Ważne: Microsoft Defender Application Guard dla pakietu Office jest wycofywane i nie jest już aktualizowane. To wycofanie obejmuje również interfejsy API Windows.Security.Isolation używane do Microsoft Defender Application Guard dla pakietu Office. Zalecamy przejście do Ochrona punktu końcowego w usłudze Microsoft Defender dołączanie reguł redukcji powierzchni wraz z widokiem chronionym i kontrolką aplikacji usługi Windows Defender. Począwszy od Windows 11 wersja 24H2 Microsoft Defender Application Guard nie jest już dostępna.
Pliki z Internetu i innych potencjalnie niebezpiecznych lokalizacji mogą zawierać wirusy, robaki i inne rodzaje złośliwego oprogramowania, które mogą uszkodzić komputer i dane. Aby pomóc w ochronie użytkownika, pakiet Microsoft 365 otwiera pliki z potencjalnie niebezpiecznych lokalizacji korzystając z funkcji Application Guard — w bezpiecznym kontenerze odizolowanym od pozostałych danych za pomocą wirtualizacji sprzętowej. W przeciwieństwie do widoku chronionego, gdy pakiet Microsoft 365 otwiera pliki przy użyciu funkcji Application Guard, możesz bezpiecznie odczytywać, edytować, drukować i zapisywać te pliki bez konieczności ponownego otwierania plików poza kontenerem.
Jeśli masz pewność, że plik jest bezpieczny, a potrzebujesz wykonać działanie, które jest zablokowane przez funkcję Application Guard, możesz usunąć ochronę z tego pliku.
Uwaga: Jeśli administrator włączył funkcję Bezpieczne dokumenty, plik zostanie zweryfikowany na platformie Ochrona punktu końcowego w usłudze Microsoft Defender w celu ustalenia, czy plik jest złośliwy, zanim zostanie otwarty poza funkcją Application Guard.
Widok chroniony to tryb tylko do odczytu, w którym większość funkcji edytowania jest wyłączona. Pliki z potencjalnie niebezpiecznych lokalizacji są otwierane tylko do odczytu lub w widoku chronionym. Używając widoku chronionego, można z niewielkim ryzykiem wyświetlać zawartość plików i włączać ich edytowanie.
Application Guard to tryb ograniczony, który umożliwia ograniczone edytowanie i drukowanie niezaufanych dokumentów przy jednoczesnym zminimalizowaniu ryzyka dla komputera. Pakiet Office otwiera pliki z potencjalnie niebezpiecznych lokalizacji korzystając z funkcji Application Guard — w bezpiecznym kontenerze odizolowanym od urządzenia za pomocą wirtualizacji sprzętowej. Gdy pakiet Office otwiera pliki przy użyciu funkcji Application Guard, możesz bezpiecznie odczytywać, edytować, drukować i zapisywać te pliki bez konieczności ponownego otwierania plików poza kontenerem.
W porównaniu z widokiem chronionym funkcja Application Guard zapewnia użytkownikom zarówno zwiększone zabezpieczenia, jak i zwiększoną produktywność.
Zabezpieczenia
Application Guard to piaskownica oparta na wirtualizacji, która służy do izolowania niezaufanych dokumentów, z którymi można się spotkać. Wprowadza tę samą technologię, która obsługuje platformę Azure, na komputerze stacjonarnym.
Niezaufane dokumenty są otwierane w odizolowanym kontenerze obsługującym funkcję Hyper-V, który jest oddzielony od systemu operacyjnego hosta. Izolacja kontenera oznacza, że jeśli dokument jest złośliwy, komputer hosta jest chroniony, a osoba atakująca nie może uzyskać dostępu do danych przedsiębiorstwa. To podejście sprawia na przykład, że izolowany kontener jest anonimowy, więc osoba atakująca nie może uzyskać dostępu do firmowych poświadczeń pracownika.
Produktywność
Oprócz możliwości odczytywania dokumentów w bezpiecznym kontenerze można teraz używać funkcji takich jak drukowanie, komentowanie i recenzja, uproszczone edytowanie i zapisywanie, zachowując niezaufany dokument w kontenerze Application Guard.
Jeśli napotkasz dokumenty z niezaufanych źródeł, które nie są złośliwe, możesz nadal wydajnie pracować bez obawy o narażenie urządzenia na niebezpieczeństwo.
