou logon do usuário.
1 O Application Guard salva os arquivos baixados pelo usuário e outros itens (como cookies, Favoritos etc.) para uso em sessões futuras do Application Guard.

Mapeamento de política de grupo:

Nome Valor
Nome AppHVSI_AllowPersistence
Nome Amigável Permitir persistência de dados para Microsoft Defender Application Guard
Localização Configuração do Computador
Caminho Componentes > do Windows Microsoft Defender Application Guard
Nome da Chave do Registro SOFTWARE\Policies\Microsoft\AppHVSI
Nome do Valor do Registro AllowPersistence
Nome do Arquivo ADMX AppHVSI.admx

Configurações/AllowVirtualGPU

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1803 [10.0.17134] e posterior
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/AllowVirtualGPU

Essa configuração de política permite determinar se Application Guard pode usar a GPU (Unidade de Processamento de Gráficos Virtuais) para processar gráficos. Se você habilitar essa configuração, Microsoft Defender Application Guard usará o Hyper-V para acessar GPUs (hardware gráfico de renderização de alta segurança) com suporte. Essas GPUs melhoram o desempenho de renderização e a duração da bateria ao usar Microsoft Defender Application Guard, especialmente para reprodução de vídeo e outros casos de uso intensivos em gráficos. Se você habilitar essa configuração sem conectar nenhum hardware gráfico de renderização de alta segurança, Microsoft Defender Application Guard reverter automaticamente à renderização de CPU (baseada em software).

Aviso

Habilitar essa configuração com dispositivos gráficos ou drivers potencialmente comprometidos pode representar um risco para o dispositivo host.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Não é possível acessar a vGPU e usa a CPU para dar suporte à renderização de gráficos. Quando a política não está configurada, ela é a mesma que desabilitada (0).
1 Ativa a funcionalidade para acessar a renderização de gráficos de descarregamento vGPU da CPU. Isso pode criar uma experiência mais rápida ao trabalhar com sites intensos de gráficos ou assistir a vídeos dentro do contêiner.

Mapeamento de política de grupo:

Nome Valor
Nome AppHVSI_AllowVirtualGPU
Nome Amigável Permitir renderização acelerada por hardware para Microsoft Defender Application Guard
Localização Configuração do Computador
Caminho Componentes > do Windows Microsoft Defender Application Guard
Nome da Chave do Registro SOFTWARE\Policies\Microsoft\AppHVSI
Nome do Valor do Registro AllowVirtualGPU
Nome do Arquivo ADMX AppHVSI.admx

Configurações/AllowWindowsDefenderApplicationGuard

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1709 [10.0.16299] e posterior
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/AllowWindowsDefenderApplicationGuard

Ative Microsoft Defender Application Guard no Modo Empresarial.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir

Valores Permitidos:

Valor Descrição
0 Desabilite Microsoft Defender Application Guard.
1 Habilitar Microsoft Defender Application Guard para o Microsoft Edge ONLY.
2 Habilitar Microsoft Defender Application Guard somente para ambientes isolados do Windows.
3 Habilite Microsoft Defender Application Guard para ambientes windows isolados do Microsoft Edge AND.

Mapeamento de política de grupo:

Nome Valor
Nome AllowAppHVSI
Caminho Componentes > do Windows Microsoft Defender Application Guard

Configurações/BlockNonEnterpriseContent

Observação

Essa política é preterida e pode ser removida em uma versão futura.

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1709 [10.0.16299] e posterior
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/BlockNonEnterpriseContent

Essa configuração de política permite que você decida se os sites podem carregar conteúdo não empresarial no Microsoft Edge e na Internet Explorer.

Observação

Essa configuração de política não tem mais suporte no novo navegador do Microsoft Edge. A política será preterida e removida em uma versão futura. Páginas da Web que contêm conteúdo misto, tanto empresariais quanto não empresariais, podem carregar incorretamente ou falhar completamente se esse recurso estiver habilitado.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) O conteúdo não empresarial inserido em sites corporativos tem permissão para abrir fora do contêiner Microsoft Defender Application Guard, diretamente na Internet Explorer e no Microsoft Edge.
1 O conteúdo não empresarial inserido em sites corporativos é impedido de abrir no Explorer da Internet ou no Microsoft Edge fora do Microsoft Defender Application Guard.

Mapeamento de política de grupo:

Nome Valor
Nome AppHVSI_BlockNonEnterpriseContentConfig
Nome Amigável Impedir que sites corporativos carreguem conteúdo não empresarial no Microsoft Edge e na Internet Explorer
Localização Configuração do Computador
Caminho Componentes > do Windows Microsoft Defender Application Guard
Nome da Chave do Registro SOFTWARE\Policies\Microsoft\AppHVSI
Nome do Valor do Registro BlockNonEnterpriseContent
Nome do Arquivo ADMX AppHVSI.admx

Configurações/CertificateThumbprints

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1809 [10.0.17763] e posterior
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/CertificateThumbprints

Essa configuração de política permite que certos certificados raiz de nível de dispositivo sejam compartilhados com o contêiner Microsoft Defender Application Guard.

  • Se você habilitar essa configuração, certificados com uma impressão digital correspondente aos especificados serão transferidos para o contêiner. Vários certificados podem ser especificados usando uma vírgula para separar as impressões digitais de cada certificado que você deseja transferir. Veja um exemplo: b4e72779a8a362c860c36a6461f31e3aa7e58c14,1b1d49f06d2a697a544a1059bd59a7b059a7b058cda924.

  • Se você desabilitar ou não configurar essa configuração, os certificados não serão compartilhados com o contêiner Microsoft Defender Application Guard.

