O recurso “Windows Defender Application Guard” do Windows 10 executa o navegador Microsoft Edge em um contêiner virtualizado isolado . Mesmo se um site malicioso explorasse uma falha no Edge, ele não poderia comprometer o seu PC. O Application Guard está desabilitado por padrão.
A partir da atualização de abril de 2018 , qualquer pessoa que use o Windows 10 Professional pode agora habilitar o Application Guard. Anteriormente, esse recurso estava disponível apenas no Windows 10 Enterprise. Se você tiver o Windows 10 Home e quiser o Application Guard, terá que atualizar para o Pro .
Índice
Requisitos de sistema
O Windows Defender Application Guard, também conhecido como Application Guard ou WDAG, só funciona com o navegador Microsoft Edge. Quando você habilita esse recurso, o Windows pode executar o Edge em um contêiner isolado e protegido.
Especificamente, o Windows está usando a tecnologia de virtualização Hyper-V da Microsoft . É por isso que o Application Guard requer que você tenha um PC com hardware de virtualização Intel VT-X ou AMD-V . A Microsoft também lista outros requisitos de sistema , incluindo uma CPU de 64 bits com pelo menos 4 núcleos, 8 GB de RAM e 5 GB de espaço livre.
Como ativar o Windows Defender Application Guard
Para ativar este recurso, vá para Painel de controle> Programas> Ativar ou desativar recursos do Windows.
Marque a opção “Windows Defender Application Guard” na lista aqui e clique no botão “OK”.
Se não vir a opção nesta lista, você está usando uma versão Home do Windows 10 ou ainda não atualizou para a atualização de abril de 2018.
Se você vir a opção, mas estiver acinzentada, seu PC não oferece suporte para esse recurso. Você pode não ter um PC com hardware Intel VT-x ou AMD-V ou pode precisar habilitar Intel VT-X no BIOS do seu computador . A opção também ficará esmaecida se você tiver menos de 8 GB de RAM.
O Windows instalará o recurso Windows Defender Application Guard. Quando terminar, você será solicitado a reiniciar o PC. Você deve reiniciar o seu PC antes de usar este recurso.
Como iniciar o Edge no Application Guard
O Edge ainda é executado no modo de navegação normal por padrão, mas agora você pode abrir uma janela de navegação segura protegida com o recurso Application Guard.
Para fazer isso, primeiro inicie o Microsoft Edge normalmente. No Edge, clique em Menu> Nova janela de proteção do aplicativo.
Uma nova janela separada do navegador Microsoft Edge é aberta. O texto laranja “Application Guard” no canto superior esquerdo da janela informa que a janela do navegador está protegida com o Application Guard.
Você pode abrir janelas adicionais do navegador a partir daqui – até mesmo janelas InPrivate adicionais para navegação privada – e elas também terão o texto laranja “Proteção de aplicativo”.
A janela do Application Guard também possui um ícone da barra de tarefas separado do ícone normal do navegador Microsoft Edge. Ele apresenta um logotipo Edge “e” azul com um ícone de escudo cinza sobre ele.
Quando você baixa e abre alguns tipos de arquivos, o Edge pode iniciar visualizadores de documentos ou outros tipos de aplicativos no modo Application Guard. Se um aplicativo estiver sendo executado no modo Application Guard, você verá o mesmo ícone de escudo cinza sobre o ícone da barra de tarefas.
No modo Application Guard, você não pode usar os recursos Favoritos do Edge ou Lista de leitura. Qualquer histórico do navegador que você criar também será excluído quando você sair do PC. Todos os cookies da sessão atual também serão apagados quando você cantar no PC. Isso significa que você terá que entrar novamente em seus sites sempre que começar a usar o modo Application Guard.
Downloads também são limitados. O navegador Edge isolado não pode acessar seu sistema de arquivos normal, portanto, você não pode baixar arquivos para seu sistema ou fazer upload de arquivos de suas pastas normais para sites no modo Application Guard. Você não pode baixar e abrir a maioria dos tipos de arquivos no modo Application Guard, incluindo arquivos .exe, embora possa visualizar PDFs e outros tipos de documentos. Os arquivos baixados são armazenados em um sistema de arquivos especial do Application Guard e são apagados depois que você sai do PC.
Outros recursos, incluindo copiar, colar e imprimir, também estão desabilitados para as janelas do Application Guard.
A Microsoft adicionou algumas opções para remover essas limitações, se desejar, mas essas são as configurações padrão.
Como configurar a proteção de aplicativos do Windows Defender
Você pode configurar o Windows Defender Application Guard e suas limitações por meio da Política de Grupo. Se você estiver usando o Application Guard em seu próprio PC Windows 10 Professional autônomo, poderá iniciar o Editor de Política de Grupo Local clicando em Iniciar, digitando “gpedit.msc” e pressionando Enter.
(O Editor de Política de Grupo não está disponível nas edições Home do Windows 10, mas também não está o recurso Proteção de Aplicativos do Windows Defender.)
Navegue até Configuração do computador> Modelos administrativos> Componentes do Windows> Proteção de aplicativos do Windows Defender.
Para habilitar a “persistência de dados” e permitir que o Application Guard salve seus favoritos, histórico do navegador e cookies, clique duas vezes na configuração “Permitir persistência de dados para o Windows Defender Application Guard”, selecione “Ativado” e clique em “OK”. O Application Guard não apagará seus dados depois que você sair do PC.
Para permitir que o Edge baixe arquivos para as pastas normais do sistema, clique duas vezes na configuração “Permitir que os arquivos baixem e salvem no sistema operacional do host a partir do Windows Defender Application Guard”, defina-a como “Ativado” e clique em “OK”.
Os arquivos baixados no modo Application Guard serão salvos em uma pasta “Arquivos não confiáveis” dentro da pasta de downloads normal da sua conta de usuário do Windows.
To give Edge access to your normal system clipboard, double-click the “Configure Windows Defender Application Guard clipboard settings” option. Click “Enabled” and customize your clipboard settings using the instructions here. For example, you can enable clipboard operations from the Application Guard browser to the normal operating system, from the normal operating system to the Application Guard browser, or in both ways. You can also choose whether you want to allow text copying, image copying, or both. Click “OK” when you’re done.
Microsoft recommends you don’t allow copying from your host operating system to the Application Guard session. If you do, a compromised Application Guard browser session could read data from your computer’s clipboard.
To enable printing, double-click the “Configure Windows Defender Application Guard print settings” option. Click “Enabled” and customize your printer settings using the options here. For example, you could enter “4” to enable printing only to local printers, “2” to enable printing only to PDF files, or “6” to allow printing only to local printers and PDF files. Click “OK” when you’re done.
If you enable printing to PDF or XPS files, Application Guard will allow you to save those files on the host operating system’s normal file system.
You must restart your PC after changing these settings. They won’t take effect until you do.
Despite the Group Policy editor saying these settings require Windows 10 Enterprise, we found they worked perfectly fine on Windows 10 Professional with the April 2018 Update. Someone at Microsoft probably forgot to update the documentation.
If you do need more information about what these group policy settings do, consult Microsoft’s Windows Defender Application Guard group policy documentation.
And, if you’re interested in Windows 10 security features, be sure to take a look at Controlled Folder Access, which helps protect your files from ransomware. This feature is also disabled by default.