Зачем нужен Application Guard в Защитнике Microsoft для Office
Данная функция основана на Application Guard в Защитнике Microsoft, который используется для загрузки сайтов неизвестного статуса безопасности в изолированном контейнере с использованием автоматизированных и автономных режимов. Автоматизированный режим под названием Enterprise Management Mode (режим управления предприятием) позволяет администратору определять доверенные через групповые политики и другие интерфейсы управления. Доверенные сайты будут открываться в основной системе, а все остальные веб-ресурсы будут расцениваться как ненадежные и будут запускаться в виртуальной среде.
В автономном режиме (Standalone mode) пользователю нужно запускать Application Guard в Защитнике Microsoft вручную.
Application Guard в Защитнике Microsoft для Office пытается бороться с угрозами, которые эксплуатируют уязвимости с Microsoft Office, связанные с поддерживаемыми типами документов и встроенными функциями. Основная идея заключается в том, чтобы запускать сомнительные файлы в безопасной среде и избежать взаимодействия с хост-системой, данными в ней и сетью.
Пользователи Office по-прежнему смогут просматривать, редактировать, печатать и сохранять документы в приложении Office.
Microsoft Office будет открывать файлы из потенциально небезопасных мест в защищенном контейнере Application Guard в Защитнике Microsoft, который изолирован от основной системы с помощью средств аппаратной виртуализации. Когда Microsoft Office открывает файлы в Application Guard в Защитнике Microsoft, пользователь может безопасно читать, редактировать, печатать и сохранять файлы без необходимости повторно открывать файлы за пределами контейнера.
Microsoft приводит следующие системные требования для работы Application Guard в Защитнике Microsoft для Office:
Microsoft ограничила использование данной функции только системами Windows 10 редакции Enterprise с подпиской Microsoft 365 E5 или E5 Security.
Администраторам необходимо открыть редактор групповой политики и включить политику Application Guard в Защитнике Microsoft, которая находится по пути Конфигурация компьютера \ Административные шаблоне \ Компоненты Windows \ Application Guard в Microsoft Defender, установив значение 2 или 3:
После того, как вы включили политику, запустите ненадежный документ, например скачанный из Интернета, чтобы проверить правильность настройки Application Guard для Office. Вы должны получить уведомление «В целях безопасности мы открываем этот документ в Application Guard».
В строке заголовка окна должен отображаться значок Application Guard, указывающий на то, что файл открыт в виртуальной среде.
Application Guard в Защитнике Microsoft для Office устраняет множество векторов атак, связанных с документами Office. Было бы здорово, если бы Microsoft сделала эту функцию доступной для всех пользователей, а не только для корпоративных клиентов, но вероятность этого невысока.
Домашние пользователи могут использовать другие решения для виртуализации, например приложение Sandboxie или виртуальные машины для безопасного открытия сомнительных файлов.
Что такое Microsoft Defender Application Guard и как его включить
Microsoft постоянно работает над повышением безопасности своей обширной экосистемы. Один из основных продуктов — Microsoft Defender, который является частью пакета безопасности Windows. Microsoft недавно выпустила новый продукт под названием Microsoft Defender Application Guard для Office. Если честно, это длинное имя, но что это такое?
В прошлом году был выпущен Microsoft Defender Application Guard. Какой бы полезной ни была эта функция, она не получила должного внимания со стороны прессы и пользователей. В этом году Microsoft пошла на шаг вперед, включив в свой продукт пакет приложений Office, что видно из названия.
Мы будем называть это Application Guard, как это делает Microsoft. в своих документах, ради здравого смысла. Давайте узнаем больше об этой функции и о том, как ее включить.
Что такое Application Guard
Microsoft выпустила Application Guard для защиты пользователей от «возникающих угроз» путем изоляции используемого оборудования. Это напоминает мне инструмент песочницы.
Он был разработан для Microsoft Edge браузер и компьютеры с Windows 10. Нажатие на неправильную ссылку или открытие вредоносного или другого зараженного вирусом сайта может нанести ущерб не только системе, обращающейся к нему, но и всем другим системам, подключенным к серверу.
Теперь администратор может вносить сайты в белый список и другие ресурсы, которые считаются безопасными, что делает все остальные сайты ненадежными.
Вот как это работает.
