Funkce „Windows Defender Application Guard“ systému Windows 10 spouští prohlížeč Microsoft Edge v izolované virtualizovaný kontejner. I když škodlivý web zneužil chybu v Edge, nemohl by ohrozit váš počítač. Application Guard je ve výchozím nastavení zakázán.
Počínaje Aktualizace z dubna 2018 , kdokoli používá Windows 10 Professional nyní může povolit Application Guard. Dříve byla tato funkce k dispozici pouze v Windows 10 Enterprise. Pokud máte Windows 10 Home a chcete Application Guard, budete muset upgradovat na Pro .
Požadavky na systém
Windows Defender Application Guard, známý také jako Application Guard nebo WDAG, funguje pouze s prohlížečem Microsoft Edge. Když povolíte tuto funkci, může Windows spustit Edge v chráněném izolovaném kontejneru.
Windows konkrétně používají Microsoft Hyper-V virtualization technology . To je důvod, proč Application Guard vyžaduje, abyste měli počítač s oběma Virtualizační hardware Intel VT-X nebo AMD-V . Microsoft také uvádí další Požadavky na systém , včetně 64bitového procesoru s alespoň 4 jádry, 8 GB RAM a 5 GB volného místa.
Jak povolit aplikaci Windows Defender Application Guard
Chcete-li tuto funkci povolit, přejděte do části Ovládací panely> Programy> Zapnout nebo vypnout funkce systému Windows.
Zaškrtněte v tomto seznamu možnost „Windows Defender Application Guard“ a poté klikněte na tlačítko „OK“.
Pokud možnost v tomto seznamu nevidíte, používáte buď domácí verzi systému Windows 10, nebo jste dosud neprovedli upgrade na aktualizaci z dubna 2018.
Pokud se vám tato možnost zobrazuje, ale je zašedlá, váš počítač tuto funkci nepodporuje. Možná nemáte počítač s hardwarem Intel VT-x nebo AMD-V, nebo možná budete muset povolte Intel VT-X v BIOSu vašeho počítače . Tato možnost bude také šedá, pokud máte méně než 8 GB RAM.
Windows nainstalují funkci Windows Defender Application Guard. Po dokončení budete vyzváni k restartování počítače. Před použitím této funkce musíte restartovat počítač.
Jak spustit Edge v aplikaci Guard
Edge ve výchozím nastavení stále běží v normálním režimu procházení, nyní však můžete otevřít zabezpečené okno procházení chráněné funkcí Application Guard.
Chcete-li tak učinit, nejprve běžně spusťte Microsoft Edge. V Edge klikněte na Nabídka> Nové okno Zabezpečení aplikace.
Otevře se nové samostatné okno prohlížeče Microsoft Edge. Oranžový text „Application Guard“ v levém horním rohu okna vás informuje, že okno prohlížeče je zabezpečeno aplikací Application Guard.
Odtud můžete otevřít další okna prohlížeče - dokonce i další okna InPrivate pro soukromé procházení - a budou mít také oranžový text „Application Guard“.
Okno Application Guard má také samostatnou ikonu na hlavním panelu od běžné ikony prohlížeče Microsoft Edge. Má modré logo Edge „e“ s ikonou šedého štítu.
Když si stáhnete a otevřete některé typy souborů, Edge může spustit prohlížeče dokumentů nebo jiné typy aplikací v režimu Application Guard. Pokud je aplikace spuštěna v režimu Application Guard, uvidíte na jejím hlavním panelu stejnou ikonu šedého štítu.
V režimu Application Guard nemůžete používat funkce Edge's Favorites nebo Reading list. Po odhlášení z počítače bude odstraněna také veškerá historie prohlížeče, kterou vytvoříte. Všechno cookies z aktuální relace se vymaže i při zpěvu z počítače. To znamená, že se budete muset znovu přihlásit ke svým webům pokaždé, když začnete používat režim Application Guard.
Stahování je také omezené. Izolovaný prohlížeč Edge nemá přístup k vašemu normálnímu systému souborů, takže nemůžete stahovat soubory do systému ani nahrávat soubory z normálních složek na weby v režimu Application Guard. V režimu Application Guard nemůžete stahovat a otevírat většinu typů souborů, včetně souborů .exe, můžete si však prohlížet soubory PDF a další typy dokumentů. Soubory, které stáhnete, jsou uloženy ve speciálním systému souborů Application Guard a po odhlášení z počítače budou vymazány.
