Важно: Application Guard в Microsoft Defender для Office устарел и больше не обновляется. Эта устаревшая версия также включает API-интерфейсы Windows.Security.Isolation, которые используются для Application Guard в Microsoft Defender для Office. Мы рекомендуем перейти на Microsoft Defender для конечной точки правила сокращения поверхности атак, а также защищенное представление и управление приложениями в Защитнике Windows. Начиная с Windows 11 версии 24H2 Application Guard в Microsoft Defender больше недоступен.
Файлы из Интернета и других потенциально небезопасных расположений могут содержать вирусы, черви и другие виды вредоносных программ, которые могут причинить вред вашему компьютеру и данным. Чтобы защитить вас, Microsoft 365 открывает файлы из потенциально небезопасных мест в Application Guard — защищенном контейнере, изолированном от остальных данных с помощью аппаратной виртуализации. В отличие от защищенного просмотра, когда Microsoft 365 открывает файлы в Application Guard, можно безопасно читать, править, печатать и сохранять такие файлы без необходимости снова открывать их вне контейнера.
Если вы уверены, что файл безопасен, и вам нужно выполнить действия, которые Application Guard блокирует, вы можете снять защиту с этого файла.
Примечание: Если администратор включил функцию Безопасные документы, перед открытием за пределами Application Guard файл будет проверен на вредоносность в службе Microsoft Defender для конечных точек.
Защищенный просмотр — это режим только для чтения, в котором отключено большинство функций редактирования. Файлы из таких потенциально небезопасных расположений открываются только для чтения в режиме защищенного просмотра. Он позволяет открывать файлы, просматривать их и разрешать редактирование с меньшим риском.
Application Guard — это режим с ограничениями, позволяющий выполнять ограниченную правку и печать ненадежных документов с минимальным риском для компьютера. Office открывает файлы из потенциально небезопасных мест в Application Guard — защищенном контейнере, изолированном от устройства с помощью аппаратной виртуализации. Когда Office открывает файлы в Application Guard, можно безопасно читать, править, печатать и сохранять такие файлы без необходимости снова открывать их вне контейнера.
По сравнению с защищенным представлением Application Guard обеспечивает усиленную безопасность и повышенную производительность для пользователей.
Безопасность
Application Guard — это песочница на основе виртуализации, используемая для изоляции ненадежных документов, с которыми вы можете столкнуться. Она приносит в ваш компьютер ту же технологию, которая используется в Azure.
Ненадежные документы открываются в изолированном контейнере с поддержкой Hyper-V, который отделен от операционной системы основного компьютера. Такая изоляция контейнера означает, что если документ окажется вредоносным, основной компьютер будет защищен, и злоумышленник не сможет получить доступ к данным вашего предприятия. Например, такой подход позволяет сделать изолированный контейнер анонимным, поэтому при атаке будет невозможно получить доступ к корпоративным учетным данным сотрудника.
Производительность
Теперь, помимо возможности чтения документов в защищенном контейнере, можно использовать такие функции, как печать, комментирование и проверка, незначительная правка и сохранение, причем ненадежный документ остается в контейнере Application Guard.
Если документ из ненадежного источника не является вредоносным, вы можете продолжать эффективную работу, не беспокоясь о том, что устройство будет под угрозой.
Если же вы встретите вредоносный документ, он будет безопасно изолирован в Application Guard, что обеспечит безопасность остальной части системы.
Технология Application Guard доступна организациям, у которых есть лицензии Microsoft 365 E5 или Microsoft 365 E5 Mobility + Security. Пользователи в этих организациях должны использовать приложения Microsoft 365 для предприятий на Актуальном канале или Ежемесячном канале (корпоративном).
Когда файл будет открываться в Application Guard?
Файлы, которые в настоящее время открываются в режиме защищенного просмотра, будут открываться в Application Guard, если функция Application Guard включена. В том числе:
-
Файлы из Интернета. Это файлы, скачанные из доменов, которые не относятся к локальной интрасети или доменам надежных сайтов на вашем устройстве; файлы, полученных в виде вложений электронной почты от отправителей за пределами организации; файлы, полученных из других служб обмена сообщениями в Интернете или служб общего доступа, или файлы, открытые в расположении OneDrive или SharePoint за пределами вашей организации.
-
Файлы в потенциально небезопасных расположениях. Этот параметр относится к хранящимся на компьютере или в сети небезопасным папкам (например, к папке временных файлов Интернета или другим папкам, назначенным администратором).
Примечание: Файлы, открытые в сетевом расположении, включая OneDrive вашей организации, открываются в Application Guard только для чтения. Вы можете сохранить копию такого файла, чтобы продолжить работу с ним, или, если доверяете источнику файла, вы можете снять защиту, как описано ниже.
