编辑

通过

常见问题 - Microsoft Defender 应用程序防护

  • 常见问题解答

注意

本文列出了常见问题以及Microsoft Defender 应用程序防护 (应用程序防护) 的解答。 问题涉及功能、与 Windows 操作系统的集成和常规配置。

常见问题

是否可以在配备 4 GB RAM 的计算机上启用应用程序防护?

建议使用 8 GB RAM 以获得最佳性能,但你可以使用以下注册表 DWORD 值在不符合建议的硬件配置的计算机上启用应用程序防护。

HKLM\software\Microsoft\Hvsi\SpecRequiredProcessorCount (默认值为四个 cores.)

HKLM\software\Microsoft\Hvsi\SpecRequiredMemoryInGB (默认值为 8 GB.)

HKLM\software\Microsoft\Hvsi\SpecRequiredFreeDiskSpaceInGB (默认值为 5 GB.)

我的网络配置使用代理,并且遇到“无法从 MDAG 浏览器解析外部 URL:错误: err_connection_refused”。 如何实现解决此问题?

手动服务器或 PAC 服务器必须是主机名, (不是站点列表上中立的 IP) 。 此外,如果 PAC 脚本返回代理,它必须满足这些相同的要求。

若要确保 FQDN (“PAC 文件”和“PAC 文件重定向到的代理服务器”) 的完全限定域名作为应用程序防护使用的网络隔离策略中的非特定资源添加,可以:

  • 通过转到 edge://application-guard-internals/#utilities 并在“检查 url 信任”字段中输入 pac/proxy 的 FQDN 并验证它是否显示“Neutral”来验证此添加。
  • 它必须是 FQDN。 简单的 IP 地址不起作用。
  • (可选)如果可能,应从应用程序防护使用的网络隔离策略中的企业 IP 范围中删除与托管上述内容的服务器关联的 IP 地址。

如何实现配置Microsoft Defender 应用程序防护以使用网络代理 (IP 文本地址) ?

应用程序防护要求代理具有符号名称,而不仅仅是 IP 地址。 IP-Literal 代理设置(如192.168.1.4:81)可以注释为 itproxy:81 ,或者对 IP 地址为 的192.168.100.10代理使用记录(例如 P19216810010 )。 此注释适用于 Windows 10 企业版 版本 1709 或更高版本。 这些注释适用于 组策略 或 Intune 中的“网络隔离”下的代理策略。

不支持哪些输入法编辑器 (19H1 中的 IME) ?

Microsoft Defender 应用程序防护目前不支持在 Windows 10 版本 1903 中引入的以下输入法编辑器 (IME) :

  • 越南 Telex 键盘
  • 越南基于数字键的键盘
  • 印地语拼音键盘
  • 孟加拉语拼音键盘
  • 马拉地语拼音键盘
  • 泰卢固语拼音键盘
  • 泰米尔语拼音键盘
  • Kannada 拼音键盘
  • 马拉雅拉姆语拼音键盘
  • 古吉拉特语拼音键盘
  • Odia 拼音键盘
  • 旁遮普语拼音键盘

我在Windows 10 企业版版本 1803 部署上启用了硬件加速策略。 为什么我的用户仍然只获得 CPU 呈现?

此功能目前只是实验性的,如果没有Microsoft提供的额外注册表项,此功能将无法正常运行。 如果要在部署 Windows 10 企业版 版本 1803 时评估此功能,请联系 Microsoft,我们将与你一起启用此功能。

什么是 WDAGUtilityAccount 本地帐户?

WDAGUtilityAccount 是 应用程序防护 的一部分,从 Windows 10 版本 1709 开始, (Fall Creators Update) 。 默认情况下,除非在你的设备上启用了应用程序防护,否则它保持禁用状态。 WDAGUtilityAccount 用于以标准用户身份使用随机密码登录到 应用程序防护 容器。 这不是恶意帐户。 它需要 “以服务身份登录” 权限才能正常运行。 如果拒绝此权限,可能会看到以下错误:

错误:0x80070569,Ext 错误:0x00000001;RDP:错误: 0x00000000,Ext 错误: 0x00000000 位置: 0x00000000

如何实现信任站点列表中的子域?

若要信任子域,必须在域前面加上两个点 (。) 。 例如: ..contoso.com 确保 mail.contoso.comnews.contoso.com 受信任。 第一个点表示子域名称 (邮件或新闻) 的字符串,第二个点识别域名 (contoso.com) 的开头。 这两个点会阻止站点(例如 fakesitecontoso.com )受信任。

在 Windows 专业版与 Windows 企业版上使用 应用程序防护 之间是否有区别?

使用 Windows 专业版或 Windows 企业版时,可以在独立模式下使用 应用程序防护。 但是,使用 Enterprise 时,可以在 Enterprise-Managed 模式下访问应用程序防护。 此模式具有独立模式所没有的一些额外功能。 有关详细信息,请参阅准备安装 Microsoft Defender 应用程序防护

我需要配置的域列表是否有大小限制?

是的,托管在云中的企业资源域和归类为工作和个人的域都有 1,6383 字节的限制。

为什么我的加密驱动程序会中断Microsoft Defender 应用程序防护?

Microsoft Defender 应用程序防护从安装在主机上的 VHD 访问在安装过程中需要写入的文件。 如果加密驱动程序阻止装载或写入 VHD,应用程序防护不起作用,并导致错误消息 (0x80070013 ERROR_WRITE_PROTECT) 。

为什么 组策略 和 CSP 中的网络隔离策略看起来不同?