U oken Application Guard jsou také zakázány další funkce, včetně kopírování, vkládání a tisku.
Společnost Microsoft přidala některé možnosti k odstranění těchto omezení, pokud chcete, ale toto jsou výchozí nastavení.
Jak nakonfigurovat Windows Defender Application Guard
Program Windows Defender Application Guard a jeho omezení můžete nakonfigurovat pomocí zásad skupiny. Pokud používáte Application Guard na svém samostatném počítači se systémem Windows 10 Professional, můžete spustit Editor místních zásad skupiny stisknutím tlačítka Start, zadáním „gpedit.msc“ a stisknutím klávesy Enter.
(Editor zásad skupiny není k dispozici v domácích edicích systému Windows 10, ale není to ani funkce Windows Defender Application Guard.)
Přejděte do části Konfigurace počítače> Šablony pro správu> Součásti systému Windows> Windows Defender Application Guard.
Chcete-li povolit „trvalost dat“ a nechat aplikaci Application Guard ukládat vaše oblíbené položky, historii prohlížeče a soubory cookie, poklepejte zde na nastavení „Povolit persistenci dat pro aplikaci Windows Defender Application Guard“, vyberte „Povoleno“ a klikněte na „OK“. Po odhlášení z počítače Application Guard nevymaže svá data.
Chcete-li, aby Edge stahoval soubory do vašich běžných systémových složek, poklepejte na nastavení „Povolit stahování souborů a ukládání do hostitelského operačního systému z aplikace Windows Defender Application Guard“, nastavte jej na „Povoleno“ a klikněte na „OK“.
Soubory, které stáhnete v režimu Application Guard, budou uloženy do složky „Nedůvěryhodné soubory“ v normální složce Stahování vašeho uživatelského účtu Windows.
Chcete-li Edge poskytnout přístup k normální systémové schránce, dvakrát klikněte na možnost „Konfigurovat nastavení schránky aplikace Windows Defender Application Guard“. Klikněte na „Povoleno“ a podle pokynů zde upravte nastavení schránky. Můžete například povolit operace schránky z prohlížeče Application Guard do normálního operačního systému, z normálního operačního systému do prohlížeče Application Guard nebo oběma způsoby. Můžete také zvolit, zda chcete povolit kopírování textu, kopírování obrázků nebo obojí. Až budete hotovi, klikněte na „OK“.
Společnost Microsoft doporučuje, abyste nepovolovali kopírování z hostitelského operačního systému do relace Application Guard. Pokud tak učiníte, mohla by narušená relace prohlížeče Application Guard číst data ze schránky vašeho počítače.
Chcete-li povolit tisk, poklepejte na možnost „Konfigurovat nastavení tisku aplikace Windows Defender Application Guard“. Klikněte na „Povoleno“ a pomocí zde uvedených možností upravte nastavení tiskárny. Můžete například zadat „4“ pro povolení tisku pouze na místních tiskárnách, „2“ pro povolení tisku pouze na soubory PDF nebo „6“ pro povolení tisku pouze na místních tiskárnách a souborech PDF. Až budete hotovi, klikněte na „OK“.
Pokud povolíte tisk do PDF nebo Soubory XPS , Application Guard vám umožní uložit tyto soubory do normálního systému souborů hostitelského operačního systému.
Po změně těchto nastavení musíte restartovat počítač. Neovlivní se, dokud to neuděláte.
Přestože editor Zásad skupiny řekl, že tato nastavení vyžadují Windows 10 Enterprise, zjistili jsme, že na Windows 10 Professional fungovala s aktualizací z dubna 2018 naprosto dobře. Někdo v Microsoftu pravděpodobně zapomněl aktualizovat dokumentaci.
Pokud potřebujete další informace o tom, co tato nastavení zásad skupiny dělají, obraťte se na společnost Microsoft Dokumentace zásad skupiny pro Windows Defender Application Guard .
A pokud vás zajímají funkce zabezpečení systému Windows 10, určitě se podívejte na Řízený přístup ke složce , který pomáhá chránit vaše soubory před ransomwarem. Tato funkce je také ve výchozím nastavení zakázána.
