Dôležité: Microsoft Defender Application Guard pre Office sa už neschvaľujú a už sa neaktualizujú. Toto zamietnutie zahŕňa aj rozhrania Windows.Security.Isolation API, ktoré sa používajú pre Microsoft Defender Application Guard pre Office. Spolu s chráneným zobrazením a ovládacím prvkom aplikácie Windows Defender odporúčame prejsť na Microsoft Defender pre koncové body ústupné pravidlá znižovania povrchu. Od Windows 11 verzie 24H2 už Microsoft Defender Application Guard nie je k dispozícii.
Súbory z internetu a iných potenciálne nebezpečných umiestnení môžu obsahovať vírusy, červy a iné druhy škodlivého softvéru, ktoré môžu poškodiť počítač. V záujme vašej ochrany Microsoft 365 otvára súbory z potenciálne nebezpečných umiestnení v nástroji Application Guard, zabezpečenom kontajneri izolovanom od ostatných údajov prostredníctvom hardvérovej virtualizácie. Na rozdiel od chráneného zobrazenia, keď Microsoft 365 otvorí súbory v nástroji Application Guard, môžete tieto súbory bezpečne čítať, upravovať, tlačiť a ukladať bez toho, aby ste museli znova otvárať súbory mimo kontajnera.
Ak ste si istý, že súbor je bezpečný a potrebujete urobiť niečo, čo Application Guard blokuje, môžete sa rozhodnúť, že z daného súboru odstránite ochranu.
Poznámka: Ak správca povolil Bezpečné dokumenty, súbor sa overí v nástroji Microsoft Defender pre koncový bod služby, aby pred otvorením mimo Application Guard zistil, či je škodlivý.
Chránené zobrazenie je režim iba na čítanie, v ktorom je zakázaná väčšina funkcií úprav. Súbory z potenciálne nebezpečných umiestnení sa otvárajú iba na čítanie alebo v chránenom zobrazení. Použitím chráneného zobrazenia môžete súbor čítať, prezerať si jeho obsah a povoliť úpravy, pričom zároveň obmedzíte riziká.
Application Guard je obmedzený režim, ktorý umožňuje vykonávať obmedzené úpravy a tlačiť nedôveryhodné dokumenty, ale zároveň minimalizuje riziko pre váš počítač. Office otvára súbory z potenciálne nebezpečných umiestnení v nástroji Application Guard, zabezpečenom kontajneri izolovanom od zariadenia prostredníctvom hardvérovej virtualizácie. Keď Office otvorí súbory v nástroji Application Guard, tieto súbory môžete bezpečne čítať, upravovať, tlačiť a ukladať bez nutnosti opätovného otvárania súborov mimo kontajnera.
V porovnaní s chráneným zobrazením poskytuje Application Guard lepšie zabezpečenie aj vyššiu produktivitu pre používateľov.
Zabezpečenie
Application Guard je testovacie prostredie (sandbox) založené na virtualizácii, ktoré sa používa na izolovanie nedôveryhodných dokumentov, s ktorými sa môžete stretnúť. Prináša tú istú technológiu, ktorá podporuje Azure pre váš počítač.
Nedôveryhodné dokumenty sa otvárajú v izolovanom kontajneri s podporou hyper-V, ktorý je oddelený od hostiteľského operačného systému. Izolovaný kontajner zabezpečí, že ak je dokument škodlivý, hostiteľský počítač je chránený a útočník nemôže získať prístup k podnikovým údajom. Tento prístup napríklad nastaví izolovaný kontajner ako anonymný, takže útočník nemôže získať prístup k podnikovým prístupovým údajom vášho zamestnanca.
Produktivita
Okrem možnosti čítať dokumenty v zabezpečenom kontajneri môžete odteraz používať funkcie ako tlač, komentovanie a revízia, jednoduché úpravy a ukladanie a zároveň nechať nedôveryhodný dokument v kontajneri Application Guard.
Keď narazíte na dokumenty z nedôveryhodných zdrojov, ktoré nie sú škodlivé, môžete byť naďalej produktívny bez obáv, že ohrozíte svoje zariadenie.