CSP 和 GP 之间的所有网络隔离策略之间没有一对一映射。 云解决方案提供商和 GP 部署应用程序防护的强制网络隔离策略有所不同。

  • 部署应用程序防护强制网络隔离 GP 策略:DomainSubnets 或 CloudResources

  • 部署应用程序防护的强制网络隔离 CSP 策略:EnterpriseCloudResources 或 (EnterpriseIpRange 和 EnterpriseNetworkDomainNames)

  • 对于 EnterpriseNetworkDomainNames,没有映射的 CSP 策略。

应用程序防护从安装在主机上的 VHD 访问在安装过程中需要写入的文件。 如果加密驱动程序阻止装载或写入 VHD,应用程序防护不起作用,并导致错误消息 (0x80070013 ERROR_WRITE_PROTECT) 。

为什么应用程序防护关闭超线程后停止工作?

如果由于通过知识库文章或 BIOS 设置) 应用的更新而 (禁用超线程处理,则应用程序防护可能不再满足最低要求。

为什么收到错误消息“ERROR_VIRTUAL_DISK_LIMITATION”?

应用程序防护可能无法在 NTFS 压缩卷上正常工作。 如果此问题仍然存在,请尝试解压缩卷。

无法访问 PAC 文件后,为什么收到错误消息“ERR_NAME_NOT_RESOLVED”?

此问题是已知问题。 若要缓解此问题,需要创建两个防火墙规则。 有关使用组策略创建防火墙规则的信息,请参阅使用组策略配置 Windows 防火墙规则

DHCP 服务器) (第一个规则

  • 程序路径: %SystemRoot%\System32\svchost.exe

  • 本地服务: Sid: S-1-5-80-2009329905-444645132-2728249442-922493431-93864177 (Internet Connection Service (SharedAccess))

  • 协议 UDP

  • 端口 67

DHCP 客户端) (第二个规则

此规则与第一个规则相同,但作用域为本地端口 68。 在“Microsoft Defender防火墙”用户界面中,执行以下步骤:

  1. 右键单击入站规则,然后创建新规则。

  2. 选择 自定义规则

  3. 指定以下程序路径: %SystemRoot%\System32\svchost.exe

  4. 指定以下设置:

    • 协议类型:UDP
    • 特定端口:67
    • 远程端口:任意

  5. 指定任何 IP 地址。

  6. 允许连接。

  7. 指定 以使用所有配置文件。

  8. 新规则应显示在用户界面中。 右键单击 规则>属性

  9. 在“ 程序和服务 ”选项卡中的“ 服务 ”部分下,选择 “设置”。

  10. 选择 “应用于此服务 ”,然后选择“ Internet 连接共享 (ICS) 共享访问”。

如何在不中断应用程序防护的情况下禁用 Internet 连接服务 (ICS) 部分?

默认情况下,ICS 在 Windows 中处于启用状态,并且必须启用 ICS 才能使应用程序防护正常工作。 我们不建议禁用 ICS;但是,可以通过使用组策略和编辑注册表项来部分禁用 ICS。

  1. 在“组策略设置”禁止在 DNS 域网络上使用 Internet 连接共享“中,将其设置为”禁用”。

  2. 按如下所示禁用 ICS 加载中的 IpNat.sys:
    System\CurrentControlSet\Services\SharedAccess\Parameters\DisableIpNat = 1

  3. 将 ICS (SharedAccess) 配置为启用,如下所示:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Start = 3

  4. (此步骤是可选的) 禁用 IPNAT,如下所示:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPNat\Start = 4

  5. 重新启动设备。

启用设备控制策略后,为什么容器无法完全加载?

必须在 组策略 对象中将允许列出的项配置为“允许”,以确保 AppGuard 正常工作。

策略:允许安装与以下任何设备 ID 匹配的设备:

  • SCSI\DiskMsft____Virtual_Disk____
  • {8e7bd593-6e6c-4c52-86a6-77175494dd8e}\msvhdhba
  • VMS_VSF
  • root\Vpcivsp
  • root\VMBus
  • vms_mp
  • VMS_VSP
  • ROOT\VKRNLINTVSP
  • ROOT\VID
  • root\storvsp
  • vms_vsmp
  • VMS_PP

策略:允许使用与这些设备安装类匹配的驱动程序安装设备

  • {71a27cdd-812a-11d0-bec7-08002be2092f}

我遇到了 TCP 碎片问题,无法启用 VPN 连接。 如何实现解决此问题?

使用默认交换机或 Docker NAT 网络时,WinNAT 会删除数据包大于 MTU 的 ICMP/UDP 消息。 KB4571744中添加了对此解决方案的支持。 若要解决此问题,请安装更新并按照以下步骤启用修补程序:

  1. 确保在以下注册表设置中将 FragmentAware DWORD 设置为 1: \Registry\Machine\SYSTEM\CurrentControlSet\Services\Winnat

  2. 重新启动设备。

_Allow用户信任组策略中“Microsoft Defender应用程序Guard_”选项中打开的文件有何用途?

此策略存在于版本 2004 之前的 Windows 10 中。 它已从更高版本的 Windows 中删除,因为它不会对 Microsoft Edge 或 Office 强制实施任何操作。

如何实现为Microsoft Defender 应用程序防护开具支持票证?

  • 请访问 创建新的支持请求
  • 在“产品系列”下,选择“Windows”。 选择需要帮助的产品和产品版本。 对于最能描述问题的类别,请选择“Windows 安全中心技术”。 在最后一个选项中,选择“Windows Defender 应用程序防护”。

是否有方法可以启用或禁用主机Microsoft Edge 选项卡在导航到不受信任的站点时自动关闭的行为?

是。 使用此Microsoft Edge 标志启用或禁用此行为: --disable-features="msWdagAutoCloseNavigatedTabs"

另请参阅

配置Microsoft Defender 应用程序防护策略设置