Come abilitare Windows Defender Application Guard per Microsoft Edge
La funzionalità "Windows Defender Application Guard" di Windows 10 esegue il browser Microsoft Edge in un contenitore isolato e virtualizzato. Anche se un sito Web dannoso ha sfruttato un difetto in Edge, non ha potuto compromettere il tuo PC. Application Guard è disabilitato per impostazione predefinita.
A partire dall'aggiornamento di aprile 2018, chiunque usi Windows 10 Professional ora può abilitare Application Guard. In precedenza, questa funzione era disponibile solo in Windows 10 Enterprise. Se hai Windows 10 Home e desideri Application Guard, dovrai eseguire l'upgrade a Pro.
Requisiti di sistema
Windows Defender Application Guard, noto anche come Application Guard o WDAG, funziona solo con il browser Microsoft Edge. Quando si abilita questa funzione, Windows può eseguire Edge in un contenitore isolato protetto.
Nello specifico, Windows utilizza la tecnologia di virtualizzazione Hyper-V di Microsoft. Ecco perché Application Guard richiede un PC con hardware di virtualizzazione Intel VT-X o AMD-V. Microsoft elenca anche altri requisiti di sistema, tra cui una CPU a 64 bit con almeno 4 core, 8 GB di RAM e 5 GB di spazio libero.
Come abilitare Windows Defender Application Guard
Per abilitare questa funzione, vai su Pannello di controllo> Programmi> Attiva o disattiva funzionalità Windows.
Controllare l'opzione "Protezione di Windows Defender Application" nell'elenco qui, quindi fare clic sul pulsante "OK".
Se non vedi l'opzione in questo elenco, stai utilizzando una versione Home di Windows 10 o non hai ancora aggiornato l'aggiornamento ad aprile 2018.
Se vedi l'opzione, ma è disattivata, il tuo PC non supporta questa funzione. Non si può avere un PC con hardware Intel VT-x o AMD-V, o potrebbe essere necessario abilitare Intel VT-X nel BIOS del proprio computer. L'opzione sarà anche disattivata se hai meno di 8 GB di RAM.
Windows installerà la funzionalità Windows Defender Application Guard. Al termine, ti verrà richiesto di riavviare il PC. È necessario riavviare il PC prima di poter utilizzare questa funzione.
Come avviare Edge in Application Guard
Edge funziona ancora in modalità di navigazione normale per impostazione predefinita, ma ora è possibile aprire una finestra di navigazione protetta protetta con la funzione Application Guard.
Per fare ciò, avviare normalmente Microsoft Edge. In Edge, fare clic su Menu> Nuova finestra Guardia applicazioni.
Si apre una nuova finestra del browser Microsoft Edge separata. Il testo arancione "Application Guard" nell'angolo in alto a sinistra della finestra informa che la finestra del browser è protetta con Application Guard.
Da qui puoi aprire altre finestre del browser, anche altre finestre InPrivate per la navigazione privata, e avranno anche il testo arancione "Application Guard".
La finestra di Application Guard ha anche un'icona della barra delle applicazioni separata dalla normale icona del browser Microsoft Edge. Presenta un logo "e" di bordo blu con un'icona di scudo grigio su di esso.
Quando si scaricano e si aprono alcuni tipi di file, Edge può avviare visualizzatori di documenti o altri tipi di applicazioni in modalità Application Guard. Se un'applicazione è in esecuzione in modalità Protezione applicazione, verrà visualizzata la stessa icona di scudo grigio sopra l'icona della barra delle applicazioni.
In modalità Protezione applicazione, non è possibile utilizzare le funzioni Preferiti o Lettura elenco di Edge. Qualsiasi cronologia del browser che crei verrà eliminata anche quando esci dal tuo PC. Tutti i cookie della sessione corrente verranno cancellati anche quando canti dal tuo PC. Ciò significa che dovrai accedere nuovamente ai tuoi siti web ogni volta che inizi a utilizzare la modalità di protezione applicazioni.
Anche i download sono limitati. Il browser Edge isolato non può accedere al normale file system, quindi non è possibile scaricare file sul sistema o caricare file dalle normali cartelle a siti Web in modalità Application Guard. Non è possibile scaricare e aprire la maggior parte dei tipi di file in modalità Application Guard, inclusi i file .exe, sebbene sia possibile visualizzare PDF e altri tipi di documenti. I file scaricati vengono memorizzati in uno speciale file system Application Guard e vengono cancellati dopo l'uscita dal PC.
