Editar

Compartilhar via


Perguntas frequentes - Microsoft Defender Application Guard

Observação

Este artigo lista perguntas frequentes com respostas para o Microsoft Defender Application Guard (Application Guard). As perguntas abrangem recursos, integração com o sistema operacional Windows e configuração geral.

Perguntas frequentes

Posso habilitar o Application Guard em computadores equipados com 4GB de RAM?

É recomendável 8GB de RAM para o desempenho ideal, mas você pode usar os seguintes valores do DWORD para habilitar o Application Guard em computadores que não estejam atendendo à configuração de hardware recomendada.

HKLM\software\Microsoft\Hvsi\SpecRequiredProcessorCount (o padrão é quatro núcleos.)

HKLM\software\Microsoft\Hvsi\SpecRequiredMemoryInGB (o padrão é 8 GB.)

HKLM\software\Microsoft\Hvsi\SpecRequiredFreeDiskSpaceInGB (o padrão é 5 GB.)

Minha configuração de rede usa um proxy e estou me deparando com a mensagem “Não é possível resolver URLs externos do navegador MDAG: Erro: err_connection_refused”. Como resolver isso?

O servidor pac ou manual deve ser um nome de host (não IP) neutro na lista de sites. Além disso, se o script PAC retornar um proxy, ele deverá atender aos mesmos requisitos.

Para garantir que os FQDNs (Nomes de Domínio Totalmente Qualificados) “para o arquivo PAC”“e os servidores proxy aos quais o arquivo PAC redireciona sejam adicionados como Recursos Neutros nas políticas de Isolamento de Rede usadas” pelo Application Guard, você pode:

  • Verifique essa adição acessando edge://application-guard-internals/#utilities e inserindo o FQDN para o pac/proxy no campo de “verificar confiança da URL” e verificar se ele diz “Neutro”.
  • Ele deve ser um FQDN. Um endereço IP simples não funcionará.
  • Opcionalmente, se possível, os endereços IP associados ao servidor que hospeda os itens acima devem ser removidos dos Intervalos IP corporativos nas políticas de Isolamento de Rede usadas pelo Application Guard.

Como fazer configurar o Microsoft Defender Application Guard para trabalhar com meu proxy de rede (Endereços Literais IP)?

O Application Guard requer que os proxies tenham um nome simbólico, não apenas um endereço IP. As configurações de proxy IP-Literal, como 192.168.1.4:81, podem ser anotadas como itproxy:81 ou usando um registro como P19216810010 para um proxy com um endereço IP de 192.168.100.10. Essa anotação se aplica à Windows 10 Enterprise, versão 1709 ou superior. Essas anotações seriam para as políticas de proxy em Isolamento de Rede no Política de Grupo ou no Intune.

Quais IME (Editores de Método de Entrada) no 19H1 não têm suporte?

Atualmente, não há suporte para os seguintes IME (Editores de Método de Entrada) introduzidos no Windows 10, versão 1903 no Microsoft Defender Application Guard:

  • Teclado Telex do Vietnã
  • Teclado baseado em teclas de número do Linux
  • Teclado fonético híndi
  • Teclado fonético bangla
  • Teclado fonético marati
  • Teclado fonético telugu
  • Teclado fonético tamil
  • Teclado fonético canarim
  • Teclado fonético malaiala
  • Teclado fonético guzerate
  • Teclado fonético oriá
  • Teclado fonético panjabi

Habilitei a política de aceleração de hardware na minha Windows 10 Enterprise, versão 1803. Por que meus usuários ainda estão recebendo renderização de CPU?

Atualmente, esse recurso é apenas experimental e não funciona sem uma chave de registro extra fornecida pela Microsoft. Se você quiser avaliar esse recurso em uma implantação do Windows 10 Enterprise, versão 1803, entre em contato com a Microsoft e trabalharemos com você para habilitar o recurso.

O que é a conta local WDAGUtilityAccount?

A WDAGUtilityAccount faz parte do Application Guard, começando com Windows 10, versão 1709 (Fall Creators Update). Ele permanece desabilitado por padrão, a menos que o Application Guard esteja habilitado em seu dispositivo. A WDAGUtilityAccount é usada para entrar no contêiner Application Guard como um usuário padrão com uma senha aleatória. NÃO é uma conta mal-intencionada. Ele requer permissões de logon como um serviço para poder funcionar corretamente. Se essa permissão for negada, você poderá ver o seguinte erro:

Erro: 0x80070569, Erro ext: 0x00000001; RDP: Erro: 0x00000000, Erro ext: 0x00000000 Local: 0x00000000

Como fazer para confiar em um subdomínio da minha lista de sites?

