应用程序防护测试方案

注意

我们提供了可用于测试组织中基于硬件的隔离的方案列表。

独立模式下的应用程序防护

你可以了解员工应如何在独立模式下使用应用程序防护。

使用以下方式在独立模式下测试应用程序防护

  1. 安装应用程序防护

  2. 重启设备,Microsoft Edge 启动,然后从菜单中选择“新建应用程序防护窗口”。

    新建应用程序防护窗口设置选项。

  3. 等待应用程序防护设置隔离环境。

    注意

    重启设备后立即启动应用程序防护可能会导致加载时间稍长。 但是,后续启动应该不会出现任何可以察觉的延迟。

  4. 转到不受信任但安全的 URL(对于本示例,我们使用 msn.com),并查看新的 Microsoft Edge 窗口,确保你会看到应用程序防护视觉提示。

    在 应用程序防护 中运行的不受信任的网站。

企业托管模式下的应用程序防护

如何在企业托管模式下安装、设置、打开和配置应用程序防护。

安装、设置和打开应用程序防护

在托管模式下使用 应用程序防护 之前,必须安装 Windows 10 企业版 版本 1709 和 Windows 11,其中包括功能。 然后,你必须使用组策略进行所需的设置。

  1. 安装应用程序防护

  2. 重启设备,然后启动 Microsoft Edge。

  3. 在组策略中设置网络隔离设置:

    1. 选择 Windows 图标,键入 Group Policy,然后选择编辑组策略

    2. 转到管理模板\网络\网络隔离\托管在云中的企业资源域设置。

    3. 对于此方案,请在 .microsoft.com企业云资源 ”框中键入内容。

      组策略具有企业云资源设置的编辑器。

    4. 转到管理模板\网络\网络隔离\分类为工作和个人的域设置。

    5. 对于此方案,请在 bing.com非特定资源 ”框中键入 。

      组策略具有中性资源设置的编辑器。

  4. 转到计算机配置\管理模板\Windows 组件\Microsoft Defender 应用程序防护\在托管模式下打开Microsoft Defender 应用程序防护设置。

  5. 选择 “已启用”,选择“选项 1”,然后选择“ 确定”。

    组策略具有“打开/关闭”设置的编辑器。

    注意

    启用此设置将验证员工设备上是否正确配置了所有必要的设置,包括本方案前面部分设置的网络隔离设置。

  6. 启动 Microsoft Edge 并键入 https://www.microsoft.com

    提交 URL 后,应用程序防护确定该 URL 受信任,因为它使用已标记为受信任的域,并直接在主机电脑上而不是在应用程序防护中显示站点。

    在 Microsoft Edge 上运行的受信任网站。

  7. 在同一Microsoft Edge 浏览器中,键入不属于受信任或非特定站点列表的任何 URL。

    当你提交 URL 后,应用程序防护将确定该 URL 是不受信任的 URL,并将请求重定向到硬件隔离环境。

    在 应用程序防护 中运行的不受信任的网站。

自定义应用程序防护

应用程序防护可让你指定相关配置,以便在基于隔离的安全性与员工工作效率之间创造适当平衡。

应用程序防护提供以下默认员工行为:

  • 不允许在主机电脑与隔离容器之间进行复制和粘贴。

  • 不允许从隔离容器进行打印。

  • 数据在不同隔离容器之间不具备持久性。

你可以选择更改每项设置,以便在组策略内使用企业数据。

适用于:

  • Windows 10 企业版 版或专业版、版本 1803 或更高版本
  • Windows 11 企业版或专业版

复制和粘贴选项

  1. 转到“计算机配置\管理模板\Windows 组件\Microsoft Defender 应用程序防护\配置Microsoft Defender 应用程序防护剪贴板设置”。

  2. 选择 “已启用 ”,然后选择“ 确定”。

    组策略编辑器剪贴板选项。

  3. 选择剪贴板的工作原理:

    • 从隔离会话复制并粘贴到主机电脑

    • 从主机电脑复制并粘贴到隔离会话

    • 两个方向分别复制并粘贴

  4. 选择可复制的内容:

    • 只能在主机电脑和隔离的容器之间复制文本。

    • 只能在主机电脑和隔离容器之间复制映像。

    • 可以在主机电脑和独立容器之间复制文本和图像。

  5. 选择“确定”

  1. 转到“计算机配置\管理模板\Windows 组件\Microsoft Defender 应用程序防护\配置Microsoft Defender 应用程序防护打印设置”。

  2. 选择 “已启用 ”,然后选择“ 确定”。

    组策略编辑器打印选项。

  3. 根据设置中提供的列表,选择最能代表应向员工提供的打印类型的编号。 你可以允许本地、网络、PDF 和 XPS 打印的任意组合。

  4. 选择“确定”

数据暂留选项

  1. 转到计算机配置\管理模板\Windows 组件\Microsoft Defender 应用程序防护\允许数据暂留Microsoft Defender 应用程序防护设置。