-
Файлы, которые блокируются блокировкой файлов. Функция блокировки файлов запрещает открывать файлы устаревших типов и вызывает их открытие в режиме защищенного просмотра с отключенными командами "Сохранить" и "Открыть". Подробнее о функции блокировки файлов.
Как снять защиту с файла или восстановить ее?
Внимание: Это можно сделать только в том случае, если вы уверены, что файл и его источник надежны.
Если вы хотите выполнить действия, которые не разрешает Application Guard, можно снять защиту Application Guard с файла. После снятия защиты файл становится надежным документом.
Для снятия защиты Application Guard выберите Файл > Сведения, а затем выберите Снять защиту.
Если это не удается, скорее всего, в вашей организации развернуты политики, которые запрещают снятие защиты Application Guard с файлов.
Восстановление защиты
Выберите Файл > Параметры > Центр управления безопасностью > Параметры центра управления безопасностью > Надежные документы, а затем выберите Сбросить пометку о надежности для всех надежных документов.
Учтите, что при этом будет восстановлена защита ВСЕХ документов, с которых она была снята на этом устройстве.
Важно: Этот параметр доступен только за пределами среды Application Guard. Откройте новый экземпляр приложения Office, чтобы внести это изменение.
Как изменить параметры Application Guard
Важно:
-
Этот параметр доступен только за пределами среды Application Guard. Откройте новый экземпляр приложения Office, чтобы внести это изменение.
-
Перед внесением изменений в параметры Application Guard рекомендуется поговорить с ИТ-администратором.
-
Выберите Файл > Параметры
-
Выберите Центр управления безопасностью > Параметры центра управления безопасностью > Application Guard.
-
Внесите нужные изменения, а затем нажмите кнопку ОК, чтобы сохранить изменения и выйти из параметров центра управления безопасностью.
Параметры Application Guard
-
Включить Application Guard для файлов из Интернета. — Интернет считается небезопасным расположением, поскольку это наиболее типичный источник вредоносных файлов.
-
Включить Application Guard для файлов в потенциально небезопасных расположениях —- этот параметр относится к хранящимся на компьютере или в сети небезопасным папкам (например, к папке временных файлов Интернета или другим папкам, назначенным администратором).
-
Включить Application Guard для вложений Outlook — вложения в сообщения электронной почты являются еще одним распространенным источником вредоносных файлов.
Для Excel есть два дополнительных параметра:
-
Всегда открывать ненадежные текстовые файлы (.csv, .dif и.sylk) в Application Guard — Если этот параметр включен, текстовые файлы, открываемые в ненадежном расположении, всегда открываются в Application Guard. Если этот параметр отключен или не настроен, текстовые файлы, открываемые из ненадежного расположения, открываются как обычно.
-
Всегда открывать ненадежные файлы базы данных (DBF) в Application Guard — если этот параметр включен, файлы базы данных, открываемые в ненадежном расположении, всегда открываются в Application Guard. Если этот параметр отключен или не настроен, файлы базы данных, открываемые из ненадежного расположения, открываются как обычно.
Все эти параметры также могут быть настроены администратором с помощью групповой политики или Office облачной службы политик Office.
Что невозможно сделать в Application Guard?
По соображениям безопасности для приложений Office при работе в Application Guard недоступны некоторые возможности. В том числе:
-
Доступ к удостоверению пользователя.
-
Доступ к произвольным расположениям в файловой системе.
-
Доступ к сетевым расположениям, определенным как находящиеся в корпоративных границах безопасности (например, к корпоративной интрасети или доменам, обозначенным как домены предприятия), в соответствии с политиками сетевой изоляции.
-
Файлы CSV, HTML и файлы, защищенные с помощью управления правами на доступ к данным (IRM), нельзя открывать в Application Guard. Если администратор задал параметр политики Неподдерживаемые типы файлов для вашей организации, вы сможете открывать такие файлы в режиме защищенного просмотра. Подробнее о настройке Application Guard для политик Office.
-
Вставка форматированного содержимого (RTF) или изображений в документы Office, открытые в Application Guard, в настоящее время не поддерживается.
Функции Office, которые могут зависеть от этих возможностей, недоступны. Примеры: общий доступ к файлу, сохранение снимка экрана, вставка рисунка из расположения в файловой системе, добавление подключения к источнику данных и т. д.
Работают ли надстройки и макросы?
В дополнение к отключенным встроенным функциям, в Application Guard отключаются все функции, расширяющие возможности Office, включая COM, VSTO, веб-надстройки и макросы.
Можно ли использовать Application Guard со средством чтения с экрана?
Файлы, открытые в Application Guard, доступны через средства специальных возможностей, использующие платформу Microsoft UI Automation (UIA), такие как Экранный диктор (Майкрософт).