重要
Microsoft Defender 應用程式防護,包括 Windows 獨立應用程式啟動器 API,已不再用於 商務用 Microsoft Edge,將不再更新。 從 Windows 11 版本 24H2 起,Microsoft Defender 應用程式防護,包括 Windows 隔離應用程式啟動器 API,已不再提供。
現有的應用程式守護安裝
此退役不影響現有的 MDAG) Microsoft Defender 應用程式防護 (安裝。 組織仍可在現有版本的 Windows 上使用 Application Guard,但我們建議安全管理員未來評估其安全需求。 此功能可能會在未來的 Windows 版本中被移除,但現有 Windows 安裝仍會持續維護此功能。
淘汰考量
棄用包含 Application Guard 的以下元素。
- 如果您的組織需要基於容器的隔離,我們建議Windows 沙箱或Azure虛擬桌面 (AVD) 。
- 由於 Application Guard 已被棄用,將不會遷移到 Edge Manifest V3。 對應的擴充功能及相關的 Windows Store 應用程式 將於 2024 年 5 月後無法使用。 此問題影響以下瀏覽器: Chrome 與 Firefox。 如果你想封鎖未受保護的瀏覽器,直到準備好在企業中停用 MDAG,我們建議使用 AppLocker 政策或 Microsoft Edge 管理服務。
提示
下載《商務用 Microsoft Edge 安全白皮書》,了解更多讓 Edge for Business 成為安全企業瀏覽器的功能。
Edge 的額外安全功能讓它非常安全,且不需要 Application Guard。 日益增加的安全功能清單包括:
- Defender SmartScreen 用於反釣魚與惡意軟體支援,以及 URL 掃描與封鎖功能。
- 強化安全模式,透過停用即時 JavaScript 編譯 (及其他防護措施,保護記憶體相關漏洞) 。
- 網站拼字錯誤保護。
- 資料遺失防止,用以識別、監控並自動保護敏感項目。
概觀
本文說明 Microsoft Edge 如何支援 Microsoft Defender 應用程式防護 (應用程式防護)。
企業中的安全性架構師必須處理生產力與安全性之間的張力。 您可相當容易地鎖定瀏覽器,且只允許載入少數受信任的網站。 這種方法可改善整體安全性狀態,但其生產力可能會降低。 如果您降低限制以提高生產力,則會提高風險度。 這是難以達到的平衡!
在此不斷變化的威脅形勢中,我們更加難以掌握新興的威脅。 瀏覽器依舊是用戶端裝置上的主要受攻擊面,因為瀏覽器的基本任務是要讓使用者存取、下載和開啟不受信任來源中不受信任的內容。 惡意行動者不斷鑽研針對瀏覽器的新型社交工程攻擊。 安全性事件預防或偵測/回應策略無法保證 100% 安全。
所要考量的重要安全戰略就是採用破壞方法,這表示不論如何防範,都接受攻擊最少會成功一次。 此種思維需要建立防禦措施來遏制損害,以確保在此情況下公司網路和其他資源仍然受到保護。 為 Microsoft Edge 部署應用程式防護正好符合此策略。
關於應用程式防護
Application Guard 為 Windows 10/11 和 Microsoft Edge 設計,採用硬體隔離方式。 這種方法可讓不受信任的網站導覽在容器內啟動。 硬體隔離可協助企業保護企業網路和資料,以防使用者造訪遭入侵或惡意的網站。
企業系統管理員可定義受信任的網站、雲端資源和內部網路。 不在受信任的網站清單中的所有項目都會被視為不受信任。 這些網站會與使用者裝置上的公司網路和資料隔離。
如需詳細資訊:
- 觀看我們的影片:使用應用程式防護的 Microsoft Edge 瀏覽器隔離
- 請閱讀什麼是應用程式防護及其如何運作?
下一個螢幕擷取畫面顯示應用程式防護的訊息範例,其中顯示使用者正在安全的空間中瀏覽。
新增功能
新款 Microsoft Edge 瀏覽器中的 Application Guard 支援功能與舊版 Microsoft Edge 相當,並包含多項改進。
啟用上傳阻擋
從 Microsoft Edge 96 開始,管理員現在可以選擇在容器內阻擋上傳,這表示使用者無法從本地裝置上傳檔案到他們的 Application Guard 實例。 可透過原則控制這項支援。 你可以更新 Edge 政策 ApplicationGuardUploadBlockingEnabled 來啟用或停用容器中的上傳。
啟用被動模式的 Application Guard,並正常瀏覽 Edge
從 Microsoft Edge 94 開始,使用者現在可以選擇設定被動模式,這表示 Application Guard 會忽略網站列表的設定,使用者可以正常瀏覽 Edge。 可透過原則控制這項支援。 你可以更新 Edge 政策 ApplicationGuardPassiveModeEnabled 來啟用或停用被動模式。
注意
此政策只影響 Edge,因此如果你啟用了相應的擴充功能,其他瀏覽器的導航可能會被重新導向到 Application Guard 容器。
將 [我的最愛] 從主機同步處理至容器
我們的部分客戶一直要求在應用程式防護中的主機瀏覽器和容器之間同步 [我的最愛]。 從 Microsoft Edge 91 開始,使用者現在可以選擇設定應用程式防護,以將 [我的最愛] 從主機同步處理至容器。 這可確保容器上也會出現新的 [我的最愛]。
可透過原則控制這項支援。 您可以更新 Edge 原則 ApplicationGuardFavoritesSyncEnabled 以啟用或停用 [我的最愛] 同步處理。
注意
基於安全性考量,[我的最愛] 同步處理僅能從主機同步處理到容器,且不能為相反的方式。 若要確保跨主機和容器的 [我的最愛] 整合清單,我們已停用容器內的 [我的最愛] 管理。