Altre funzionalità, tra cui copia e incolla e stampa, sono disabilitate anche per le finestre di Application Guard.
Microsoft ha aggiunto alcune opzioni per rimuovere queste limitazioni, se lo desideri, ma queste sono le impostazioni predefinite.
Come configurare Windows Defender Application Guard
È possibile configurare Windows Defender Application Guard e le relative limitazioni tramite Criteri di gruppo. Se si utilizza Application Guard sul proprio PC Windows 10 Professional autonomo, è possibile avviare l'Editor dei criteri di gruppo locale premendo facendo clic su Start, digitando "gpedit.msc" e quindi premendo Invio.
(L'Editor dei Criteri di gruppo non è disponibile nelle edizioni Home di Windows 10, ma nemmeno la funzione Windows Defender Application Guard.)
Passare a Configurazione computer> Modelli amministrativi> Componenti di Windows> Windows Defender Application Guard.
Per abilitare la "persistenza dei dati" e lasciare che Application Guard salvi i preferiti, la cronologia del browser e i cookie, fai doppio clic sull'impostazione "Consenti alla persistenza dei dati per Windows Defender Application Guard", seleziona "Abilitato" e fai clic su "OK". non cancellerà i suoi dati dopo l'uscita dal tuo PC.
Per consentire a Edge di scaricare i file nelle normali cartelle di sistema, fare doppio clic su "Consenti ai file di scaricare e salvare sul sistema operativo host da Protezione di Windows Defender Application", impostarlo su "Abilitato" e fare clic su "OK".
I file scaricati in modalità Application Guard verranno salvati in una cartella "File non attendibili" all'interno della normale cartella Download dell'account utente di Windows.
Per consentire a Edge di accedere ai normali appunti del sistema, fai doppio clic sull'opzione "Configura le impostazioni degli Appunti di Windows Defender Application Guard". Fai clic su "Abilitato" e personalizza le impostazioni degli appunti utilizzando le istruzioni qui. Ad esempio, è possibile abilitare le operazioni degli appunti dal browser Application Guard al normale sistema operativo, dal normale sistema operativo al browser Application Guard o in entrambi i modi. È anche possibile scegliere se si desidera consentire la copia di testo, la copia di immagini o entrambi. Fai clic su "OK" quando hai finito.
Microsoft consiglia di non consentire la copia dal proprio sistema operativo host alla sessione di Application Guard. In caso contrario, una sessione del browser Application Guard compromessa potrebbe leggere i dati dagli appunti del computer.
Per abilitare la stampa, fare doppio clic sull'opzione "Configura impostazioni di protezione di Windows Defender Application Guard". Fai clic su "Abilitato" e personalizza le impostazioni della stampante utilizzando le opzioni qui. Ad esempio, è possibile immettere "4" per abilitare la stampa solo su stampanti locali, "2" per abilitare la stampa solo su file PDF o "6" per consentire la stampa solo su stampanti locali e file PDF. Fai clic su "OK" quando hai finito.
Se si abilita la stampa su file PDF o XPS, Application Guard consentirà di salvare tali file nel normale file system del sistema operativo host.
È necessario riavviare il PC dopo aver modificato queste impostazioni. Non avranno effetto finché non lo farai.
Nonostante l'editor di Criteri di gruppo che dice che queste impostazioni richiedono Windows 10 Enterprise, abbiamo scoperto che hanno funzionato perfettamente su Windows 10 Professional con l'aggiornamento di aprile 2018. Qualcuno in Microsoft probabilmente ha dimenticato di aggiornare la documentazione.
Se hai bisogno di ulteriori informazioni su cosa fanno queste impostazioni dei criteri di gruppo, consulta la documentazione relativa alle policy di gruppo di Windows Defender Application Guard.
E, se sei interessato alle funzionalità di sicurezza di Windows 10, assicurati di dare un'occhiata a Controlled Folder Access, che aiuta a proteggere i tuoi file da ransomware. Anche questa funzione è disabilitata per impostazione predefinita.