La funzione "Windows Defender Application Guard" di Windows 10 esegue il browser Microsoft Edge in un virtualizzato contenitore. Anche se un sito Web dannoso sfruttasse un difetto in Edge, non potrebbe compromettere il tuo PC. Application Guard è disabilitato per impostazione predefinita.
A partire dal Aggiornamento di aprile 2018 , chiunque utilizzi Windows 10 Professional ora può abilitare Application Guard. In precedenza, questa funzione era disponibile solo in Windows 10 Enterprise. Se hai Windows 10 Home e desideri Application Guard, dovrai farlo aggiornamento a Pro .
Requisiti di sistema
Windows Defender Application Guard, noto anche come Application Guard o WDAG, funziona solo con il browser Microsoft Edge. Quando si abilita questa funzionalità, Windows può eseguire Edge in un contenitore isolato e protetto.
In particolare, Windows utilizza Microsoft Tecnologia di virtualizzazione Hyper-V . Ecco perché Application Guard richiede che tu abbia un PC con entrambi Hardware di virtualizzazione Intel VT-X o AMD-V . Microsoft elenca anche altri file requisiti di sistema , inclusa una CPU a 64 bit con almeno 4 core, 8 GB di RAM e 5 GB di spazio libero.
Come abilitare Windows Defender Application Guard
Per abilitare questa funzione, vai su Pannello di controllo> Programmi> Attiva o disattiva le funzionalità di Windows.
Seleziona l'opzione "Windows Defender Application Guard" nell'elenco qui, quindi fai clic sul pulsante "OK".
Se non vedi l'opzione in questo elenco, stai utilizzando una versione Home di Windows 10 o non hai ancora effettuato l'aggiornamento all'aggiornamento di aprile 2018.
Se vedi l'opzione, ma è disattivata, il tuo PC non supporta questa funzione. Potresti non avere un PC con hardware Intel VT-x o AMD-V, oppure potresti averne bisogno abilita Intel VT-X nel BIOS del tuo computer . L'opzione sarà disattivata anche se hai meno di 8 GB di RAM.
Windows installerà la funzionalità Windows Defender Application Guard. Al termine, ti verrà chiesto di riavviare il PC. È necessario riavviare il PC prima di poter utilizzare questa funzione.
Come avviare Edge in Application Guard
Edge funziona ancora in modalità di navigazione normale per impostazione predefinita, ma ora puoi aprire una finestra di navigazione sicura protetta con la funzione Application Guard.
Per fare ciò, prima avvia normalmente Microsoft Edge. In Edge, fai clic su Menu> Nuova finestra Application Guard.
Si apre una nuova finestra del browser Microsoft Edge separata. Il testo arancione "Application Guard" nell'angolo superiore sinistro della finestra informa che la finestra del browser è protetta con Application Guard.
Puoi aprire finestre del browser aggiuntive da qui, anche finestre InPrivate aggiuntive per la navigazione privata, e avranno anche il testo arancione "Application Guard".
La finestra di Application Guard ha anche un'icona sulla barra delle applicazioni separata dalla normale icona del browser Microsoft Edge. Presenta un logo "e" blu con un'icona scudo grigio su di esso.
Quando scarichi e apri alcuni tipi di file, Edge potrebbe avviare visualizzatori di documenti o altri tipi di applicazioni in modalità Protezione applicazione. Se un'applicazione è in esecuzione in modalità Application Guard, vedrai la stessa icona scudo grigio sopra l'icona della barra delle applicazioni.
In modalità Application Guard, non è possibile utilizzare le funzionalità Preferiti o Elenco di lettura di Edge. Qualsiasi cronologia del browser che crei verrà eliminata anche quando esci dal PC. Tutti biscotti dalla sessione corrente verrà cancellato anche quando canti fuori dal tuo PC. Ciò significa che dovrai accedere di nuovo ai tuoi siti web ogni volta che inizi a utilizzare la modalità Application Guard.
Anche i download sono limitati. Il browser Edge isolato non può accedere al tuo normale file system, quindi non puoi scaricare file sul tuo sistema o caricare file dalle tue normali cartelle su siti web in modalità Application Guard. Non è possibile scaricare e aprire la maggior parte dei tipi di file in modalità Application Guard, inclusi i file .exe, sebbene sia possibile visualizzare PDF e altri tipi di documenti. I file scaricati vengono archiviati in uno speciale file system Application Guard e vengono cancellati dopo la disconnessione dal PC.
