Tabla de contenidos
La función «Protección de aplicaciones de Windows Defender» de Windows 10 ejecuta el navegador Microsoft Edge en un contenedor virtualizado aislado . Incluso si un sitio web malicioso explotara una falla en Edge, no podría comprometer su PC. Application Guard está deshabilitado de forma predeterminada.
A partir de la actualización de abril de 2018 , cualquier persona que use Windows 10 Professional ahora puede habilitar Application Guard. Anteriormente, esta función solo estaba disponible en Windows 10 Enterprise. Si tiene Windows 10 Home y desea Application Guard, tendrá que actualizar a Pro .
Requisitos del sistema
Windows Defender Application Guard, también conocido como Application Guard o WDAG, solo funciona con el navegador Microsoft Edge. Cuando habilita esta función, Windows puede ejecutar Edge en un contenedor aislado y protegido.
Específicamente, Windows está utilizando la tecnología de virtualización Hyper-V de Microsoft . Es por eso que Application Guard requiere que tenga una PC con hardware de virtualización Intel VT-X o AMD-V . Microsoft también enumera otros requisitos del sistema , incluida una CPU de 64 bits con al menos 4 núcleos, 8 GB de RAM y 5 GB de espacio libre.
Cómo habilitar la protección de aplicaciones de Windows Defender
Para habilitar esta función, diríjase a Panel de control> Programas> Activar o desactivar las funciones de Windows.
Marque la opción «Protección de aplicaciones de Windows Defender» en la lista aquí, y luego haga clic en el botón «Aceptar».
Si no ve la opción en esta lista, o está usando una versión Home de Windows 10 o aún no se ha actualizado a la Actualización de abril de 2018.
Si ve la opción, pero está atenuada, su PC no es compatible con esta función. Es posible que no tenga una PC con hardware Intel VT-x o AMD-V, o puede que necesite habilitar Intel VT-X en el BIOS de su computadora . La opción también aparecerá atenuada si tiene menos de 8 GB de RAM.
Windows instalará la función de protección de aplicaciones de Windows Defender. Cuando haya terminado, se le pedirá que reinicie su PC. Debe reiniciar su PC antes de poder utilizar esta función.
Cómo iniciar Edge en Application Guard
Edge todavía se ejecuta en el modo de navegación normal de forma predeterminada, pero ahora puede abrir una ventana de navegación segura protegida con la función Application Guard.
Para hacerlo, primero inicie Microsoft Edge normalmente. En Edge, haga clic en Menú> Nueva ventana de protección de aplicaciones.
Se abre una nueva ventana del navegador Microsoft Edge independiente. El texto naranja «Application Guard» en la esquina superior izquierda de la ventana le informa que la ventana del navegador está protegida con Application Guard.
Puede abrir ventanas adicionales del navegador desde aquí, incluso ventanas InPrivate adicionales para navegación privada, y también tendrán el texto naranja «Application Guard».
La ventana de Application Guard también tiene un ícono de barra de tareas separado del ícono normal del navegador Microsoft Edge. Cuenta con un logotipo Edge «e» azul con un icono de escudo gris sobre él.
Cuando descarga y abre algunos tipos de archivos, Edge puede iniciar visores de documentos u otros tipos de aplicaciones en el modo Protección de aplicaciones. Si una aplicación se está ejecutando en el modo Protección de aplicaciones, verá el mismo icono de escudo gris sobre su icono de barra de tareas.
En el modo de protección de aplicaciones, no puede usar las funciones de lista de lectura o favoritos de Edge. Cualquier historial del navegador que cree también se eliminará cuando cierre sesión en su PC. Todas las cookies de la sesión actual también se borrarán cuando cante desde su PC. Esto significa que tendrá que volver a iniciar sesión en sus sitios web cada vez que comience a usar el modo Protección de aplicaciones.
Las descargas también son limitadas. El navegador Edge aislado no puede acceder a su sistema de archivos normal, por lo que no puede descargar archivos a su sistema o cargar archivos desde sus carpetas normales a sitios web en el modo Application Guard. No puede descargar y abrir la mayoría de los tipos de archivos en el modo Protección de aplicaciones, incluidos los archivos .exe, aunque puede ver archivos PDF y otros tipos de documentos. Los archivos que descarga se almacenan en un sistema de archivos especial de Application Guard y se borran después de cerrar sesión en su PC.
Otras funciones, como copiar, pegar e imprimir, también están deshabilitadas para las ventanas de Application Guard.
Microsoft agregó algunas opciones para eliminar estas limitaciones, si lo desea, pero estas son las configuraciones predeterminadas.
Cómo configurar la protección de aplicaciones de Windows Defender
Puede configurar la protección de aplicaciones de Windows Defender y sus limitaciones a través de la directiva de grupo. Si está utilizando Application Guard en su propia PC independiente con Windows 10 Professional, puede iniciar el Editor de políticas de grupo local presionando Inicio, escribiendo “gpedit.msc” y luego presionando Enter.
(El Editor de políticas de grupo no está disponible en las ediciones Home de Windows 10, pero tampoco lo está la función Protección de aplicaciones de Windows Defender).
Vaya a Configuración del equipo> Plantillas administrativas> Componentes de Windows> Protección de aplicaciones de Windows Defender.
Para habilitar la «persistencia de datos» y permitir que Application Guard guarde sus favoritos, el historial del navegador y las cookies, haga doble clic en la configuración «Permitir la persistencia de datos para Windows Defender Application Guard» aquí, seleccione «Habilitado» y haga clic en «Aceptar». Application Guard no borrará sus datos después de que cierre sesión en su PC.
Para permitir que Edge descargue archivos en las carpetas de su sistema normal, haga doble clic en la configuración «Permitir que los archivos se descarguen y guarden en el sistema operativo host desde Windows Defender Application Guard», configúrelo en «Habilitado» y haga clic en «Aceptar».
Los archivos que descargue en el modo Application Guard se guardarán en una carpeta «Archivos no confiables» dentro de la carpeta de Descargas normal de su cuenta de usuario de Windows.
To give Edge access to your normal system clipboard, double-click the “Configure Windows Defender Application Guard clipboard settings” option. Click “Enabled” and customize your clipboard settings using the instructions here. For example, you can enable clipboard operations from the Application Guard browser to the normal operating system, from the normal operating system to the Application Guard browser, or in both ways. You can also choose whether you want to allow text copying, image copying, or both. Click “OK” when you’re done.
Microsoft recommends you don’t allow copying from your host operating system to the Application Guard session. If you do, a compromised Application Guard browser session could read data from your computer’s clipboard.
To enable printing, double-click the “Configure Windows Defender Application Guard print settings” option. Click “Enabled” and customize your printer settings using the options here. For example, you could enter “4” to enable printing only to local printers, “2” to enable printing only to PDF files, or “6” to allow printing only to local printers and PDF files. Click “OK” when you’re done.
If you enable printing to PDF or XPS files, Application Guard will allow you to save those files on the host operating system’s normal file system.
You must restart your PC after changing these settings. They won’t take effect until you do.
Despite the Group Policy editor saying these settings require Windows 10 Enterprise, we found they worked perfectly fine on Windows 10 Professional with the April 2018 Update. Someone at Microsoft probably forgot to update the documentation.
If you do need more information about what these group policy settings do, consult Microsoft’s Windows Defender Application Guard group policy documentation.
And, if you’re interested in Windows 10 security features, be sure to take a look at Controlled Folder Access, which helps protect your files from ransomware. This feature is also disabled by default.