Para confiar em um subdomínio, você deve preceder seu domínio com dois pontos (..). Por exemplo: ..contoso.com garante que mail.contoso.com ou news.contoso.com sejam confiáveis. O primeiro ponto representa as cadeias de caracteres para o nome do subdomínio (email ou notícias) e o segundo ponto reconhece o início do nome de domínio (contoso.com). Esses dois pontos impedem que sites como fakesitecontoso.com sejam confiáveis.

Há diferenças entre o uso do Application Guard Windows Pro versus Windows Enterprise?

Ao usar o Windows Pro ou o Windows Enterprise, você tem acesso ao uso do Application Guard em modo autônomo. No entanto, ao usar o Enterprise, você tem acesso ao Application Guard no Modo Gerenciado empresarial. Esse modo tem alguns recursos adicionais que o Modo Autônomo não tem. Para obter mais informações, consulte Preparar para instalar o Microsoft Defender Application Guard.

Há um limite de tamanho para as listas de domínios que preciso configurar?

Sim, os domínios dos recursos da empresa hospedados na nuvem e os domínios categorizados como pessoais e de trabalho têm um limite de 1.6383 bytes.

Por que meu driver de criptografia interrompe o Microsoft Defender Application Guard?

O Microsoft Defender Application Guard acessa arquivos de um VHD montado no host que precisa ser gravado durante a instalação. Se um driver de criptografia impedir que um VHD seja montado ou gravado, o Application Guard não funcionará e resultará em uma mensagem de erro (0x80070013 ERROR_WRITE_PROTECT).

Por que as políticas de Isolamento de Rede Política de Grupo e CSP parecem diferentes?

Não há um mapeamento um-para-um entre todas as políticas de Isolamento de Rede entre o CSP e o GP. As políticas de isolamento de rede obrigatórias para o Application Guard são diferentes entre o CSP e o GP.

  • Política de GP de isolamento de rede obrigatória para Application Guard: DomainSubnets ou CloudResources

  • Política CSP de isolamento de rede obrigatória para implantar o Application Guard: EnterpriseCloudResources ou (EnterpriseIpRange e EnterpriseNetworkDomainNames)

  • Para EnterpriseNetworkDomainNames, não há nenhuma política CSP mapeada.

O Application Guard acessa arquivos de um VHD montado no host que precisa ser gravado durante a instalação. Se um driver de criptografia impedir que um VHD seja montado ou gravado, o Application Guard não funcionará e resultará em uma mensagem de erro (0x80070013 ERROR_WRITE_PROTECT).

Por que o Application Guard parou de funcionar depois que desativei o hyperthreading?

Se o hyperthreading estiver desabilitado (devido a uma atualização aplicada por meio de um artigo da KB ou por meio das configurações do BIOS), haverá uma possibilidade do Application Guard não atender mais aos requisitos mínimos.

Por que estou recebendo a mensagem de erro "ERROR_VIRTUAL_DISK_LIMITATION"?

O Application Guard pode não funcionar corretamente em volumes compactados NTFS. Se esse problema persistir, tente descompactar o volume.

Por que estou recebendo a mensagem de erro "ERR_NAME_NOT_RESOLVED" depois de não conseguir acessar o arquivo PAC?

Esse problema é conhecido. Para atenuar esse problema, você precisa criar duas regras de firewall. Para obter informações sobre como criar uma regra de firewall com Política de Grupo, veja Configurar regras da Firewall do Windows com a política de grupo

Primeira regra (Servidor DHCP)

  • Caminho do programa: %SystemRoot%\System32\svchost.exe

  • Serviço Local: Sid: S-1-5-80-2009329905-444645132-2728249442-922493431-93864177 (Internet Connection Service (SharedAccess))

  • Protocolo UDP

  • Porta 67

Segunda regra (Cliente DHCP)

Essa regra é a mesma que a primeira, mas tem como escopo a porta local 68. Na interface do usuário do Microsoft Defender Firewall, siga as etapas a seguir:

  1. Clique com o botão direito do mouse nas regras de entrada e crie uma nova regra.

  2. Escolha regra personalizada.

  3. Especifique o seguinte caminho de programa: %SystemRoot%\System32\svchost.exe.

  4. Especifique as seguintes configurações:

    • Tipo de protocolo: UDP
    • Portas específicas: 67
    • Porta remota: qualquer uma
  5. Especifique quaisquer endereços IP.