Допустим, вы открыли сайт, которого нет в списке. Edge откроет этот сайт в контейнере Hyper-V, который изолирован от ОС хоста. Никакое вредоносное ПО или вирус не покидает контейнер Это защищает данные и их целостность.
Что такое Application Guard для Office 365
Веб-сайты и облачные ресурсы — не единственные вещи, к которым сотрудники получают доступ во время серфинга в безумной сети. Есть также документы Office и другие файлы, с которыми вы работаете изо дня в день. Что насчет них? Application Guard для Office был выпущен с этой мыслью. Думайте об этом как о надстройке.
Application Guard for Office защищает ваш компьютер и подключенный корпоративный сервер от ненадежных и зараженных файлов. Microsoft странно называет их «новыми и возникающими угрозами». Основная концепция остается той же, когда файлы открываются в безопасном и изолированном контейнере с использованием аппаратной виртуализации.
Когда файл открыт внутри контейнера, вы можете читать, редактировать, печатать и взаимодействовать с ним, как с обычным файлом.
Предпосылки
Для этого существуют некоторые системные требования. Они есть:
Как включить Application Guard для Office
Надеюсь, вы проверили системные требования к аппаратному и программному обеспечению. Теперь вам придется скачать KB4571756 и установите его перед просмотром правильных параметров на вашем компьютере.
Процесс включения или отключения этой функции такой же, как в песочнице или виртуализации.
Шаг 1: Найдите и откройте Панель управления из меню Пуск.
Шаг 2: Найдите и откройте Включение или отключение компонентов Windows.
Шаг 3: Во всплывающем окне, которое следует, найдите и включите опцию Application Guard в Microsoft Defender.
Не забудьте сохранить все изменения перед выходом.
Для тех, кто не может найти эту опцию в Панели управления или любит работать с командной строкой, вы также можете включить ее из PowerShell. Убедитесь, что вы открыли PowerShell с правами администратора, а затем дайте эту команду:
Шаг 4: Найдите и откройте редактор групповой политики из меню «Пуск».
Шаг 5: Перейдите к структуре папок, предложенной ниже.
Дважды щелкните параметр «Включить Microsoft Defender Application Guard в управляемом режиме», чтобы открыть его.
Шаг 6: Теперь выберите «Включено» и установите для параметра «Параметры» значение 2, как показано на снимке экрана ниже.
Нажмите Применить и сохраните все изменения.
Шаг 7: Наконец, откройте Настройки> Конфиденциальность> Диагностика и отзывы. Выберите Дополнительные диагностические данные, если это еще не сделано.
Как узнать, работает он или нет. Просто. Откройте любой документ Word, не входящий в ваш белый список (ненадежный), и вы увидите это сообщение:
Чтобы обезопасить вас, мы открываем этот документ в Application Guard.
Кроме того, значок Word на панели задач должен иметь значок щита.
Караул
Я впечатлен тем, как Microsoft принимает меры по обеспечению безопасности в последние несколько лет. Я регулярно использую режим песочницы для тестирования приложений, открытия сайтов и пробую новые хаки в безопасной среде. Microsoft Defender Application Guard добавляет больше возможностей для корпоративных пользователей, которым есть куда больше потерять, если их серверы или системы будут скомпрометированы. Это еще один инструмент в вашем арсенале для борьбы с хакерами. Хотя окончательного решения никогда не будет, лучшее, что мы можем сделать, — это сохранять бдительность и держать их в страхе.
Следующий:
Хотите защитить себя еще больше? Вот руководство с 6 важными советами по защите ваших данных от вирусов и вредоносных программ.
Вопросы и ответы об Application Guard в Microsoft Defender
В этой статье часто задаются вопросы с ответами Application Guard в Microsoft Defender (Application Guard). Вопросы охватывают функции, интеграцию Windows операционной системы и общую конфигурацию.
Часто задаваемые вопросы
Могу ли я включить Службу защиты приложений на машинах, оснащенных оперативной памятью 4 ГБ?
Мы рекомендуем 8-ГБ оперативной памяти для оптимальной производительности, но вы можете использовать следующие значения DWORD реестра, чтобы включить application Guard на машинах, которые не обеспечивают рекомендуемую конфигурацию оборудования.
HKLM\software\Microsoft\Hvsi\SpecRequiredProcessorCount (По умолчанию — четыре ядра.)
