O recurso “Windows Defender Application Guard” do Windows 10 executa o navegador Microsoft Edge de forma isolada, virtualizado recipiente. Mesmo que um site malicioso explore uma falha no Edge, ele não pode comprometer o seu PC. O Application Guard está desabilitado por padrão.
Começando com o Atualização de abril de 2018 , qualquer um usando Windows 10 Professional agora pode ativar o Application Guard. Anteriormente, esse recurso estava disponível apenas em Windows 10 Enterprise. Se você tem o Windows 10 Home e deseja o Application Guard, você terá que atualize para o Pro .
Requisitos de sistema
O Windows Defender Application Guard, também conhecido como Application Guard ou WDAG, só funciona com o navegador Microsoft Edge. Quando você habilita esse recurso, o Windows pode executar o Edge em um contêiner isolado e protegido.
Especificamente, o Windows está usando o Tecnologia de virtualização Hyper-V . É por isso que o Application Guard requer que você tenha um PC com Hardware de virtualização Intel VT-X ou AMD-V . A Microsoft também lista outros requisitos de sistema , incluindo uma CPU de 64 bits com pelo menos 4 núcleos, 8 GB de RAM e 5 GB de espaço livre.
Como ativar o Windows Defender Application Guard
Para ativar este recurso, vá para Painel de controle> Programas> Ativar ou desativar recursos do Windows.
Marque a opção “Windows Defender Application Guard” na lista aqui e clique no botão “OK”.
Caso não veja a opção nesta lista, você está usando uma versão Home do Windows 10 ou ainda não atualizou para a atualização de abril de 2018.
Se você vir a opção, mas estiver esmaecida, seu PC não oferece suporte para esse recurso. Você pode não ter um PC com hardware Intel VT-x ou AMD-V, ou pode precisar habilite Intel VT-X no BIOS do seu computador . A opção também ficará esmaecida se você tiver menos de 8 GB de RAM.
O Windows instalará o recurso Windows Defender Application Guard. Quando terminar, você será solicitado a reiniciar seu PC. Você deve reiniciar o seu PC antes de usar este recurso.
Como iniciar o Edge no Application Guard
O Edge ainda é executado no modo de navegação normal por padrão, mas agora você pode abrir uma janela de navegação segura protegida com o recurso Application Guard.
Para fazer isso, primeiro inicie o Microsoft Edge normalmente. No Edge, clique em Menu> Nova janela de proteção do aplicativo.
Uma nova janela separada do navegador Microsoft Edge é aberta. O texto laranja “Application Guard” no canto superior esquerdo da janela informa que a janela do navegador está protegida com o Application Guard.
Você pode abrir janelas adicionais do navegador a partir daqui - até mesmo janelas InPrivate adicionais para navegação privada - e elas também terão o texto laranja "Proteção de aplicativo".
A janela do Application Guard também possui um ícone da barra de tarefas separado do ícone normal do navegador Microsoft Edge. Ele apresenta um logotipo Edge “e” azul com um ícone de escudo cinza sobre ele.
Quando você baixa e abre alguns tipos de arquivos, o Edge pode iniciar visualizadores de documentos ou outros tipos de aplicativos no modo Application Guard. Se um aplicativo estiver sendo executado no modo Application Guard, você verá o mesmo ícone de escudo cinza sobre o ícone da barra de tarefas.
No modo Application Guard, você não pode usar os recursos Favoritos do Edge ou Lista de leitura. Qualquer histórico do navegador que você criar também será excluído quando você sair do PC. Tudo biscoitos da sessão atual também será apagado quando você cantar no PC. Isso significa que você terá que entrar novamente em seus sites sempre que começar a usar o modo de proteção de aplicativo.
Downloads também são limitados. O navegador Edge isolado não pode acessar seu sistema de arquivos normal, então você não pode baixar arquivos para seu sistema ou fazer upload de arquivos de suas pastas normais para sites no modo de proteção de aplicativo. Você não pode baixar e abrir a maioria dos tipos de arquivos no modo Application Guard, incluindo arquivos .exe, embora possa visualizar PDFs e outros tipos de documentos. Os arquivos baixados são armazenados em um sistema de arquivos especial do Application Guard e são apagados depois que você sai do PC.