Jeśli napotkasz złośliwy dokument, zostanie on bezpiecznie odizolowany przy użyciu funkcji Application Guard, dzięki czemu pozostała część systemu będzie bezpieczna.
Funkcja Application Guard jest dostępna dla organizacji, które mają licencje platformy Microsoft 365 E5 lub Microsoft 365 E5 Mobility + Security. Użytkownicy w tych organizacjach muszą korzystać z aplikacji platformy Microsoft 365 dla przedsiębiorstw w opcji Bieżący kanał lub Miesięczny kanał dla przedsiębiorstw.
Dowiedz się więcej o konfigurowaniu funkcji Application Guard dla pakietu Office.
Kiedy plik jest otwierany przy użyciu funkcji Application Guard?
Pliki otwierane obecnie w widoku chronionym będą otwierane przy użyciu funkcji Application Guard, jeśli jest ona włączona. Są to, między innymi:
-
Pliki pochodzące z Internetu: Dotyczy to plików pobieranych z domen, które nie należą do lokalnego intranetu lub domeny Zaufane witryny na urządzeniu, plików odebranych jako załączniki wiadomości e-mail od nadawców spoza organizacji, plików otrzymanych z innych rodzajów internetowych usług wysyłania wiadomości lub udostępniania lub plików otwartych z lokalizacji usługi OneDrive i programu SharePoint poza organizacją.
-
Pliki znajdujące się w potencjalnie niebezpiecznych lokalizacjach: Ta opcja dotyczy folderów na komputerze lub w sieci, które są uznawane za niebezpieczne, takich jak folder tymczasowych plików internetowych lub inne foldery przypisane przez administratora.
Uwaga: Pliki otwierane z lokalizacji sieciowej, w tym z usługi OneDrive w ramach organizacji, są otwierane przez funkcję Application Guard tylko do odczytu. Możesz zapisać kopię takich plików, aby kontynuować pracę z nimi, lub jeśli źródło pliku jest zaufane, możesz zdecydować się na usunięcie ochrony zgodnie z poniższym opisem.
-
Pliki zablokowane przez blokowanie plików: blokowanie plików zapobiega otwieraniu przestarzałych typów plików oraz powoduje otwieranie pliku w widoku chronionym i wyłączenie funkcji zapisywania i otwierania. Dowiedz się więcej o funkcji blokowania plików.
Jak usunąć lub przywrócić ochronę pliku?
Przestroga: Zrób to tylko wtedy, gdy masz pewność, że plik i jego źródło są wiarygodne.
Jeśli chcesz wykonywać działania niedozwolone przez funkcję Application Guard, możesz usunąć ochronę funkcji Application Guard z pliku. Po usunięciu ochrony plik staje się zaufanym dokumentem.
Aby usunąć ochronę funkcji Application Guard, przejdź do pozycji Plik > Informacje i wybierz pozycję Usuń ochronę.
Jeśli nie możesz tego zrobić, w organizacji prawdopodobnie wdrożono zasady uniemożliwiające usunięcie ochrony funkcji Application Guard z pliku.
Aby przywrócić ochronę
Przejdź do pozycji Plik > Opcje > Centrum zaufania > Ustawienia centrum zaufania > Zaufane dokumentyi wybierz pozycję Wyczyść wszystkie zaufane dokumenty, tak aby nie były już uznawane za zaufane.
Pamiętaj, że spowoduje to przywrócenie ochrony WSZYSTKICH dokumentów, z których została ona usunięta na tym urządzeniu.
Ważne: Ta opcja jest dostępna tylko poza środowiskiem Application Guard. Otwórz nowe wystąpienie aplikacji pakietu Office, aby wprowadzić tę zmianę.
Jak zmienić ustawienia funkcji Application Guard
Ważne:
-
Ta opcja jest dostępna tylko poza środowiskiem Application Guard. Otwórz nowe wystąpienie aplikacji pakietu Office, aby wprowadzić tę zmianę.
-
Przed wprowadzeniem zmian w ustawieniach funkcji Application Guard zalecamy skontaktowanie się z administratorem IT.
-
Przejdź do pozycji Plik > Opcje
-
Wybierz pozycję Centrum zaufania > Ustawienia centrum zaufania > Application Guard.