HKLM\software\Microsoft\Hvsi\SpecRequiredMemoryInGB (По умолчанию — 8 ГБ.)
HKLM\software\Microsoft\Hvsi\SpecRequiredFreeDiskSpaceInGB (По умолчанию 5 ГБ.)
В моей конфигурации сети используется прокси-сервер, и я врезаюсь в «Не удается разрешить внешние URL-адреса из MDAG Browser: Error: err_connection_refused». Как это разрешить?
Вручную или сервер PAC должен быть нейтральным в списке сайтов имя узла (а не IP). Кроме того, если скрипт PAC возвращает прокси-сервер, он должен соответствовать тем же требованиям.
Чтобы убедиться, что FQDNs (полностью квалифицированные доменные имена) для «PAC-файла» и «прокси-серверы, на которые перенаправляется файл PAC», будут добавлены в качестве нейтральных ресурсов в политиках сетевой изоляции, используемых Службой безопасности приложений, вы можете:
Как настроить Application Guard в Microsoft Defender для работы с прокси-сервером сети (IP-литеральные адреса)?
Какие редакторы метода ввода (IME) в 19H1 не поддерживаются?
Следующие редакторы метода ввода (IME), введенные в Windows 10, версия 1903 в настоящее время не поддерживается в Application Guard в Microsoft Defender:
Я включил политику ускорения оборудования в Windows 10 Корпоративная версии 1803. Почему мои пользователи по-прежнему получают только отрисовку ЦП?
В настоящее время эта функция является экспериментальной и не функционирует без дополнительного ключа реестра, предоставленного Корпорацией Майкрософт. Если вы хотите оценить эту функцию при развертывании Windows 10 Корпоративная версии 1803, свяжитесь с Корпорацией Майкрософт, и мы будем работать с вами, чтобы включить эту функцию.
Что такое локализованная учетная запись WDAGUtilityAccount?
WDAGUtilityAccount является частью application Guard, начиная с Windows 10 версии 1709 (Fall Creators Update). По умолчанию он остается отключенным, если на устройстве не включена охрана приложения. WDAGUtilityAccount используется для входов в контейнер Application Guard в качестве стандартного пользователя со случайным паролем. Это не вредоносная учетная запись. Если для этой учетной записи отменяются разрешения на запуск в качестве службы, может возникнуть следующая ошибка:
Ошибка: 0x80070569, ошибка Ext: 0x00000001; RDP. Ошибка: 0x00000000, ошибка Ext: 0x00000000 расположение: 0x00000000
Рекомендуется не изменять эту учетную запись.
Как доверять поддомену в списке сайтов?
Существуют ли различия между использованием application Guard на Windows Pro и Windows Enterprise?
При использовании Windows Pro или Windows Enterprise, у вас есть доступ к использованию application Guard в режиме standalone. Однако при использовании Enterprise у вас есть доступ к службе Application Guard в Enterprise-Managed режиме. Этот режим имеет некоторые дополнительные функции, которые автономный режим не делает. Дополнительные сведения см. в Application Guard в Microsoft Defender.
Существует ли ограничение размера списков доменов, которые необходимо настроить?
Да, как Enterprise, которые находятся в облаке, так и домены, которые классифицируются как work и personal, имеют ограничение 16383-B.
Почему мой драйвер шифрования Application Guard в Microsoft Defender?
Application Guard в Microsoft Defender доступ к файлам из VHD, установленным на хосте, который необходимо написать во время установки. Если драйвер шифрования не позволяет установить или написать VHD, приложение Guard не работает и приводит к сообщению об ошибке (0x80070013 ERROR_WRITE_PROTECT).
Почему политики сетевой изоляции в групповой политике и CSP выглядят иначе?
Между всеми политиками сетевой изоляции между CSP и GP не существует сопоставления один к одному. Обязательные политики изоляции сети для развертывания Application Guard отличаются между CSP и GP.
Обязательная политика сетевой изоляции для развертывания Application Guard: DomainSubnets или CloudResources
Обязательная политика CSP изоляции сети для развертывания Application Guard: EnterpriseCloudResources или (EnterpriseIpRange и EnterpriseNetworkDomainNames)
Для EnterpriseNetworkDomainNames политика CSP не сопоположена.
