חשוב: Microsoft Defender Application Guard עבור Office יוצא משימוש והוא כבר אינו מתעדכן. פחת זה כולל גם את ממשקי ה- API של Windows.Security.Isolation המשמשים Microsoft Defender Application Guard עבור Office. אנו ממליצים לעבור לכללי Microsoft Defender עבור נקודת קצה נגד הפחתת שטח יחד עם תצוגה מוגנת ובקרה Windows Defender היישום.
קבצים מהאינטרנט וממיקומים אחרים שעלולים להיות לא בטוחים עשויים להכיל וירוסים, תולעים או סוגים אחרים של תוכנות זדוניות העלולים להזיק למחשב ולנתונים שלך. כדי לסייע בהגנה עליך, Microsoft 365פותח קבצים ממיקומים שעלולים להיות לא בטוחים ב- Application Guard, גורם מכיל מאובטח המבודד משאר הנתונים באמצעות וירטואליזציה מבוססת חומרה. בניגוד לתצוגה מוגנת, כאשר Microsoft 365פותח קבצים ב- Application Guard, באפשרותך לקרוא, לערוך, להדפיס, ולשמור את הקבצים האלה באופן מאובטח מבלי שתצטרך לפתוח מחדש קבצים מחוץ לגורמים המכילים.
אם אתה בטוח שהקובץ בטוח ועליך לבצע פעולה שנחסמת על-ידי Application Guard, באפשרותך לבחור להסיר את ההגנה מהקובץ הזה.
הערה: אם מנהל המערכת הפך את מסמכים בטוחים לזמינים, הקובץ מאומת מולMicrosoft Defenderעבור שירות נקודת הקצה כדי לקבוע אם הוא זדוני לפני פתיחתו מחוץ ל- Application Guard.
תצוגה מוגנת היא מצב לקריאה בלבד שבו רוב פונקציות העריכה אינן זמינות. קבצים ממיקומים שעלולים להיות לא בטוחים נפתחים לקריאה בלבד או בתצוגה מוגנת. באמצעות תצוגה מוגנת, באפשרותך לקרוא קובץ, לראות את תוכנו ולהפוך עריכה לזמינה תוך צמצום הסיכונים.
Application Guard הוא מצב מוגבל המאפשר לך לבצע עריכה מוגבלת והדפסה של מסמכים לא מהימנים תוך מזעור הסיכון למחשב שלך. Office פותח קבצים ממיקומים שעלולים להיות לא בטוחים ב- Application Guard, גורם מכיל מאובטח המבודד מהמכשיר באמצעות וירטואליזציה מבוססת חומרה. כאשר Office פותח קבצים ב- Application Guard, באפשרותך לקרוא, לערוך, להדפיס ולשמור את הקבצים האלה באופן מאובטח ללא צורך לפתוח מחדש קבצים מחוץ לגורמים המכילים.
בהשוואה לתצוגה מוגנת, Application Guard מספק הן אבטחה משופרת והן פרודוקטיביות משופרת עבור משתמשים.
אבטחה
Application Guard הוא ארגז חול מבוסס וירטואליזציה המשמש לבידוד מסמכים לא מהימנים שאתה עלול להיתקל בהם. הוא מביא את אותה טכנולוגיה שמפעילה את Azure בשולחן העבודה שלך.
מסמכים לא מהימנים נפתחים בגורמים מכילים מבודדים התומכים ב- Hyper-V, המופרד ממערכת ההפעלה המארחת. בידוד הגורם המכיל הזה פירושו שאם מסמך הוא זדוני, המחשב המארח מוגן ותוקף אינו יכול לגשת לנתונים הארגוניים שלך. לדוגמה, הגישה הזו הופכת את הגורם המכיל המבודד לאנונימי, כך שהתוקף אינו יכול לגשת אל האישורים הארגוניים של העובד שלך.
פרודוקטיביות
בנוסף ליכולת לקרוא מסמכים בתוך הגורם המכיל המאובטח, כעת באפשרותך להשתמש בתכונות כגון הדפסה, הוספת הערות וסקירה, עריכה קלה ושמירה, תוך שמירה על מסמך לא מהימן בתוך הגורם המכיל של Application Guard.
