如何为Microsoft Edge启用Windows Defender Application Guard

Windows 10的“Windows Defender Application Guard”功能在一个独立的虚拟化容器中运行Microsoft Edge浏览器。 即使恶意网站利用Edge中的漏洞，它也不会危害您的PC。 默认情况下禁用Application Guard。

从2018年4月更新开始 ，使用Windows 10 Professional的任何人现在都可以启用Application Guard。 以前，此功能仅适用于Windows 10企业版。 如果您有Windows 10 Home并且需要Application Guard，则必须升级到Pro 。

系统要求

Windows Defender Application Guard，也称为Application Guard或WDAG，仅适用于Microsoft Edge浏览器。 启用此功能后，Windows可以在受保护的隔离容器中运行Edge。

具体来说，Windows正在使用微软的Hyper-V虚拟化技术 。 这就是为什么Application Guard要求您拥有配备Intel VT-X或AMD-V虚拟化硬件的PC的原因。 Microsoft还列出了其他系统要求 ，包括具有至少4个内核，8 GB RAM和5 GB可用空间的64位CPU。

如何启用Windows Defender Application Guard

要启用此功能，请转到“控制面板”>“程序”>“打开或关闭Windows功能”。

在此处的列表中选中“Windows Defender Application Guard”选项，然后单击“确定”按钮。

如果您没有在此列表中看到该选项，则表示您使用的是Home版本的Windows 10，或者尚未升级到2018年4月更新。

如果您看到该选项，但它显示为灰色，则表明您的PC不支持此功能。 您可能没有配备Intel VT-x或AMD-V硬件的PC，或者您可能需要在计算机的BIOS中启用Intel VT-X 。 如果RAM少于8 GB，该选项也将显示为灰色。

Windows将安装Windows Defender Application Guard功能。 完成后，系统将提示您重新启动PC。 必须先重新启动PC才能使用此功能。

如何在Application Guard中启动Edge

默认情况下，Edge仍以正常浏览模式运行，但您现在可以打开使用Application Guard功能保护的安全浏览窗口。

为此，请首先正常启动Microsoft Edge。 在Edge中，单击“菜单”>“新建Application Guard窗口”。

将打开一个新的单独Microsoft Edge浏览器窗口。 窗口左上角的橙色“Application Guard”文本通知您浏览器窗口是使用Application Guard保护的。

您可以从这里打开其他浏览器窗口 - 甚至可以使用其他InPrivate窗口进行私密浏览 - 他们还将拥有橙色的“Application Guard”文本。

Application Guard窗口还具有与普通Microsoft Edge浏览器图标不同的任务栏图标。 它有一个蓝色的边缘“e”标志，上面有一个灰色盾牌图标。

下载并打开某些类型的文件时，Edge可能会在Application Guard模式下启动文档查看器或其他类型的应用程序。 如果应用程序在Application Guard模式下运行，您将在其任务栏图标上看到相同的灰色盾牌图标。

在Application Guard模式下，您无法使用Edge的收藏夹或阅读列表功能。 当您退出PC时，您创建的任何浏览器历史记录也将被删除。 当你唱出你的电脑时，当前会话中的所有cookie都将被清除。 这意味着每次开始使用Application Guard模式时，您都必须重新登录您的网站。

下载也有限。 隔离的Edge浏览器无法访问您的普通文件系统，因此您无法将文件下载到系统或将文件从普通文件夹上传到Application Guard模式下的网站。 尽管您可以查看PDF和其他类型的文档，但无法在Application Guard模式下下载和打开大多数类型的文件，包括.exe文件。 您下载的文件存储在特殊的Application Guard文件系统中，并在您退出PC后被删除。

Application Guard窗口也禁用其他功能，包括复制和粘贴以及打印。

如果您愿意，Microsoft添加了一些删除这些限制的选项，但这些是默认设置。

如何配置Windows Defender Application Guard

您可以通过组策略配置Windows Defender Application Guard及其限制。 如果您在自己的独立Windows 10 Professional PC上使用Application Guard，则可以通过单击“开始”，键入“gpedit.msc”，然后按Enter键来启动本地组策略编辑器 。

（组策略编辑器不适用于Windows 10的Home版本，但Windows Defender Application Guard功能也不可用。）

导航到计算机配置>管理模板> Windows组件> Windows Defender Application Guard。

要启用“数据持久性”并让Application Guard保存您的收藏夹，浏览器历史记录和cookie，请双击“允许Windows Defender Application Guard的数据持久性”设置，选择“已启用”，然后单击“确定”。应用程序防护退出PC后，不会删除其数据。

要让Edge将文件下载到普通系统文件夹，请双击“允许从Windows Defender Application Guard下载文件并保存到主机操作系统”设置，将其设置为“已启用”，然后单击“确定”。

您在Application Guard模式下下载的文件将保存到Windows用户帐户的普通下载文件夹中的“Untrusted Files”文件夹中。

要授予Edge对普通系统剪贴板的访问权限，请双击“配置Windows Defender Application Guard剪贴板设置”选项。 单击“已启用”并使用此处的说明自定义剪贴板设置。 例如，您可以启用从Application Guard浏览器到正常操作系统的剪贴板操作，从正常操作系统到Application Guard浏览器，或以两种方式。 您还可以选择是否允许文本复制，图像复制或两者。 完成后单击“确定”。

Microsoft建议您不允许从主机操作系统复制到Application Guard会话。 如果这样做，受损的Application Guard浏览器会话可以从计算机的剪贴板中读取数据。

要启用打印，请双击“配置Windows Defender Application Guard打印设置”选项。 单击“已启用”并使用此处的选项自定义您的打印机设置。 例如，您可以输入“4”以仅打印到本地打印机，“2”以仅打印到PDF文件，或“6”以仅允许打印到本地打印机和PDF文件。 完成后单击“确定”。

如果启用打印到PDF或XPS文件 ，Application Guard将允许您将这些文件保存在主机操作系统的普通文件系统中。

更改这些设置后，您必须重新启动PC。 在你做之前它们不会生效。

尽管组策略编辑器说这些设置需要Windows 10企业版，但我们发现它们在Windows 10 Professional上与2018年4月更新完美配合。 微软的某个人可能忘了更新文档。

如果确实需要有关这些组策略设置的更多信息，请参阅Microsoft的Windows Defender Application Guard组策略文档 。

而且，如果您对Windows 10安全功能感兴趣，请务必查看受控文件夹访问 ，这有助于保护您的文件免受勒索软件的侵害。 默认情况下也会禁用此功能。