Outros recursos, incluindo copiar, colar e imprimir, também estão desabilitados para as janelas do Application Guard.
A Microsoft adicionou algumas opções para remover essas limitações, se desejar, mas essas são as configurações padrão.
Como configurar a proteção de aplicativos do Windows Defender
Você pode configurar o Windows Defender Application Guard e suas limitações por meio da Política de Grupo. Se você estiver usando o Application Guard em seu próprio PC Windows 10 Professional autônomo, pode iniciar o Editor de política de grupo local clicando em Iniciar, digitando “gpedit.msc” e pressionando Enter.
(O Editor de Política de Grupo não está disponível nas edições Home do Windows 10, mas também não está o recurso Proteção de Aplicativos do Windows Defender.)
Navegue até Configuração do computador> Modelos administrativos> Componentes do Windows> Proteção de aplicativos do Windows Defender.
Para habilitar a “persistência de dados” e permitir que o Application Guard salve seus favoritos, histórico do navegador e cookies, clique duas vezes na configuração “Permitir persistência de dados para o Windows Defender Application Guard”, selecione “Ativado” e clique em “OK”. O Application Guard não apaga seus dados depois que você sai do PC.
Para permitir que o Edge baixe arquivos para as pastas normais do sistema, clique duas vezes na configuração “Permitir que os arquivos baixem e salvem no sistema operacional do host a partir do Windows Defender Application Guard”, defina-a como “Ativado” e clique em “OK”.
Os arquivos baixados no modo Application Guard serão salvos em uma pasta “Arquivos não confiáveis” dentro da pasta de downloads normal da sua conta de usuário do Windows.
Para permitir que o Edge acesse a área de transferência normal do sistema, clique duas vezes na opção “Definir as configurações da área de transferência do Windows Defender Application Guard”. Clique em “Ativado” e personalize as configurações da área de transferência usando as instruções aqui. Por exemplo, você pode habilitar as operações da área de transferência do navegador do Application Guard para o sistema operacional normal, do sistema operacional normal para o navegador do Application Guard ou de ambas as maneiras. Você também pode escolher se deseja permitir a cópia de texto, cópia de imagem ou ambos. Clique em “OK” quando terminar.
A Microsoft recomenda que você não permita a cópia do sistema operacional host para a sessão do Application Guard. Se você fizer isso, uma sessão do navegador do Application Guard comprometida poderá ler dados da área de transferência do seu computador.
Para habilitar a impressão, clique duas vezes na opção “Definir as configurações de impressão do Windows Defender Application Guard”. Clique em “Ativado” e personalize as configurações da impressora usando as opções aqui. Por exemplo, você pode inserir “4” para permitir a impressão apenas em impressoras locais, “2” para permitir a impressão apenas em arquivos PDF ou “6” para permitir a impressão apenas em impressoras locais e arquivos PDF. Clique em “OK” quando terminar.
Se você ativar a impressão em PDF ou Arquivos XPS , O Application Guard permitirá que você salve esses arquivos no sistema de arquivos normal do sistema operacional host.
Você deve reiniciar o PC após alterar essas configurações. Eles não terão efeito até que você faça.
Apesar do editor de Política de Grupo dizer que essas configurações exigem o Windows 10 Enterprise, descobrimos que elas funcionaram perfeitamente no Windows 10 Professional com a atualização de abril de 2018. Alguém na Microsoft provavelmente se esqueceu de atualizar a documentação.
Se precisar de mais informações sobre o que essas configurações de política de grupo fazem, consulte o Documentação de política de grupo do Windows Defender Application Guard .
E, se você estiver interessado nos recursos de segurança do Windows 10, dê uma olhada em Acesso a pasta controlada , que ajuda a proteger seus arquivos de ransomware. Este recurso também está desabilitado por padrão.
