A Microsoft projetou o Windows Defender Application Guard (Application Guard) para ajudar a evitar ataques antigos e emergentes recentemente para ajudar a manter os funcionários produtivos e seguros. Usando uma abordagem de isolamento de hardware exclusivo, o objetivo é destruir o playbook que os invasores usam para tomar controle da estação cliente, tornando métodos de ataque atuais obsoletos e até ineficazes.
O Application Guard foi projetado inicialmente para o Windows 10 e o Microsoft Edge e seu papel é o de ajuda a isolar sites não confiáveis definidos pela empresa, protegendo-a enquanto os funcionários navegam na Internet. Como administrador corporativo, é possível definir o que deve ser listado como sites, recursos de nuvem e redes internas confiáveis. Tudo o que não consta na sua lista será considerado não confiável.
Se um funcionário acessar um site não confiável por meio do Microsoft Edge ou do Internet Explorer, esse mesmo site será aberto por um contêiner habilitado (direcionado) para o Hyper-V, que é separado do sistema operacional do host. Esse isolamento do contêiner significa que, se o site não confiável for mal-intencionado, o computador host estará protegido e o invasor não conseguirá acessar seus dados corporativos. Por exemplo, essa abordagem torna o contêiner isolado anônimo, para que um invasor não consiga acessar as credenciais corporativas do funcionário.
O uso de contêineres em aplicações mais "convencionais", tende a crescer muito, seja pelos especialistas de infraestrutura quanto programadores. Sua utilização permite um aumento consistênte em relação a segurança e ganho de performance. Fazer uso de contêiner para aplicações e estruturas de dados mais complexas é algo realmente útil e que ganha força a cada dia.
Que tipos de dispositivos devem usar o Application Guard?
Application Guard foi criado para vários tipos de sistemas de destino:
Desktops empresariais. Esses desktops são ingressados no domínio e gerenciados pela sua organização. O gerenciamento da configuração é realizado principalmente por meio do System Center Configuration Manager ou do Microsoft Intune. Os funcionários normalmente têm privilégios de usuário padrão e usam uma rede corporativa, com fio, de banda larga.
Laptops corporativos. Esses laptops são ingressados no domínio e gerenciados pela sua organização. O gerenciamento da configuração é realizado principalmente por meio do System Center Configuration Manager ou do Microsoft Intune. Os funcionários normalmente têm privilégios de usuário padrão e usam uma rede corporativa, sem fio, de banda larga.
Laptops BYOD (traga seu próprio dispositivo). Esses laptops pessoais não são ingressados no domínio, mas são gerenciados pela sua organização por meio de ferramentas como o Microsoft Intune. O funcionário é geralmente um administrador no dispositivo e usa uma rede corporativa, sem fio, de banda larga enquanto está no trabalho e uma rede pessoal equivalente enquanto está em casa.
Dispositivos pessoais. Esses laptops pessoais desktops ou notebooks móveis não são ingressado no domínio ou gerenciados por uma organização. O usuário é um administrador no dispositivo e usa uma grande largura de banda rede sem fio pessoal enquanto está em casa ou uma rede pública comparável ao fora.