-
Wybierz odpowiednie opcje, a następnie wybierz przycisk OK, aby zapisać zmiany i zamknąć Ustawienia centrum zaufania.
Ustawienia funkcji Application Guard
-
Włącz funkcję Application Guard dla plików pochodzących z Internetu — Internet jest uważany za niebezpieczną lokalizację, ponieważ jest najczęstszym źródłem złośliwych plików.
-
Włącz funkcję Application Guard dla plików znajdujących się w potencjalnie niebezpiecznych lokalizacjach — dotyczy to folderów na komputerze lub w sieci, które są uznawane za niebezpieczne, takich jak tymczasowy folder plików internetowych lub inne foldery wybrane przez administratora.
-
Włącz funkcję Application Guard dla załączników aplikacji Outlook — załączniki w wiadomościach e-mail to kolejne częste źródło złośliwych plików.
Excel ma dwa dodatkowe ustawienia:
-
Zawsze otwieraj niezaufane pliki tekstowe (.csv, .dif i .sylk) przy użyciu funkcji Application Guard— jeśli ta opcja jest włączona, pliki tekstowe otwierane z niezaufanej lokalizacji są zawsze otwierane przy użyciu funkcji Application Guard. Jeśli wyłączysz te ustawienia zasad lub ich nie skonfigurujesz, pliki tekstowe otwierane z niezaufanej lokalizacji będą otwierane normalnie.
-
Zawsze otwieraj niezaufane pliki bazy danych (.dbf) przy użyciu funkcji Application Guard — jeśli ta opcja jest włączona, pliki bazy danych otwierane z niezaufanej lokalizacji są zawsze otwierane przy użyciu funkcji Application Guard. Jeśli to ustawienie zostanie wyłączone lub nie zostanie skonfigurowane, pliki bazy danych otwierane z niezaufanej lokalizacji będą otwierane normalnie.
Wszystkie te ustawienia mogą być również skonfigurowane przez administratora za pomocą zasad grupy lub zasad usługi w chmurze dla pakietu Office.
Czego nie mogę robić w funkcji Application Guard?
Ze względów bezpieczeństwa niektóre funkcje nie są dostępne dla aplikacji pakietu Office, gdy jest uruchomiona funkcja Application Guard. Są to, między innymi:
-
Dostęp do tożsamości użytkownika.
-
Dostęp do dowolnych lokalizacji w systemie plików.
-
Dostęp do lokalizacji sieciowych sklasyfikowanych jako znajdujące się w granicach zabezpieczeń przedsiębiorstwa według zasad izolacji sieci (np. firmowy intranet lub domeny sklasyfikowane jako „Przedsiębiorstwo”).
-
Przy użyciu funkcji Application Guard nie można otwierać plików CSV, HTML oraz plików chronionych przez usługę Zarządzanie prawami do informacji (IRM). Jeśli administrator skonfiguruje dla organizacji ustawienie zasad Nieobsługiwane typy plików, będzie można otwierać te pliki w widoku chronionym. Dowiedz się więcej o konfigurowaniu funkcji Application Guard dla zasad pakietu Office.
-
Wklejanie obrazów i zawartości w formacie RTF w dokumentach pakietu Office otwartych przy użyciu funkcji Application Guard nie jest obecnie obsługiwane.
Funkcje pakietu Office, które mogą być zależne od tych funkcji, są niedostępne. Do przykładów należą: udostępnianie pliku, przechwytywanie wycinka ekranu, wstawianie obrazu z lokalizacji w systemie plików, dodawanie połączenia ze źródłem danych itp.
Co z dodatkami i makrami?
Oprócz wbudowanych funkcji, które są wyłączone, wszystkie funkcje rozszerzające możliwości pakietu Office, w tym dodatki COM, VSTO, dodatki sieci Web i makra, są wyłączone w funkcji Application Guard.
Czy mogę używać funkcji Application Guard z czytnikiem zawartości ekranu?
Pliki otwierane przy użyciu funkcji Application Guard są dostępne za pomocą narzędzi ułatwień dostępu, które korzystają ze struktury automatyzacji interfejsu użytkownika (UIA) firmy Microsoft, takich jak Narrator.
Zobacz też
Zapewnianie ochrony przed wyłudzaniem informacji