Application Guard имеет доступ к файлам из VHD, установленным на хосте, который необходимо написать во время установки. Если драйвер шифрования не позволяет установить или написать VHD, приложение Guard не работает и приводит к сообщению об ошибке (0x80070013 ERROR_WRITE_PROTECT).
Почему application Guard перестала работать после отключения гипертектора?
Если гипертектора отключена (из-за обновления, примененного через статью КБ или с помощью параметров BIOS), существует вероятность того, что application Guard больше не будет отвечать минимальным требованиям.
Почему я получаю сообщение об ошибке «ERROR_VIRTUAL_DISK_LIMITATION»?
Application Guard может неправильно работать с сжатыми томами NTFS. Если эта проблема сохраняется, попробуйте раздавить громкость.
Почему я получаю сообщение об ошибке «ERR_NAME_NOT_RESOLVED» после того, как не удалось достичь файла PAC?
Это известная проблема. Чтобы смягчить это, необходимо создать два правила брандмауэра. Сведения о создании правила брандмауэра с помощью групповой политики см. в следующих ресурсах:
Первое правило (DHCP Server)
Путь программы: %SystemRoot%\System32\svchost.exe
Локализованная служба: Sid: S-1-5-80-2009329905-444645132-2728249442-922493431-93864177 (Internet Connection Service (SharedAccess))
Второе правило (клиент DHCP)
Это то же самое, что и первое правило, но для локального порта 68. В пользовательском интерфейсе брандмауэра Microsoft Defender пройдите следующие действия:
Нажмите правой кнопкой мыши на входящие правила, а затем создайте новое правило.
Выберите пользовательское правило.
Укажите следующие параметры:
Укажите все IP-адреса.
Укажите, чтобы использовать все профили.
Новое правило должно показываться в пользовательском интерфейсе. Правой кнопкой мыши по > свойствам правила.
В вкладке Программы и службы в разделе Services выберите параметры.
Выберите Применение к этой службе и выберите общий доступ к интернету (ICS).
Как отключить часть ICS без взлома application Guard?
ICS включен по умолчанию в Windows, и ICS должен быть включен для правильного функционирования службы Application Guard. Мы не рекомендуем отключить ICS; однако можно отключить ICS частично с помощью групповой политики и редактирования ключей реестра.
В параметре Групповой политики запретить использование общего доступа к Интернету в доменной сети DNS, задайте его отключенным.
Отключение IpNat.sys загрузки ICS следующим образом:
System\CurrentControlSet\Services\SharedAccess\Parameters\DisableIpNat = 1
Настройка ICS (SharedAccess) для включения следующим образом:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Start = 3
(Это необязательно) Отключить IPNAT следующим образом:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPNat\Start = 4
Почему контейнер не загружается полностью при включении политик управления устройствами?
Элементы, включенные в список разрешенных, должны быть настроены как «разрешенные» в объекте групповой политики для обеспечения правильной работы AppGuard.
Политика. Разрешить установку устройств, которые соответствуют любому из следующих ID-устройств:
Политика. Разрешить установку устройств с помощью драйверов, которые соответствуют этим классам установки устройств.
Я сталкиваюсь с вопросами фрагментации TCP и не могу включить подключение VPN. Как это исправить?
WinNAT сбрасывает сообщения ICMP/UDP с пакетами больше, чем MTU, при использовании сети Nat Switch по умолчанию или Docker. Поддержка для этого была добавлена в KB4571744. Чтобы устранить проблему, установите обновление и вправьте исправление, следуя следующим шагам:
Поддержка Microsoft Edge для Application Guard в Microsoft Defender
В этой статье описывается, как Microsoft Edge поддерживает Application Guard в Microsoft Defender (Application Guard).
Эта статья относится к Microsoft Edge версии 77 или более поздней.
Обзор
Архитекторам систем безопасности на предприятии приходится иметь дело с противоречиями, которые существуют между производительностью и безопасностью. Достаточно просто заблокировать браузер, чтобы можно было загружать информацию лишь с нескольких надежных сайтов. Этот подход повысит общий уровень безопасности, но может оказаться менее продуктивным. Если снять некоторые ограничения, чтобы увеличить производительность, ухудшится профиль риска. Установить баланс совсем не просто!
