Microsoft Defender Application Guard — функция безопасности операционной системы Windows, использующая аппаратную виртуализацию для изоляции ненадёжных веб‑страниц, загружаемых файлов и приложений. Технология создаёт лёгкие виртуальные контейнеры на базе механизма Hyper‑V, в которых запускаются потенциально опасные объекты отдельно от основной пользовательской среды. Это снижает риск компрометации локальной системы, корпоративных ресурсов и учётных данных при посещении подозрительных сайтов или открытии вложений.
Разработка и внедрение Application Guard были ориентированы на корпоративные сценарии защиты конечных точек и обеспечение дополнительного уровня защиты для браузеров и офисных приложений. Функция интегрируется с политиками управления и средствами централизованного администрирования, позволяя организациям настраивать правила изоляции, управлять доверенными сайтами и контролировать обмен данными между контейнером и хост‑средой. В реализации используются механизмы аппаратной виртуализации и ограниченные интерфейсы обмена, чтобы минимизировать поверхность атаки и предотвратить распространение вредоносного кода вне контейнера.
- Виртуальная изоляция: запуск браузеров и приложений внутри лёгких Hyper‑V контейнеров для физического разделения процессов и данных от основной ОС.
- Изоляция веб‑контента: автоматическое или по политике направление трафика от недоверенных сайтов в защищённую среду.
- Ограниченные каналы обмена: контроль над копированием, вставкой, скачиванием и доступом к файловой системе между контейнером и хостом для предотвращения утечек и распространения угроз.
- Интеграция с корпоративной политикой: поддержка централизованных настроек через групповые политики и решения для управления устройствами, позволяющая адаптировать поведение к требованиям организации.
- Совместимость с браузерами и приложениями: поддержка изоляции для совместимых браузеров и некоторых офисных сценариев для защиты от эксплойтов и вредоносных вложений.
- Минимизация воздействия на производительность: оптимизированные контейнеры и динамическое управление ресурсами для снижения нагрузки на систему при одновременном сохранении уровня защиты.
- Логирование и аудит: возможности для сбора событий и состояния изоляции в системах учёта и мониторинга безопасности для анализа инцидентов.
- Гибкая политика доверия: возможность определения списков доверенных сайтов и исключений, чтобы балансировать между безопасностью и удобством использования.