  6. Permitir a conexão.

  7. Especifique para usar todos os perfis.

  8. A nova regra deve aparecer na interface do usuário. Clique com o botão direito do mouse regra>propriedades.

  9. Na guia Programas e serviços, na seção Serviços, selecione configurações.

  10. Escolha Aplicar a este Serviço e selecione Acesso Compartilhado ao Compartilhamento de Conexão com a Internet (ICS).

Como posso desabilitar partes do ICS (Serviço de Conexão com a Internet) sem interromper o Application Guard?

O ICS é habilitado por padrão no Windows e o ICS deve ser habilitado para que o Application Guard funcione corretamente. Não recomendamos desabilitar o ICS; no entanto, você pode desabilitar o ICS em parte usando uma Política de Grupo e editando as chaves de registro.

  1. Na configuração da Política de Grupo, Proibir o uso do Compartilhamento de Conexão com a Internet na rede de domínio DNS, defina-o como Desabilitado.

  2. Desabilite o IpNat.sys da carga do ICS da seguinte maneira:
    System\CurrentControlSet\Services\SharedAccess\Parameters\DisableIpNat = 1

  3. Configure o ICS (SharedAccess) para ser habilitado da seguinte forma:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Start = 3

  4. (Esta etapa é opcional) Desabilite o IPNAT da seguinte forma:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPNat\Start = 4

  5. Reinicialize o dispositivo.

Por que o contêiner não é totalmente carregado quando as políticas de controle de dispositivo estão habilitadas?

Os itens da lista de permissões devem ser configurados como "permitidos" no Objeto de Política de Grupo para garantir que o AppGuard funcione corretamente.

Política: permitir a instalação de dispositivos que correspondam a qualquer uma das seguintes IDs de dispositivo:

  • SCSI\DiskMsft____Virtual_Disk____
  • {8e7bd593-6e6c-4c52-86a6-77175494dd8e}\msvhdhba
  • VMS_VSF
  • root\Vpcivsp
  • root\VMBus
  • vms_mp
  • VMS_VSP
  • ROOT\VKRNLINTVSP
  • ROOT\VID
  • root\storvsp
  • vms_vsmp
  • VMS_PP

Política: permitir a instalação de dispositivos usando drivers que correspondam a essas classes de configuração de dispositivo

  • {71a27cdd-812a-11d0-bec7-08002be2092f}

Estou enfrentando problemas de fragmentação de TCP e não consigo ativar minha conexão VPN. Como faço corrigir esse problema?

O WinNAT descarta mensagens ICMP/UDP com pacotes maiores que o MTU ao usar a Alternância Padrão ou a rede NAT do Docker. O suporte para esta solução foi adicionado ao KB4571744. Para corrigir o problema, instale a atualização e habilite a correção seguindo estas etapas:

  1. Verifique se o FragmentAware DWORD está definido como 1 nesta configuração de registro: \Registry\Machine\SYSTEM\CurrentControlSet\Services\Winnat.

  2. Reinicialize o dispositivo.

Qual é a função da opção _Permitir que os usuários confiem em arquivos abertos no Microsoft Defender Application Guard_ na política de grupo?

Essa política estava presente no Windows 10 anterior à versão 2004. Foi removido das versões posteriores do Windows, uma vez que não impõe nada ao Microsoft Edge ou ao Office.

Como faço para abrir um tíquete de suporte para o Microsoft Defender Application Guard?

  • Visite Criar uma nova solicitação de suporte.
  • Na Família de Produtos, selecione Windows. Selecione o produto e a versão do produto com os quais você precisa de ajuda. Para a categoria que melhor descreve o problema, selecione Tecnologias de Segurança do Windows. Na opção final, selecione Windows Defender Application Guard.

Existe alguma forma de ativar ou desativar o comportamento em que o separador anfitrião do Microsoft Edge fecha automaticamente ao navegar para um site não fidedigno?

Sim. Utilize este sinalizador do Microsoft Edge para ativar ou desativar este comportamento: --disable-features="msWdagAutoCloseNavigatedTabs"