Еще сложнее поспевать за новыми угрозами на фоне постоянных изменений. Браузеры остаются основной мишенью для атак на клиентских устройствах, поскольку они в основном используются для доступа к ненадежному содержимому из ненадежных источников, его загрузки и открытия. Злоумышленники постоянно разрабатывают новые мошеннические схемы и виды атак, целью которых является браузер. Предотвращение случаев нарушения безопасности или стратегии обнаружения и реагирования не могут гарантировать абсолютную защиту.
Ключевой стратегией безопасности, использование которой следует рассмотреть, является метод предположения нарушения безопасности (Assume Breach), в рамках которого предполагается, что атака будет успешной по меньшей мере один раз, несмотря на усилия предотвратить ее. Такой образ мышления побуждает создавать защиту, чтобы предотвратить последствия нарушения, благодаря чему корпоративная сеть и другие ресурсы остаются защищенными. Эта стратегия поддерживается при развертывании Application Guard для Microsoft Edge.
О расширении Application Guard
В расширении Application Guard, разработанном для Windows 10 и Microsoft Edge, используется изоляция на аппаратном уровне. Такой подход позволяет запустить навигацию по ненадежному сайту внутри контейнера. Изоляция на аппаратном уровне помогает предприятиям защитить корпоративную сеть и данные в случае, если пользователи посещают скомпрометированные или вредоносные сайты.
Администратор предприятия определяет, какие веб-сайты, облачные ресурсы и внутренние сети можно считать доверенными. Все сайты, которые не входят в список надежных сайтов, считаются ненадежными. Эти сайты изолируются от корпоративной сети и данных на устройстве пользователя.
На следующем снимке экрана приводится пример сообщения Application Guard, показывающего, что пользователь просматривает безопасные сайты.
Что нового
Поддержка Application Guard в новом браузере Microsoft Edge характеризуется равенством функций с устаревшей версией Microsoft Edge и включает ряд улучшений.
Включить guard приложения в пассивном режиме и просмотреть Edge обычно
Начиная с Microsoft Edge 94, теперь у пользователей есть возможность настроить пассивный режим, что означает, что application Guard игнорирует конфигурацию списка сайтов и пользователи могут просматривать Edge в обычном режиме. Управление этой поддержкой осуществляется с помощью политики. Вы можете обновить политику Edge ApplicationGuardPassiveModeEnabled, чтобы включить или отключить пассивный режим.
Эта политика влияет только на Edge, поэтому навигации из других браузеров могут перенаправляться в контейнер application Guard, если у вас есть соответствующие расширения.
Синхронизация избранного с узла с контейнером
Некоторые из наших клиентов просили о синхронизации избранного между браузером узла и контейнером в Application Guard. Начиная с Microsoft Edge версии 91, пользователи могут настроить Application Guard для синхронизации избранного с узла с контейнером. Это гарантирует появление нового избранного в контейнере.
Управление поддержкой осуществляется с помощью политики. Чтобы включить или отключить синхронизацию избранного, обновите политику Microsoft Edge ApplicationGuardFavoritesSyncEnabled.
По соображениям безопасности синхронизация избранного возможна только с узла в контейнер, а не наоборот. Чтобы обеспечить единый список избранного на узле и в контейнере, мы отключили управление избранным внутри контейнера.
Определение трафика из контейнера
Несколько клиентов используют WDAG в определенной конфигурации, для которой нужно определить трафик из контейнера. Некоторые из возможных сценариев:
Начиная с Microsoft Edge версии 91, для назначения тегов трафику из контейнеров Application Guard существует встроенная поддержка, что позволяет предприятиям использовать прокси-сервер для фильтрации трафика и применять определенные политики. Вы можете использовать заголовок, чтобы определить, какой трафик проходит через контейнер или узел, с помощью ApplicationGuardTrafficIdentificationEnabled.
Поддержка расширения внутри контейнера
Поддержка расширения внутри контейнера является одним из самых популярных запросов клиентов. Сценарии включают от запуска функций блокирования рекламы внутри контейнера, чтобы повысить производительность браузера, до возможности запускать настраиваемые расширения собственной разработки внутри контейнера.
Ниже перечислены некоторые примеры поддержки контейнеров.
Кроме того, можно вручную установить отдельные расширения внутри контейнера из хранилища расширений. Расширения, установленные вручную, сохраняются в контейнере только в том случае, если включена политика Разрешить сохраняемость.