כאשר אתה נתקל במסמכים ממקורות לא מהימנים שאינם זדוניים, באפשרותך להמשיך להיות פרודוקטיבי מבלי לדאוג שאתה מסכן את המכשיר שלך.
אם אתה נתקל במסמך זדוני, הוא מבודד בבטחה בתוך Application Guard, כך ששאר המערכת שלך בטוחה.
Application Guard זמין לארגונים בעלי רשיונות Microsoft 365 E5 או Microsoft 365 E5 Mobility + Security. משתמשים בארגונים האלה חייבים להשתמש באפליקציות Microsoft 365 לארגונים בערוץ השוטף או בערוץ הארגוני החודשי.
מתי ייפתח קובץ ב- Application Guard?
קבצים הפתוחים כעת בתצוגה מוגנת ייפתחו ב- Application Guard אם Application Guard זמין. חוויות אלה כוללות:
-
קבצים שמקורם באינטרנט: זה מתייחס לקבצים שהורדו מתחומים שאינם מהווים חלק מהאינטרא-נט המקומי או מתחום אתרים מהימנים במכשיר שלך, קבצים שהתקבלו כקבצים מצורפים לדואר אלקטרוני משולחים מחוץ לארגון שלך, קבצים שהתקבלו מסוגים אחרים של העברת הודעות אינטרנט או שירותי שיתוף, או קבצים שנפתחו ממיקום של OneDrive או SharePoint מחוץ לארגון שלך.
-
קבצים הממוקמים במיקומים שעלולים להיות לא בטוחים: אפשרות זו מתייחסת לתיקיות במחשב או ברשת הנחשבות ללא בטוחות, כגון התיקיה 'קבצי אינטרנט זמניים' או תיקיות אחרות המוקצות על-ידי מנהל המערכת שלך.
הערה: קבצים שנפתחו ממיקום ברשת, כולל OneDrive של הארגון שלך, נפתחים לקריאה בלבד ב- Application Guard. באפשרותך לשמור עותק של הקבצים האלה כדי להמשיך לעבוד איתם, או אם אתה נותן אמון במקור הקובץ, באפשרותך לבחור להסיר את ההגנה כמתואר להלן.
-
קבצים הנחסמים על-ידי חסימת קבצים: חסימת קבצים מונעת פתיחה של סוגי קבצים לא מעודכנים וגורמת לקובץ להיפתח בתצוגה מוגנת ומנטרלת את התכונות 'שמירה' ו'פתיחה'. קבל מידע נוסף אודות חסימת קבצים.
כיצד ניתן להסיר או לשחזר, הגנה מקובץ?
זהירות: עשה זאת רק אם אתה בטוח מאוד שהקובץ והמקור שלו מהימנים.
אם ברצונך לבצע פעולות ש- Application Guard אינו מאפשר, באפשרותך להסיר את ההגנה של Application Guard מקובץ. לאחר הסרת ההגנה, הקובץ הופך למסמך מהימן.
כדי להסיר את ההגנה של Application Guard, עבור אלקובץ > מידע ובחר הסר הגנה.
אם אינך מצליח לעשות זאת, ייתכן שלארגון שלך יש פריטי מדיניות שנפרסו שמונעים את הסרת הגנת Application Guard מקובץ.
כדי לשחזר הגנה
עבור אל קובץ >אפשרויות > מרכז יחסי האמון> הגדרות מרכז יחסי האמון> מסמכים מהימנים ובחר אתנקה את כל המסמכים המהימנים כדי שהם לא יהיו מהימנים עוד.
שים לב שהפעולה הזו תשחזר את ההגנה על כל המסמכים שמהם הסרת אותה במכשיר הזה.
חשוב: אפשרות זו זמינה רק מחוץ לסביבה Application Guard המקומית. פתח מופע חדש של יישום Office כדי לבצע שינוי זה.
כיצד ניתן לשנות את הגדרות Application Guard שלי
חשוב:
-
אפשרות זו זמינה רק מחוץ לסביבה Application Guard המקומית. פתח מופע חדש של יישום Office כדי לבצע שינוי זה.
-
אנו ממליצים לדבר עם מנהל ה- IT שלך לפני ביצוע שינויים בהגדרות של Application Guard.
-
עבור אל קובץ> אפשרויות
-
בחר מרכז יחסי האמון > הגדרות מרכז יחסי האמון > Application Guard.
