重要: office Microsoft Defender 应用程序防护已弃用,不再更新。 此弃用还包括用于 office Microsoft Defender 应用程序防护的 Windows.Security.Isolation API。 建议过渡到Microsoft Defender for Endpoint攻击图面缩减规则以及受保护的视图和Windows Defender应用程序控制。
来自 Internet 和其他可能不安全位置的文件可能包含会损害计算机和数据的病毒、蠕虫和其他种类的恶意软件。 为了帮助保护你,Microsoft 365 可以从应用程序防护中的潜在不安全位置打开文件,“应用程序防护”是一个安全容器,通过基于硬件的虚拟化与其余数据隔离。 与“受保护的视图”不同,Microsoft 365 在“应用程序防护”中打开文件时,可以安全地读取、编辑、打印和保存这些文件,而无需在容器外部重新打开文件。
如果你确信文件是安全的,并且需要执行“应用程序防护”阻止的操作,则可以选择从该文件中删除保护。
注意: 如果管理员已启用安全文档,则会根据 Endpoint 服务的 Microsoft Defender 验证该文件,以确定该文件在“应用程序防护”外部打开之前是否为恶意文件。
受保护的视图 为只读模式,在该模式下,多数编辑功能已被禁用。 来自可能不安全位置的文件会以“只读”方式或在“受保护的视图”中打开。 使用“受保护的视图”,可以读取文件、查看和编辑其内容,同时降低风险。
应用程序防护是一种受限模式,允许你对不受信任的文档执行有限的编辑和打印,同时最大程度地降低对计算机的风险。 Office 会从“应用程序防护”中的潜在不安全位置打开文件,这是一个通过基于硬件的虚拟化与设备隔离的安全容器。 当 Office 在“应用程序防护”中打开文件时,可以安全地读取、编辑、打印和保存这些文件,而无需在容器外部重新打开文件。
与“受保护的视图”相比,“应用程序防护”为用户提供增强的安全性和更高的工作效率。
安全
“应用程序防护”是基于虚拟化的沙盒,用于隔离可能遇到的不受信任的文档。 它为桌面带来了与支持 Azure 相同的技术。
不受信任的文档在启用了 Hyper-V 的已解析容器中打开,该容器独立于主机操作系统。 此容器隔离意味着,如果文档是恶意的,则主机电脑会受到保护,而且攻击者无法访问你的企业数据。 例如,这种方法会使隔离容器成为匿名容器,因此攻击者无法访问员工的企业凭据。
生产力
除了能够读取安全容器中的文档外,现在还可以使用打印、批注和审阅、轻编辑和保存等功能,同时在“应用程序防护”容器中保留不受信任的文档。
当你遇到来自不受信任的来源的文档不是恶意的文档时,你可以继续高效工作,而不必担心设备处于危险之中。
如果遇到恶意文档,则会在“应用程序防护”中安全隔离文档,确保系统其余部分的安全。
“应用程序防护”适用于具有 Microsoft 365 E5 或Microsoft 365 E5 Mobility + Security 许可证的组织。 这些组织中的用户必须在当前频道或每月企业频道上使用 Microsoft 365 企业应用版。
文件何时在“应用程序防护”中打开?
如果启用了“应用程序防护”,则当前在受保护的视图中打开的文件将在“应用程序防护”中打开。 这其中包括:
-
源自 Internet 的文件: 这指的是从不属于设备上的本地 Intranet 或受信任站点域的域下载的文件、从组织外部的发件人作为电子邮件附件接收的文件、从其他类型的 Internet 消息或共享服务接收的文件,或者从组织外部的 OneDrive 或 SharePoint 位置打开的文件。
-
位于可能不安全位置的文件: 这是指被视为不安全的计算机上的文件夹或网络,例如 Internet 临时文件夹或者您的管理员分配的其他文件夹。
注意: 从网络位置(包括组织的 OneDrive)打开的文件在“应用程序防护”中打开只读。 可以保存此类文件的副本以继续使用它们,或者如果你信任文件的源,则可以选择删除保护,如下所述。
-
“文件块”阻止的文件:“文件块”可以阻止打开过时的文件类型,并会导致这些文件在“受保护的视图”中打开,同时禁用“保存”和“打开”功能。 详细了解“文件块”。
如何实现从文件中删除或还原保护?
