Установка Microsoft Defender Application Guard на Windows 11

Коротко о том, что это такое

Microsoft Defender Application Guard — функция Windows, создающая изолированный контейнер для Microsoft Edge. Это защищённая среда: у страниц в контейнере нет прямого доступа к файлам и сетевым ресурсам вашего основного профиля. Простая одна строка: изоляция снижает риск компрометации системы при посещении опасных сайтов.

В этом руководстве вы найдёте пошаговые инструкции для пяти методов установки, инструкции по удалению, советы по совместимости, сценарии отката и роль‑ориентированные чек-листы.

Important: Перед началом убедитесь, что у вас есть права администратора и резервная копия важных данных. Некоторые методы требуют перезагрузки.

Содержание

• Перед началом: требования и подготовка
• Установка через Параметры Windows (рекомендуется для большинства пользователей)
• Установка через Панель управления
• Установка через Локальную политику (gpedit)
• Установка через Командную строку (DISM)
• Установка через PowerShell
• Удаление / откат изменений
• Устранение неполадок и частые ошибки
• Контрольные списки для ролей: пользователь и администратор
• Рекомендации по тестированию и критерии приёмки
• Таблица рисков и меры смягчения
• Краткое резюме

Перед началом: требования и подготовка

• Права администратора необходимы для установки функций Windows. Если вы не администратор — обратитесь к администратору IT.
• Поддерживаемые редакции: Windows 11 Pro, Enterprise и Education обычно поддерживают Application Guard. На Windows 11 Home доступ к редактору групповой политики ограничен; используйте DISM или PowerShell.
• Резервная копия: всегда полезно иметь точку восстановления или резервную копию критичных данных.
• Сеть: убедитесь, что политики безопасности вашей организации (firewall/endpoint) не блокируют загрузку необходимых компонентов.

Факт-бокс

• Требования: права администратора; перезагрузка после установки.
• Совместимость: Windows 11 (обычно Pro/Enterprise/Education).

1. Установка через Параметры Windows (реже всего проблемы)

Этот метод проще всего для большинства домашних и офисных пользователей.

1. Откройте Параметры Windows: нажмите Win + I.
2. В меню слева выберите Конфиденциальность и безопасность, затем справа — Безопасность Windows.
3. В разделе «Области защиты» нажмите «Приложения и контроль браузера».
4. На странице Безопасности Windows найдите блок «Изолированный просмотр» и нажмите ссылку «Установить Microsoft Defender Application Guard».

5. При появлении запроса контроля учетных записей (UAC) подтвердите действие нажатием «Да».
6. В появившемся окне отметьте флажок Microsoft Defender Application Guard и нажмите OK.

7. Перезагрузите компьютер, когда система предложит это сделать.

Критерии приёмки

• После перезагрузки Microsoft Edge должен иметь возможность открывать вкладки в защищённом режиме (Изолированный просмотр).
• В разделе Безопасность Windows функция должна отображаться как активная.

Удаление

Чтобы удалить, выполните те же шаги и снимите флажок Microsoft Defender Application Guard, затем перезагрузите систему.

2. Установка через Панель управления (классический метод)

Этот способ полезен, если вы предпочитаете классическую Панель управления.

1. Нажмите Пуск и найдите «Панель управления».
2. Откройте Панель управления.
3. Выберите Программы и компоненты.
4. В левом меню нажмите Включение или отключение компонентов Windows.
5. В списке компонентов найдите Microsoft Defender Application Guard, установите флажок и нажмите OK.
6. Перезагрузите компьютер для применения изменений.

Удаление выполняется аналогично: снимите флажок и перезагрузите.

3. Установка через Локальную политику (gpedit)

Этот метод подходит для администраторов и опытных пользователей, которые хотят включить функцию централизованно с дополнительными параметрами.

1. Нажмите Win + R, введите gpedit.msc и нажмите Enter.
2. Перейдите по пути: Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Application Guard.

Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Application Guard

3. В правой панели дважды щёлкните политику Turn On Microsoft Defender Application Guard in Managed Mode.

4. Установите переключатель в положение Enabled.
5. В разделе Options задайте значение 2 или 3 в зависимости от желаемого режима управления (2 и 3 — числовые режимы, используемые политикой для уровня контроля; используйте настройку, согласованную с вашей политикой безопасности).

6. Нажмите Apply, затем OK.
7. Перезагрузите компьютер.

Примечания

• На Windows Home редактор групповой политики по умолчанию недоступен. В таком случае используйте DISM или PowerShell для установки функции, либо разверните групповые политики централизованно через Active Directory / MDM.
• Если ваша организация использует централизованное управление, проконсультируйтесь с политикой конфигурации перед изменением параметров.

4. Установка через Командную строку (DISM)

Этот способ полезен, когда нужно автоматизировать установку или когда графические средства недоступны.

1. Нажмите правой кнопкой по Пуск и выберите Выполнить.
2. Введите cmd и нажмите Ctrl + Shift + Enter, чтобы открыть командную строку с правами администратора.
3. При UAC подтвердите запуск с правами администратора.
4. Введите команду и нажмите Enter:

Dism /online /Enable-Feature /FeatureName:"Windows-Defender-ApplicationGuard"

5. Дождитесь завершения операции. Когда система запросит перезагрузку, введите Y и нажмите Enter.

Удаление через DISM

Dism /online /Disable-Feature /FeatureName:"Windows-Defender-ApplicationGuard"

Примечания

• DISM полезен при массовом развертывании через скрипты и SCCM/Intune.
• Убедитесь, что команда выполняется в поднятом сеансе с правами администратора.