Ak narazíte na škodlivý dokument, zostane bezpečne izolovaný v rámci služby Application Guard a zvyšok systému je v bezpečí.
Application Guard je k dispozícii pre organizácie, ktoré majú licencie Microsoft 365 E5 alebo Microsoft 365 E5 Mobility + Security. Používatelia v týchto organizáciách musia používať aplikácie Microsoft 365 pre podniky v aktuálnom kanáli alebo mesačnom kanáli Enterprise.
Ďalšie informácie o nastavení nástroja Application Guard pre Office.
Kedy sa súbor otvorí v nástroji Application Guard?
Súbory, ktoré sú aktuálne otvorené v chránenom zobrazení, sa otvoria v nástroji Application Guard, ak je funkcia Application Guard zapnutá. Patria sem:
-
Súbory pochádzajúce z internetu: Týka sa to súborov stiahnutých z domén, ktoré nie sú súčasťou lokálnej domény intranetu alebo dôveryhodných lokalít vo vašom zariadení, súborov prijatých ako e-mailové prílohy od odosielateľov mimo vašej organizácie, súborov prijatých z iných druhov internetových správ alebo služieb zdieľania alebo súborov otvorených z umiestnenia OneDrive alebo SharePoint mimo vašej organizácie.
-
Súbory umiestnené v potenciálne nebezpečných umiestneniach. V tomto prípade ide o priečinky v počítači alebo v sieti, ktoré sa nepovažujú za bezpečné, ako napríklad priečinok Dočasné internetové súbory alebo iné priečinky označené správcom.
Poznámka: Súbory otvorené zo sieťového umiestnenia vrátane OneDrivu organizácie sa otvárajú v režime iba na čítanie v nástroji Application Guard. Kópiu takýchto súborov môžete uložiť a pokračovať v práci s nimi, alebo ak dôverujete zdroju súboru, môžete sa rozhodnúť odstrániť ochranu podľa postupu popísaného nižšie.
-
Súbory blokované blokovaním súborov: Blokovanie súborov zabraňuje otváraniu zastaraných súborov a spôsobuje, že daný súbor sa otvorí v chránenom zobrazení a budú zakázané funkcie Uložiť a Otvoriť. Ďalšie informácie o funkcii Blokovanie súborov.
Ako odstránim alebo obnovím zabezpečenie súboru?
Upozornenie: Takto postupujte iba vtedy, ak máte istotu, že súbor a jeho zdroj sú dôveryhodné.
Ak chcete vykonať akcie, ktoré nie sú povolené nástrojom Application Guard môžete odstrániť ochranu Application Guard zo súboru. Po odstránení zabezpečenia sa súbor stane dôveryhodným dokumentom.
Ak chcete odstrániť službu Application Guard prejdite na položky Súbor > Informácie a vyberte možnosť Odstrániť ochranu.
Ak sa vám to nepodarí, je pravdepodobné, že vaša organizácia má nasadené politiky, ktoré zabraňujú odstráneniu ochrany Application Guard zo súboru.
Obnovenie ochrany
Prejdite na položky Súbor > Možnosti > Centrum dôveryhodnosti > Nastavenia centra dôveryhodnosti > Dôveryhodné dokumenty a vyberte možnosť Zrušiť dôveryhodnosť všetkých dôveryhodných dokumentov.
Upozorňujeme, že týmto sa obnoví ochrana VŠETKÝCH dokumentov, ktoré ste odstránili z tohto zariadenia.
Dôležité: Táto možnosť je k dispozícii len mimo Application Guard prostredia. Ak chcete vykonať túto zmenu, otvorte novú inštanciu aplikácie balíka Office.
Ako zmením nastavenia nástroja Application Guard
Dôležité:
-
Táto možnosť je k dispozícii len mimo Application Guard prostredia. Ak chcete vykonať túto zmenu, otvorte novú inštanciu aplikácie balíka Office.
-
Odporúčame, aby ste sa pred zmenami v nastaveniach nástroja Application Guard porozprávali so svojím správcom IT.
-
Prejdite na položky Súbor > Možnosti.
