Важно: Microsoft Defender Application Guard за Office се прекратява и вече не се актуализира. Това отхвърляне включва и API на Windows.Security.Isolation, които се използват за Microsoft Defender Application Guard за Office. Препоръчваме преминаване към Microsoft Defender за крайна точка прикачени правила за намаляване на повърхността заедно със защитения изглед и Windows Defender управление на приложения.
Файлове от интернет и други потенциално опасни местоположения могат да съдържат вируси, червеи или друг вид злонамерен софтуер, който може да навреди на компютъра и данните ви. За да ви защитим, Microsoft 365 отваря файлове от потенциално опасни местоположения в Application Guard защитен контейнер, който е изолиран от останалата част от вашите данни чрез базирана на хардуер виртуализация. За разлика от защитения изглед, когато Microsoft 365 отваря файлове в Application Guard, можете безопасно да четете, редактирате, отпечатвате и записвате тези файлове, без да се налага да отваряте повторно файлове извън контейнера.
Ако сте сигурни, че файлът е безопасен и трябва да направите нещо, което е блокирано от Application Guard, можете да изберете да премахнете защитата от този файл.
Забележка: Ако вашият администратор е разрешил безопасни документи, файлът ще бъде проверен спрямо Microsoft Defender за услугата за крайна точка, за да се определи дали е злонамерен, преди да бъде отворен извън Application Guard.
Защитен изглед е режим само за четене, където повечето функции за редактиране са забранени. Файлове от потенциално опасни местоположения се отварят само за четене или в защитен изглед. Като използвате защитения изглед, можете да прочетете даден файл, да видите съдържанието му и да разрешите редактирането, като в същото време намалявате опасностите.
Application Guard е ограничен режим, който ви позволява да извършвате ограничено редактиране и отпечатване на ненадеждни документи, като същевременно минимизира риска за вашия компютър. Office отваря файлове от потенциално опасни местоположения в Application Guard – защитен контейнер, който е изолиран от устройството чрез базирана на хардуер виртуализация. Когато Office отваря файлове в Application Guard, можете безопасно да четете, редактирате, отпечатвате и записвате тези файлове, без да се налага да отваряте повторно файлове извън контейнера.
В сравнение със защитения изглед Application Guard предоставя както подобрена защита, така и подобрена продуктивност за потребителите.
Защита
Application Guard е ограничителен режим, базиран на виртуализация, който се използва за изолиране на ненадеждни документи, на които може да се натъкнете. Той предоставя същата технология, която захранва Azure на вашия работен плот.
Ненадеждните документи се отварят в изолиран контейнер с разрешен Hyper-V, който е отделен от операционната система хост. Тази изолиране на контейнер означава, че ако даден документ е злонамерен, хост компютърът е защитен и атакуващият няма достъп до вашите корпоративни данни. Например този подход прави изолирания контейнер анонимен, така че атакуващият няма достъп до корпоративните идентификационни данни на вашия служител.
Продуктивност
Освен че можете да четете документи в рамките на защитения контейнер, сега можете да използвате функции като печат, коментиране и преглед, леко редактиране и записване, като същевременно запазите ненадежден документ в Application Guard контейнер.
Когато се натъкнете на документи от ненадеждни източници, които не са злонамерени, можете да продължите да бъдете продуктивни, без да се безпокоите за поставянето на вашето устройство в риск.
Ако се натъкнете на злонамерен документ, той е безопасно изолиран в рамките на Application Guard, запазвайки останалата част от вашата система в безопасност.
Application Guard е налична за организации, които имат лицензи за Microsoft 365 E5 или Microsoft 365 E5 Mobility + Security. Потребителите в тези организации трябва да използват приложенията на Microsoft 365 за предприятия в текущия канал или месечния корпоративен канал.
Научете повече за настройването на Application Guard за Office.
Кога ще се отвори файл в Application Guard?
Файловете, които в момента се отварят в защитен изглед, ще се отварят в Application Guard, ако Application Guard е разрешено. Те включват:
-
Файлове, произхождащи от интернет: Това се отнася за файлове, изтеглени от домейни, които не са част от локалния интранет или домейна за надеждни сайтове на вашето устройство, файлове, получени като прикачени файлове в имейли от податели извън вашата организация, файлове, получени от други видове интернет съобщения или услуги за споделяне, или файлове, отворени от местоположение в OneDrive или SharePoint извън вашата организация.
-
Файлове, които се намират в потенциално опасни местоположения: Това се отнася до папки на компютъра или в мрежата, които са смятани за опасни, например папката "Временни интернет файлове" или други папки, определени от администратора.
Забележка: Файлове, отворени от местоположение в мрежата, включително OneDrive на вашата организация, отварят Read-Only в Application Guard. Можете да запишете копие на тези файлове, за да продължите да работите с тях, или ако се доверявате на източника на файла, можете да изберете да премахнете защитата, както е описано по-долу.