  2. 选择 “已启用 ”,然后选择“ 确定”。

    组策略编辑器数据暂留选项。

  3. 打开 Microsoft Edge,然后浏览不受信任但安全的 URL。

    此时将在隔离会话中打开网站。

  4. 将该站点添加到收藏夹列表,然后关闭隔离会话。

  5. 注销并重新登录到设备,再次在 应用程序防护 中打开 Microsoft Edge。

    以前添加的站点仍会显示在你的收藏夹列表中。

    注意

    从 Windows 11 版本 22H2 开始,默认禁用数据暂留。 如果不允许或关闭数据暂留,重启设备或登录和注销隔离容器将触发回收事件。 此操作会丢弃所有生成的数据,例如会话 Cookie 和收藏夹,并从应用程序防护中删除数据。 如果打开数据持久性,则会在容器回收事件中保留员工生成的所有项目。 但是,这些项目仅存在于隔离的容器中,不会与主机电脑共享。 此数据在重启后保留,甚至通过Windows 10和Windows 11的内部版本到内部版本升级。

    如果你打开数据持久性,但后来决定停止为员工提供数据持久性支持,则可以使用 Windows 提供的实用程序来重置容器并放弃任何个人数据。

    若要重置容器,请执行以下步骤:
    1. 打开命令行程序并导航到 Windows/System32。
    2.键入 wdagtool.exe cleanup。 容器环境将会重置,从而仅保留员工生成的数据。
    3.键入 wdagtool.exe cleanup RESET_PERSISTENCE_LAYER。 容器环境将会重置,包括放弃员工生成的所有数据。

    Microsoft Edge 版本 90 或更高版本不再支持 RESET_PERSISTENCE_LAYER

适用于:

  • Windows 10 企业版 或 Pro 版本 1803
  • Windows 11 企业版 或 Pro 版本,版本 21H2。 默认情况下,Windows 11版本 22H2 及更高版本中禁用数据暂留。

下载选项

  1. 转到“计算机配置\管理模板\Windows 组件\Microsoft Defender 应用程序防护\允许从Microsoft Defender 应用程序防护下载文件并将其保存到主机操作系统”设置。

  2. 选择 “已启用 ”,然后选择“ 确定”。

    组策略编辑器下载选项。

  3. 注销并重新登录到设备,再次在 应用程序防护 中打开 Microsoft Edge。

  4. 从 Microsoft Defender 应用程序防护 下载文件。

  5. 查看文件是否已下载到此电脑 > 下载 > 不受信任的文件。

硬件加速选项

  1. 转到计算机配置\管理模板\Windows 组件\Microsoft Defender 应用程序防护\允许硬件加速呈现Microsoft Defender 应用程序防护设置。

  2. 选择 “已启用 ”,然后选择 “确定”。

    组策略编辑器硬件加速选项。

  3. 启用此功能后,打开 Microsoft Edge 并浏览到包含视频、3D 或其他图形密集型内容的不受信任但安全的 URL。 网站在独立会话中打开。

  4. 评估视觉体验和电池性能。

相机和麦克风选项

  1. 转到“计算机配置\管理模板\Windows 组件\Microsoft Defender 应用程序防护\在Microsoft Defender 应用程序防护中允许相机和麦克风访问”设置。

  2. 选择 “已启用 ”,然后选择“ 确定”。

    组策略编辑器相机和麦克风选项。

  3. 注销并重新登录到设备,再次在 应用程序防护 中打开 Microsoft Edge。

  4. 在 Microsoft Edge 中打开具有视频或音频功能的应用程序。

  5. 检查相机和麦克风是否按预期工作。

根证书共享选项

  1. 转到“计算机配置\管理模板\Windows 组件\Microsoft Defender 应用程序防护\允许Microsoft Defender 应用程序防护使用用户设备中的根证书颁发机构”设置。

  2. 选择“ 启用”,复制要共享的每个证书的指纹(用逗号分隔),然后选择“ 确定”。

    组策略编辑器根证书选项。

  3. 注销并重新登录到设备,再次在 应用程序防护 中打开 Microsoft Edge。

适用于第三方 Web 浏览器的应用程序防护扩展

Chrome 和 Firefox 提供的 应用程序防护 扩展允许应用程序防护保护用户,即使他们运行的是除 Microsoft Edge 或 Internet Explorer 以外的 Web 浏览器。

用户在其企业设备上安装扩展及其配套应用后,可以运行以下方案。

  1. 打开 Firefox 或 Chrome,以安装了扩展的浏览器为准。

  2. 导航到组织网站。 换句话说,由组织维护的内部网站。 在网站完全加载之前,你可能会在一瞬间看到此评估页。

    加载页面时显示的评估页,说明用户必须等待。

  3. 导航到非企业外部网站,例如 www.bing.com。 应将站点重定向到 Microsoft Defender 应用程序防护 Edge。

    正在重定向到应用程序防护容器的非企业网站 -- 显示的文本说明页面正在应用程序防护中为 Microsoft Edge 打开。

  4. 依次选择“Microsoft Defender 应用程序防护”图标和“新建应用程序防护窗口”,打开新的应用程序防护窗口

    “新建应用程序防护窗口”选项以红色突出显示