-
Vyberte položky Centrum dôveryhodnosti > Nastavenia centra dôveryhodnosti > Application Guard.
-
Vyberte položky a potom vyberte možnosť OK, aby ste uložili zmeny a ukončite Nastavenia centra dôveryhodnosti.
Nastavenia nástroja Application Guard
-
Povoliť Application Guard pre súbory pochádzajúce z internetu – internet sa považuje za nebezpečné umiestnenie, pretože je najčastejším zdrojom škodlivých súborov.
-
Povoliť Application Guard pre súbory umiestnené v potenciálne nebezpečných umiestneniach – V tomto prípade ide o priečinky v počítači alebo v sieti, ktoré sa nepovažujú za bezpečné, ako napríklad priečinok Dočasné internetové súbory alebo iné priečinky vybraté správcom IT.
-
Povoliť Application Guard pre prílohy Outlooku – Prílohy v e-mailoch sú ďalším bežným zdrojom škodlivých súborov.
Excel má dve ďalšie nastavenia:
-
Vždy otvárať nedôveryhodné textové súbory (.csv, .dif a .sylk) v Application Guard – Ak je táto možnosť povolená, textové súbory otvorené z nedôveryhodného umiestnenia sa vždy otvoria v nástroji Application Guard. Ak vypnete alebo nenakonfigurujete toto nastavenie politiky, textové súbory otvorené z nedôveryhodného umiestnenia sa otvárajú normálne.
-
Vždy otvárať nedôveryhodné databázové súbory (.dbf) v Application Guard – Ak je táto možnosť povolená, databázové súbory otvorené z nedôveryhodného umiestnenia sa vždy otvárajú v nástroji Application Guard. Ak zakážete alebo nenakonfigurujete toto nastavenie, databázové súbory otvorené z nedôveryhodného umiestnenia sa otvárajú normálne.
Všetky tieto nastavenia môže správca nakonfigurovať aj prostredníctvom skupinovej politiky alebo služby politiky Office v cloude.
Čo nemôžem robiť v nástroji Application Guard?
Z dôvodu zabezpečenia nie sú niektoré možnosti k dispozícii pre aplikácie Office, keď je Application Guard spustený. Patria sem:
-
Prístup k identite používateľa.
-
Prístup k ľubovoľným umiestneniam v systéme súborov.
-
Prístup k sieťovým umiestneniam, ktoré sú klasifikované v rámci ohraničenia podnikového zabezpečenia (napr. intranet spoločnosti alebo domény klasifikované ako "Podnik") podľa politík izolácie siete.
-
CSV, HTML a súbory chránené technológiou Správa prístupových práv k informáciám (IRM) nie je možné otvoriť v nástroji Application Guard. Ak váš správca nakonfiguruje nastavenie politiky nepodporovaných typov súborov pre vašu organizáciu, budete môcť tieto súbory otvoriť v chránenom zobrazení. Ďalšie informácie o konfigurovaní nástroja Application Guard pre politiky Office.
-
Prilepenie obsahu alebo obrázkov vo formáte RTF do dokumentov balíka Office otvorených pomocou nástroja Application Guard v súčasnosti nie je podporované.
Funkcie v balíku Office, ktoré môžu byť závislé od týchto možností, nie sú k dispozícii. Medzi príklady patrí zdieľanie súboru, zaznamenanie snímky obrazovky, vloženie obrázka z umiestnenia v systéme súborov, pridanie pripojenia k zdroju údajov atď.
Aké sú možnosti pre doplnky a makrá?
Okrem vypnutých vstavaných funkcií sú v nástroji Application Guard vypnuté všetky funkcie, ktoré rozširujú možnosti balíka Office vrátane funkcií COM, VSTO, webových doplnkov a makier.
Môžem používať nástroj Application Guard s čítačkou obrazovky?
Súbory otvorené v nástroji Application Guard sú prístupné prostredníctvom nástrojov na zjednodušenie ovládania, ktoré používajú architektúru UI Automation (UIA), ako je napríklad Microsoft Moderátor.
Pozrite tiež
Ochráňte sa pred neoprávneným získavaním údajov