-
Файлове, които са блокирани от функцията за блокиране на файлови разширения: Функцията за блокиране на файлови разширения предотвратява отварянето на остарели типове файлове и кара файла да се отвори в защитен изглед и забранява функциите за записване и отваряне. Научете повече за функцията за блокиране на файлове.
Как да премахна или възстановя защита от файл?
Внимание: Направете това само ако сте много сигурни, че файлът и източникът му са надеждни.
Ако искате да предприемете действия, които не са разрешени от Application Guard можете да премахнете защитата на Application Guard от файл. След като премахнете защитата, файлът става надежден документ.
За да премахнете защитата Application Guard, отидете на Информация за> на файл и изберете Премахване на защитата.
Ако не можете, вероятно вашата организация има разположени правила, които не позволяват премахването на Application Guard защита от файл.
Възстановяване на защитата
Отидете на Опции за > на файлове > настройките на центъра за сигурност> центъра за сигурност> надеждни документи и изберете Изчистване на всички надеждни документи, така че вече да не са надеждни.
Имайте предвид, че това ще възстанови защитата на ВСИЧКИ документи, от които сте я премахнали на това устройство.
Важно: Тази опция е налична само извън Application Guard среда. Отворете нов екземпляр на приложението на Office, за да направите тази промяна.
Как да променя настройките на Application Guard си
Важно:
-
Тази опция е налична само извън Application Guard среда. Отворете нов екземпляр на приложението на Office, за да направите тази промяна.
-
Препоръчваме ви да говорите с вашия ИТ администратор, преди да правите промени в настройките на Application Guard.
-
Отидете на "Опции за> на файлове "
-
Изберете Център за сигурност > настройки на центъра за сигурност > Application Guard.
-
Направете избора си, след което изберете OK , за да запишете промените и да излезете от настройките на центъра за сигурност.
настройки на Application Guard
-
Разрешете Application Guard за файлове, произхождащи от интернет – интернет се счита за опасно местоположение, тъй като това е най-често срещаният източник за злонамерени файлове.
-
Разрешете Application Guard за файлове, които са в потенциално опасни местоположения – това се отнася за папки на вашия компютър или мрежа, които се считат за опасни, като например папката "Временни интернет" или други папки, избрани от вашия ИТ администратор.
-
Разрешаване на Application Guard за прикачени файлове в Outlook – прикачените файлове в имейл са друг често срещан източник на злонамерени файлове.
Excel има две допълнителни настройки:
-
Винаги отваряй ненадеждните Text-Based файлове (.csv, .dif и .sylk) в Application Guard –Ако е разрешено, базираните на текст файлове, отворени от ненадеждно местоположение, винаги се отварят в Application Guard. Ако забраните или не конфигурирате, тази настройка на правила, текстовите файлове, отворени от ненадеждно местоположение, се отварят нормално.
-
Винаги отваряй ненадеждните файлове на базата данни (.dbf) в Application Guard – ако е разрешено, файловете на базите данни, отворени от ненадеждно местоположение, винаги се отварят в Application Guard. Ако забраните или не конфигурирате тази настройка, файловете на базата данни, отворени от ненадеждно местоположение, се отварят нормално.
Всички тези настройки могат също да бъдат конфигурирани от администратор чрез групови правила или услугата за правила за облака на Office.
Какви неща не мога да направя в Application Guard?
За ваша защита някои възможности не са налични за приложенията на Office, докато се изпълняват в Application Guard. Те включват:
-
Достъп до самоличността на потребителя.
-
Достъп до произволни местоположения във вашата файлова система.
-
Достъп до местоположения на мрежата, които са класифицирани като в рамките на границата на корпоративната защита (например фирмен интранет или домейни, класифицирани като "Enterprise") за правилата за изолиране на мрежа.
-
CSV, HTML и файлове, които са защитени с управление на правата за достъп до информация (IRM), не могат да бъдат отворени в Application Guard. Ако вашият администратор конфигурира настройката на правилата за неподдържани типове файлове за вашата организация, ще можете да отваряте тези файлове в защитен изглед.
Научете повече за конфигурирането на Application Guard за правилата на Office. -
Поставянето на съдържание или изображения в RTF формат в документи на Office, отворени с Application Guard, в момента не се поддържа.
Функциите в Office, които може да са зависими от тези възможности, не са налични. Някои примери включват споделяне на файл, заснемане на екранна снимка, вмъкване на картина от местоположение във файловата система, добавяне на връзка към източник на данни и др.
А Add-Ins и макросите?
В допълнение към вградените функции, които са забранени, всички възможности, които разширяват възможностите на Office, включително COM, VSTO, уеб добавките и макросите, са забранени в Application Guard.
Мога ли да използвам Application Guard с екранен четец?
Файловете, отворени в Application Guard са достъпни чрез инструменти за достъпност, които използват рамката на Microsoft UI Automation (UIA), като например "Разказвач" на Microsoft.