Идентификация трафика Application Guard с использованием двойного прокси-сервера
Некоторые корпоративные пользователи разворачивают Application Guard для определенного варианта использования, при котором им необходимо идентифицировать веб-трафик, исходящий из контейнера Application Guard в Microsoft Defender на уровне прокси-сервера. С версии 84 стабильного канала Microsoft Edge поддерживает двойной прокси-сервер для соблюдения этого требования. Вы можете настроить эту функцию с помощью политики ApplicationGuardContainerProxy.
На следующем рисунке показана архитектура двойного прокси-сервера для Microsoft Edge.
Страница диагностики для устранения неполадок
Другой проблемный вопрос для пользователей – устранение ошибок конфигурации Application Guard на устройстве, если сообщается о проблеме. В Microsoft Edge есть страница диагностики ( edge://application-guard-internals ), с помощью которой пользователи могут устранять неполадки. В эту диагностику входит проверка достоверности URL-адреса на основе конфигурации, используемой на устройстве пользователя.
На следующем снимке экрана показана страница диагностики на нескольких вкладках, помогающая диагностировать обнаруженные пользователями неполадки на устройстве.
Обновления Microsoft Edge в контейнере
Обновления устаревшей версии Microsoft Edge в контейнере входят в цикл обновления ОС Windows. Так как новая версия Microsoft Edge обновляется независимо от ОС Windows, она не зависит от обновлений контейнера. Канал и версия Microsoft Edge реплицируются внутри контейнера.
Предварительные условия
К устройствам, использующим Application Guard в Microsoft Edge, применяются следующие требования:
Windows 10 1809 (RS5) и более поздней версии.
Только номера SKU клиентов Windows
Расширение Application Guard поддерживается только для номеров SKU клиентов Windows 10 Pro и Windows 10 Корпоративная.
Одно из решений для управления, описанных в статье Требования к программному обеспечению
Установка Application Guard
В следующих статьях приведены сведения, необходимые для установки, настройки и тестирования Application Guard в Microsoft Edge.
Часто задаваемые вопросы
Работает ли Application Guard в режиме IE?
Функциональность Application Guard поддерживается в режиме IE, но мы не ожидаем особой пользы от данного компонента в этом режиме. Режим IE рекомендуется развертывать для списка доверенных внутренних сайтов, а Application Guard — только для недоверенных сайтов. Убедитесь в том, что все сайты и IP-адреса в режиме IE также добавлены в политику сетевой изоляции, чтобы они рассматривались как надежные ресурсы в Application Guard.
Нужно ли мне устанавливать расширение Application Guard для Chrome?
Нет, для функции Application Guard имеется встроенная поддержка в Microsoft Edge. На самом деле, расширение Application Guard для Chrome не поддерживается в Microsoft Edge.
Могут ли сотрудники скачивать документы из сеанса Edge Application Guard на устройства узла?
В Windows 10 Корпоративная версии 1803 пользователи могут загружать документы из изолированного контейнера Application Guard на хост-ПК. Эта возможность управляется политикой.
В Windows 10 Корпоративная версии 1709 или Windows 10 Professional версии 1803 невозможно загрузить файлы из изолированного контейнера Application Guard на хост-компьютер. Однако сотрудники могут сохранять эти файлы на устройство узла с помощью команд Сохранить в формате PDF или Печать в XPS.
Могут ли сотрудники выполнять операции копирования и вставки между устройством узла и сеансом Edge Application Guard?
В зависимости от параметров организации сотрудники могут копировать и вклеить изображения (.bmp) и текст в изолированный контейнер и из него.
Почему сотрудники не видят своих любимых в сеансе Application Guard Edge?
В зависимости от параметров организации может быть отключена синхронизация избранного. Управление политикой см. в Microsoft Edge и Application Guard в Microsoft Defender | Документы Майкрософт.
Почему сотрудники не могут видеть расширения в сеансе Application Guard Edge?
Убедитесь, что политика расширений включается в конфигурацию Application Guard.
Мое расширение, кажется, не работает в Edge Application Guard?
Если политика расширения включена для MDAG в конфигурации, проверьте, требуется ли для расширения компоненты обработки сообщений, эти расширения не поддерживаются в контейнере Application Guard.
Я пытаюсь просмотреть видео воспроизведения с HDR, почему отсутствует вариант HDR?
Чтобы воспроизведение видео HDR работало в контейнере, необходимо включить ускорение оборудования vGPU в Application Guard.