5. Установка через PowerShell

PowerShell даёт аналогичную гибкость и удобен для сценариев автоматизации.

1. Откройте Windows PowerShell от имени администратора.
2. Введите команду и нажмите Enter:

Enable-WindowsOptionalFeature -Online -FeatureName "Windows-Defender-ApplicationGuard"

3. Подтвердите перезагрузку системы, если PowerShell попросит об этом (введите Y и Enter).

Удаление через PowerShell

Disable-WindowsOptionalFeature -Online -FeatureName "Windows-Defender-ApplicationGuard"

Советы

• PowerShell проще встраивать в сценарии развертывания.
• В средах управления конфигурацией используйте эти команды в рамках скриптов начальной настройки.

Проверка установки и тестирование

1. Откройте Microsoft Edge.
2. Откройте меню (трёх точек) и найдите пункт «Новая изолированная вкладка» или «Открыть в защищённом режиме» (название может различаться в зависимости от версии Edge).
3. Попробуйте открыть огнеопасный сайт (в контролируемой тестовой среде) — он должен открыться внутри контейнера.
4. Проверьте журнал событий Windows и раздел Безопасность Windows на предмет ошибок при запуске Application Guard.

Критерии приёмки

• Функция отображается в Параметрах → Безопасность Windows.
• Edge умеет запускать изолированные вкладки.
• Нет критических ошибок в журнале при старте системы.

Устранение неполадок и частые ошибки

1. Компонент не устанавливается
   • Проверьте права администратора.
   • Попробуйте установить через DISM или PowerShell, чтобы получить подробный вывод ошибок.
2. После установки Edge не открывает изолированные вкладки
   • Проверьте версию Edge; обновите браузер до актуальной версии.
   • Проверьте политики групповой политики, которые могли отключать контейнеризацию.
3. На экране появляется ошибка гипервизора или виртуализации
   • Убедитесь, что в BIOS/UEFI включена виртуализация (Intel VT-x / AMD-V) и Hyper-V, если требуется.
   • Проверьте конфликтующие гипервизоры (третьи решения для виртуализации) и антивирусные продукты.
4. Политика безопасности компании запрещает установку
   • Согласуйте изменения с IT‑отделом.

Тестовые сценарии

• Попытаться включить и отключить функцию через каждый из методов и подтверждать состояние после перезагрузки.
• Проверить поведение на свежей учетной записи пользователя без сохранённых данных браузера.

Рол‑ориентированные чек‑листы

Чек‑лист для конечного пользователя

• Проверить наличие прав администратора или обратиться в IT.
• Сделать точку восстановления (по возможности).
• Установить через Параметры (Win + I) и перезагрузить.
• Открыть Edge и проверить изолированную вкладку.

Чек‑лист для IT‑администратора

• Проверить совместимость ОС и версий Edge.
• Согласовать параметры Managed Mode (значения 2 или 3).
• Развернуть через групповые политики или скрипты DISM/PowerShell.
• Протестировать на контрольной группе ПК перед массовым развертыванием.
• Подготовить инструкции по откату и поддержке пользователей.

Откат и удаление (runbook)

1. Решите, какой метод использовался при установке. В большинстве случаев обратные шаги зеркально совпадают с установкой.
2. Применение через GUI: снимите флажок в Параметрах или Панели управления и перезагрузите.
3. Через DISM:

Dism /online /Disable-Feature /FeatureName:"Windows-Defender-ApplicationGuard"

4. Через PowerShell:

Disable-WindowsOptionalFeature -Online -FeatureName "Windows-Defender-ApplicationGuard"

5. Проверьте журналы событий и убедитесь в отсутствии ошибок при удалении.

Когда Application Guard не подходит: альтернативы и ограничения

• Application Guard не заменяет полноценный EDR/антивирус. Он добавляет уровень изоляции для браузера.
• Если организация использует сторонние браузеры, функциональность может отличаться: Application Guard предназначен для Microsoft Edge.
• На устройствах без поддержки виртуализации или на некоторых версиях Windows Home применение функций может быть ограничено.

Альтернативы

• Использование виртуальной машины для безопасного просмотра.
• Развёртывание инструментов веб-прокси и фильтрации контента.
• Песочницы третьих сторон для системного тестирования.

Таблица рисков и меры смягчения

Быстрая карта принятия решения

flowchart TD
  A[Нужно установить Application Guard?] --> B{Редакция Windows}
  B -->|Pro/Enterprise/Education| C[Использовать Параметры или Панель управления]
  B -->|Home| D[Использовать DISM или PowerShell]
  C --> E{Требуется централизованное управление}
  E -->|Да| F[Настроить через Group Policy]
  E -->|Нет| G[Установить вручную через GUI]
  D --> H[Тестировать и перезагрузить]
  F --> I[Развернуть через AD/MDM]

Краткое резюме

• Microsoft Defender Application Guard повышает безопасность при просмотре в Microsoft Edge за счёт изоляции страниц в контейнере.
• Вы можете установить его через графический интерфейс (Параметры или Панель управления), через локальную политику, а также с помощью DISM и PowerShell.
• Для предприятий рекомендуется централизованное управление через Group Policy и тестирование на пилотной группе.

Если вам нужна пошаговая команда для автоматизации — используйте DISM или PowerShell, приведённые в этой статье. Для большинства пользователей самый простой путь — открыть Параметры Windows и включить компонент через Безопасность Windows.

Если возникнут вопросы по конкретным ошибкам при установке, приложите вывод команд DISM/PowerShell или скриншоты из журнала событий, и мы поможем с диагностикой.