識別源自容器的流量
數個客戶正在特定組態中使用 WDAG,以便識別來自容器的流量。 此情況的其中一些案例為:
- 若要限制僅存取少數的未受信任網站
- 若允許僅從容器存取網際網路
從 Microsoft Edge 91 版本開始,內建了標記來自 Application Guard 容器的網路流量,讓企業能使用代理程式過濾流量並套用特定政策。 您可以使用標頭以識別哪些流量是透過容器或主機使用 ApplicationGuardTrafficIdentificationEnabled。
容器內的延伸支援
容器內的延伸支援曾經是來自客戶的最熱門要求之一。 案例包含從想要在容器內執行廣告封鎖程式來提升瀏覽器效能,以至能夠在容器內執行自產的自訂延伸。
現在支援在容器中安裝延伸 (從 Microsoft Edge 版本 81 開始)。 可透過原則控制這項支援。 在 ExtensionInstallForcelist 原則中使用的 updateURL,應新增為應用程式防護所用網路隔離原則中的中性資源。
有些容器支援範例包含下列案例:
- 在主機上強制安裝延伸
- 從主機移除延伸
- 主機上封鎖的延伸
透過雙 Proxy 識別應用程式防護流量
部分企業客戶正在部署適用于特定案例的應用程式防護,以便識別來自 Microsoft Defender 應用程式防護容器的 proxy 等級網路流量。 從穩定通道版本 84 開始,Microsoft Edge 將支援雙 proxy 來滿足這一需求。 您可以使用 ApplicationGuardContainerProxy 原則來設定此功能。
下圖顯示 Microsoft Edge 的雙 proxy 架構。
用於疑難排解的診斷頁面
另一個使用者痛點就是在問題回報後,針對裝置上的應用程式防護設定進行疑難排解。 Microsoft Edge 有診斷頁面 (edge://application-guard-internals) 可針對使用者問題進行疑難排解。 其中一項診斷可根據使用者裝置上的設定來檢查 URL 信任。
下一個螢幕擷取畫面顯示多個索引標籤診斷頁面,以協助診斷使用者回報告的裝置問題。
容器中的 Microsoft Edge 更新
容器中的舊版 Microsoft Edge 更新是 Windows OS 更新週期的一部分。 由於新版 Microsoft Edge 更新本身與 Windows OS 無關,因此不再相依於容器更新。 主機 Microsoft Edge 的通道和版本會在容器內複寫。
必要條件
以下要求適用於使用 Microsoft Edge 應用程式守護的裝置:
Windows 10 1809年 (Windows 10 2018 年 10 月更新) 及以上。
僅限 Windows 用戶端 SKU
注意
Application Guard 僅支援 Windows 10/11 Pro 及 Windows 10/11 Enterprise SKU 版本。
軟體需求所述的其中一個管理解決方案
如何安裝應用程式防護
下列文章提供透過 Microsoft Edge 安裝、設定及測試應用程式防護所需的資訊。
常見問題集
Application Guard 是否正在被棄用?
是的,Microsoft Defender 應用程式防護,包括 Windows 獨立應用程式啟動器 API,將會被商務用 Microsoft Edge 棄用,且不再更新。
應用程式防護是否可在 IE 模式中運作?
IE 模式支援應用程式防護功能,但我們不期望在 IE 模式中經常使用此功能。 建議針對一些受信任的內部網站部署 IE 模式,而應用程式防護只適用於不受信任的網站。 確保所有 IE 模式的站點或 IP 位址也被加入網路隔離政策,讓 Application Guard 視為受信任資源。
我需要安裝應用程式防護 Chrome 延伸嗎?
否,Microsoft Edge 本身就支援應用程式防護功能。 事實上,應用程式防護 Chrome 延伸不是 Microsoft Edge 中支援的設定。
員工可從應用程式防護 Edge 工作階段下載文件至主機裝置嗎?
在 Windows 10 企業版 1803 中,使用者可以將文件從隔離的 Application Guard 容器下載到主機電腦。 此能力由政策管理。
在 Windows 10 企業版(1709 版)或 Windows 10 專業版(1803 版)中,無法從隔離的 Application Guard 容器下載檔案到主機電腦。 不過,員工可以使用以 PDF 列印或以 XPS 列印選項,並將這些檔案儲存至主機裝置。
員工可以在主機裝置和應用程式防護 Edge 工作階段之間複製與貼上嗎?
根據你組織的設定,員工可以複製並貼上圖片、 (.bmp) 和文字,進出隔離的容器。
為什麼員工在應用程式守護邊緣的會話中看不到他們的最愛?
根據你組織的設定,可能已經關閉了「收藏夾同步」。 要管理該政策,請參見:Microsoft Edge 與 Microsoft Defender 應用程式防護 |Microsoft Docs。
為什麼員工無法在應用程式 Guard Edge 會話中看到他們的擴充功能?
務必在你的 Application Guard 設定中啟用擴充政策。
我的擴充功能似乎在 Edge Application Guard 裡無法使用?
如果設定中啟用了 MDAG 的擴充策略,請檢查你的擴充功能是否需要原生訊息處理元件,這些擴充在 Application Guard 容器中不被支援。
我想用 HDR 觀看播放影片,為什麼缺少 HDR 選項?
為了讓 HDR 影片在容器中正常播放,必須在 Application Guard 中啟用 vGPU 硬體加速。
是否有任何其他平台相關的常見問題集?
是。 常見問答集─Microsoft Defender 應用程式防護