Observação

Para impor essa política, é necessário reiniciar o dispositivo ou o logon/logoff do usuário.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia de caracteres)
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Lista (Delimitador: ,)

Mapeamento de política de grupo:

Nome Valor
Nome AppHVSI_CertificateThumbprints
Nome Amigável Permitir que Microsoft Defender Application Guard use autoridades de certificado raiz do dispositivo do usuário
Localização Configuração do Computador
Caminho Componentes > do Windows Microsoft Defender Application Guard
Nome da Chave do Registro SOFTWARE\Policies\Microsoft\AppHVSI
Nome do Arquivo ADMX AppHVSI.admx

Configurações/ClipboardFileType

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1709 [10.0.16299] e posterior
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/ClipboardFileType

Determina o tipo de conteúdo que pode ser copiado do host para Application Guard ambiente e vice-versa.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir

Valores Permitidos:

Valor Descrição
1 Permitir a cópia de texto.
2 Permitir a cópia de imagem.
3 Permitir a cópia de texto e imagem.

Mapeamento de política de grupo:

Nome Valor
Nome AppHVSI_ClipboardConfig
Nome Amigável Configurar configurações da área de transferência Microsoft Defender Application Guard
Localização Configuração do Computador
Caminho Componentes > do Windows Microsoft Defender Application Guard
Nome da Chave do Registro SOFTWARE\Policies\Microsoft\AppHVSI
Nome do Arquivo ADMX AppHVSI.admx

Configurações/ClipboardSettings

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1709 [10.0.16299] e posterior
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/ClipboardSettings

Essa configuração de política permite que você decida como a área de transferência se comporta enquanto está em Application Guard.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Desativa completamente a funcionalidade da área de transferência para o Application Guard.
1 Ativa a operação de área de transferência de uma sessão isolada para o host.
2 Ativa a operação de área de transferência do host para uma sessão isolada.
3 Ativa a operação de área de transferência em ambas as direções.

Mapeamento de política de grupo:

Nome Valor
Nome AppHVSI_ClipboardConfig
Nome Amigável Configurar configurações da área de transferência Microsoft Defender Application Guard
Localização Configuração do Computador
Caminho Componentes > do Windows Microsoft Defender Application Guard
Nome da Chave do Registro SOFTWARE\Policies\Microsoft\AppHVSI
Nome do Arquivo ADMX AppHVSI.admx

Configurações/PrintingSettings

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1709 [10.0.16299] e posterior
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/PrintingSettings

Essa configuração de política permite que você decida como a funcionalidade de impressão se comporta enquanto está em Application Guard.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Desabilita todas as funcionalidades de impressão.
1 Habilita apenas a impressão XPS.
2 Habilita apenas a impressão PDF.
3 Habilita a impressão de PDF e XPS.
4 Habilita apenas a impressão local.
5 Habilita a impressão local e XPS.
6 Habilita a impressão local e PDF.
7 Habilita a impressão local, PDF e XPS.
8 Habilita apenas a impressão de rede.
9 Habilita a impressão de rede e XPS.
10 Habilita a impressão de rede e PDF.
11 Habilita a impressão de rede, PDF e XPS.
12 Habilita a rede e a impressão local.
13 Habilita a impressão de rede, local e XPS.
14 Habilita a impressão de rede, local e PDF.
15 Habilita toda a impressão.

Mapeamento de política de grupo:

Nome Valor
Nome AppHVSI_PrintingConfig
Nome Amigável Configurar Microsoft Defender Application Guard configurações de impressão
Localização Configuração do Computador
Caminho Componentes > do Windows Microsoft Defender Application Guard
Nome da Chave do Registro SOFTWARE\Policies\Microsoft\AppHVSI
Nome do Arquivo ADMX AppHVSI.admx

Configurações/SaveFilesToHost

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1803 [10.0.17134] e posterior
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/SaveFilesToHost

Essa configuração de política permite determinar se os usuários podem optar por baixar arquivos do Edge no contêiner e persistir os arquivos do contêiner para o sistema operacional host.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) O usuário não pode baixar arquivos do Edge no contêiner para o sistema de arquivos do host. Quando a política não está configurada, ela é a mesma que desabilitada (0).
1 Ativa a funcionalidade para permitir que os usuários baixem arquivos do Edge no contêiner para o sistema de arquivos do host.

Mapeamento de política de grupo:

Nome Valor
Nome AppHVSI_SaveFilesToHost
Nome Amigável Permitir que os arquivos baixem e salvem no sistema operacional host de Microsoft Defender Application Guard
Localização Configuração do Computador
Caminho Componentes > do Windows Microsoft Defender Application Guard
Nome da Chave do Registro SOFTWARE\Policies\Microsoft\AppHVSI
Nome do Valor do Registro SaveFilesToHost
Nome do Arquivo ADMX AppHVSI.admx

Status

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1709 [10.0.16299] e posterior
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Status

Retorna a máscara de bit que indica status de Application Guard instalação e pré-requisitos no dispositivo. Bit 0 – Definido como 1 quando Application Guard estiver habilitado no modo de gerenciamento empresarial. Bit 1 – Definido como 1 quando o computador cliente for capaz de Hiper-V. Bit 2 – Definido como 1 quando o computador cliente tiver uma licença de sistema operacional válida e SKU. Bit 3 – Definido como 1 quando Application Guard instalado no computador cliente. Bit 4 – Definido como 1 quando as políticas de isolamento de rede necessárias forem configuradas. Bit 5 – Definido como 1 quando o computador cliente atender aos requisitos mínimos de hardware. Bit 6 – Definido como 1 quando a reinicialização do sistema é necessária.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Obter

Referência de provedor de serviços de configuração