-
בצע את הבחירות שלך ולאחר מכן בחר אישור כדי לשמור את השינויים ולצאת מהגדרות מרכז יחסי האמון.
הגדרות Application Guard
-
הפוך את Application Guard לזמין עבור קבצים שמקורם באינטרנט - האינטרנט נחשב למיקום לא בטוח מכיוון שזהו המקור הנפוץ ביותר עבור קבצים זדוניים.
-
הפוך את Application Guard לזמין עבור קבצים במיקומים שעלולים להיות לא בטוחים- האפשרות הזו מתייחסת לתיקיות במחשב או ברשת הנחשבות ללא בטוחות, כגון התיקיה 'קובצי אינטרנט זמניים' או תיקיות אחרות שנבחרו על-ידי מנהל ה- IT שלך.
-
הפוך את Application Guard לזמין עבור קבצים מצורפים ב- Outlook - קבצים מצורפים בדואר אלקטרוני הם מקור נפוץ נוסף של קבצים זדוניים.
ל- Excelיש שתי הגדרות נוספות:
-
פתח תמיד קבצים מבוססי טקסט לא מהימנים (.csv, .dif ו-.sylk) ב- Application Guard - אם האפשרות הזו זמינה, קבצים מבוססי טקסט שנפתחים ממיקום לא מהימן ייפתחו תמיד ב- Application Guard. אם תבטל או לא תקבע את תצורת הגדרת המדיניות הזו, קבצים מבוססי טקסט שנפתחים ממיקום לא מהימן ייפתחו כרגיל.
-
פתח תמיד קובצי מסד נתונים לא מהימנים (.dbf) ב- Application Guard - אם האפשרות הזו זמינה, קובצי מסד נתונים שנפתחים ממיקום לא מהימן ייפתחו תמיד ב- Application Guard. אם תבטל או לא תגדיר את ההגדרה הזו, קבצי מסד נתונים שנפתחים ממיקום לא מהימן ייפתחו כרגיל.
מנהל מערכת יכול גם לקבוע את התצורה של כל ההגדרות האלה באמצעות מדיניות קבוצתית או שירות מדיניות הענן של Office.
אילו דברים איני יכול לבצע ב- Application Guard?
עבור האבטחה שלך, יכולות מסוימות אינן זמינות עבור אפליקציות Office במהלך ההפעלה ב- Application Guard. חוויות אלה כוללות:
-
גישה לזהות המשתמש.
-
גישה למיקומים שרירותיים במערכת הקבצים שלך.
-
גישה למיקומים ברשת המסווגים כבתוך גבול האבטחה הארגוני (לדוגמה, אינטרא-נט של החברה או תחומים המסווגים כ"ארגוניים") לפי מדיניות בידוד הרשת.
-
לא ניתן לפתוח קובצי CSV, HTML וקבצים המוגנים באמצעות ניהול זכויות מידע (IRM)ב- Application Guard. אם מנהל המערכת שלך קובע את התצורה של המדיניותסוגי קבצים שאינם נתמכים עבור הארגון שלך, תוכל לפתוח את הקבצים האלה בתצוגה מוגנת. קבל מידע נוסף אודות קביעת התצורה של Application Guard עבור פריטי מדיניות של Office.
-
הדבקת תוכן או תמונות בתבנית טקסט עשיר (RTF) במסמכים של Office שנפתחו באמצעות Application Guard אינה נתמכת בשלב הזה.
תכונות ב Office שעשויות להיות תלויות ביכולות האלה אינן זמינות. דוגמאות מסוימות כוללות שיתוף קובץ, לכידת צילום מסך, הוספת תמונה ממיקום במערכת הקבצים, הוספת חיבור למקור נתונים וכו'.
מה לגבי תוספות ופקודות מאקרו?
בנוסף לפונקציות המוכללות שאינן זמינות, כל היכולות שמרחיבות את היכולות של Office כולל COM, VSTO, תוספות אינטרנט ופקודות מאקרו אינן זמינות ב- Application Guard.
האם ניתן להשתמש ב- Application Guard עם קורא מסך?
קבצים שנפתחים ב- Application Guard נגישים באמצעות כלי נגישות המשתמשים במסגרת Microsoft UI Automation (UIA), כגון קורא הטקסטים של Microsoft.