警告: 只有当你非常确信文件及其来源可信时,才执行此操作。
如果要执行“应用程序防护”不允许的操作,可以从文件中删除“应用程序防护”保护。 删除保护后,该文件将成为受信任的文档。
若要删除“应用程序防护”保护,请转到文件>信息,然后选择删除保护。
如果无法执行此操作,则很可能你的组织部署了阻止从文件中删除“应用程序防护”保护的策略。
还原保护
转到文件 > 选项 > 信任中心 > 信任中心设置 > 受信任的文档,然后选择清除所有受信任的文档,使它们不再受信任。
请注意,这会将保护还原到从此设备上删除的所有文档。
重要: 此选项仅在应用程序防护环境之外可用。 打开 Office 应用的新实例进行此更改。
如何更改“应用程序防护”设置
重要:
-
此选项仅在应用程序防护环境之外可用。 打开 Office 应用的新实例进行此更改。
-
建议在对“应用程序防护”的设置进行更改之前与 IT 管理员联系。
-
转到文件 > 选项
-
选择信任中心 > 信任中心设置> > 应用程序防护。
-
进行选择,然后选择确定保存所做的更改,并退出信任中心设置。
“应用程序防护”设置
-
为源自 Internet 的文件启用“应用程序防护” - Internet 被视为不安全位置,因为它是恶意文件的最常见源。
-
为可能不安全的位置的文件启用“应用程序防护” - 这指的是计算机或网络上被视为不安全的文件夹,例如 IT 管理员选择的临时 Internet 文件夹或其他文件夹。
-
为 Outlook 附件启用“应用程序防护” - 电子邮件中的附件是恶意文件的另一个常见来源。
Excel 有两个附加设置:
-
始终在“应用程序防护”中打开不受信任的基于文本的文件(.csv、.dif 和.sylk)- 如果启用,则始终在“应用程序防护”中打开从不受信任的位置打开的基于文本的文件。 如果禁用或未配置此策略设置,则从不受信任的位置打开的基于文本的文件将正常打开。
-
始终在“应用程序防护”中打开不受信任的数据库文件 (.dbf) - 如果启用,则始终在“应用程序防护”中打开从不受信任的位置打开的数据库文件。 如果禁用或未配置此设置,则从不受信任的位置打开的数据库文件将正常打开。
管理员还可以通过组策略或 Office 云策略服务配置所有这些设置。
在“应用程序防护”中无法执行哪些操作?
为安全起间,“应用程序防护”运行时,某些功能在 Office 应用程序中会不可用。 这其中包括:
-
对用户标识的访问权限。
-
访问文件系统上的任意位置。
-
根据网络隔离策略访问归类为企业安全边界内的网络位置(例如公司 Intranet 或归类为“企业”的域)。
-
无法在“应用程序防护”中打开受信息权限管理 (IRM)保护的 CSV、HTML 和文件。 如果管理员为组织配置不受支持的文件类型策略设置,则可以在“受保护的视图”中打开这些文件。
详细了解如何为 Office 策略配置“应用程序防护”。 -
当前不支持将 RTF 格式 (RTF) 内容或图像粘贴到使用“应用程序防护”打开的 Office 文档中。
Office 中可能依赖于这些功能的功能会不可用。 示例包括共享文件、捕获屏幕截图、从文件系统中的位置插入图片、将连接添加到数据源等。
加载项和宏呢?
除了禁用的内置函数外,“应用程序防护”中还禁用了扩展 Office 功能的所有功能,包括 COM、VSTO、Web 加载项和宏。
是否可以将“应用程序防护”与屏幕阅读器配合使用?
在“应用程序防护”中打开的文件可通过使用 Microsoft UI 自动化 (UIA) 框架(如 Microsoft Narrator)的辅助功能工具来访问。