Altre funzionalità, tra cui copia e incolla e stampa, sono disabilitate anche per le finestre di Application Guard.
Microsoft ha aggiunto alcune opzioni per rimuovere queste limitazioni, se lo desideri, ma queste sono le impostazioni predefinite.
Come configurare Windows Defender Application Guard
Puoi configurare Windows Defender Application Guard e le sue limitazioni tramite Criteri di gruppo. Se utilizzi Application Guard sul tuo PC Windows 10 Professional autonomo, puoi avviare il file Editor Criteri di gruppo locali premendo il pulsante Start, digitando "gpedit.msc" e quindi premendo Invio.
(L'Editor Criteri di gruppo non è disponibile nelle edizioni Home di Windows 10, ma nemmeno la funzionalità Windows Defender Application Guard.)
Passa a Configurazione computer> Modelli amministrativi> Componenti di Windows> Windows Defender Application Guard.
Per abilitare la "persistenza dei dati" e consentire ad Application Guard di salvare i preferiti, la cronologia del browser e i cookie, fare doppio clic sull'impostazione "Consenti persistenza dei dati per Windows Defender Application Guard" qui, selezionare "Abilitato" e fare clic su "OK". Application Guard non cancellerà i suoi dati dopo esserti disconnesso dal tuo PC.
Per consentire a Edge di scaricare i file nelle normali cartelle di sistema, fai doppio clic sull'impostazione "Consenti il download e il salvataggio dei file nel sistema operativo host da Windows Defender Application Guard", impostala su "Abilitato" e fai clic su "OK".
I file scaricati in modalità Application Guard verranno salvati in una cartella "File non attendibili" all'interno della normale cartella Download dell'account utente di Windows.
Per concedere a Edge l'accesso ai normali appunti di sistema, fare doppio clic sull'opzione "Configura le impostazioni degli appunti di Windows Defender Application Guard". Fare clic su "Abilitato" e personalizzare le impostazioni degli appunti utilizzando le istruzioni qui. Ad esempio, è possibile abilitare le operazioni degli appunti dal browser Application Guard al normale sistema operativo, dal normale sistema operativo al browser Application Guard o in entrambi i modi. Puoi anche scegliere se consentire la copia del testo, la copia delle immagini o entrambe. Fai clic su "OK" quando hai finito.
Microsoft consiglia di non consentire la copia dal sistema operativo host alla sessione di Application Guard. Se lo fai, una sessione del browser Application Guard compromessa potrebbe leggere i dati dagli appunti del tuo computer.
Per abilitare la stampa, fare doppio clic sull'opzione "Configura le impostazioni di stampa di Windows Defender Application Guard". Fare clic su "Abilitato" e personalizzare le impostazioni della stampante utilizzando le opzioni qui. Ad esempio, è possibile immettere "4" per abilitare la stampa solo su stampanti locali, "2" per abilitare la stampa solo su file PDF o "6" per consentire la stampa solo su stampanti locali e file PDF. Fai clic su "OK" quando hai finito.
Se abiliti la stampa in PDF o File XPS , Application Guard ti consentirà di salvare quei file sul normale file system del sistema operativo host.
È necessario riavviare il PC dopo aver modificato queste impostazioni. Non avranno effetto finché non lo farai.
Nonostante l'editor di Criteri di gruppo affermi che queste impostazioni richiedono Windows 10 Enterprise, abbiamo scoperto che funzionavano perfettamente su Windows 10 Professional con l'aggiornamento di aprile 2018. Qualcuno in Microsoft probabilmente si è dimenticato di aggiornare la documentazione.
Se hai bisogno di ulteriori informazioni su ciò che fanno queste impostazioni dei criteri di gruppo, consulta Microsoft Documentazione dei criteri di gruppo di Windows Defender Application Guard .
E, se sei interessato alle funzionalità di sicurezza di Windows 10, assicurati di dare un'occhiata Accesso controllato alle cartelle , che aiuta a proteggere i tuoi file dal ransomware. Anche questa funzione è disabilitata per impostazione predefinita.
