Настройка Windows Defender Application Guard для безопасного просмотра сомнительных сайтов

Windows Defender Application Guard нужен для простой, но важной задачи: открыть подозрительную ссылку так, чтобы сайт оказался не в обычном браузере, а в изолированном контейнере. Если страница попытается скачать вредоносный файл, использовать уязвимость браузера или собрать данные, основная система и ваши обычные вкладки останутся в стороне. Это не «магическая защита от всего», но для просмотра сомнительных сайтов инструмент очень полезный.

Ниже — практическая настройка WDAG для Microsoft Edge: как включить, как открыть сайт в изолированном окне, как настроить автоматическое открытие подозрительных адресов и где не стоит полагаться только на Application Guard.

Что именно защищает Windows Defender Application Guard

Application Guard запускает Microsoft Edge внутри отдельной изолированной среды на базе Hyper-V. Для пользователя это выглядит как обычное окно браузера, но технически сайт работает не в вашем основном профиле Windows. После закрытия окна контейнер сбрасывается, и следы сессии не остаются в обычном браузере.

Смысл такой: если вы получили ссылку из письма, мессенджера, от неизвестного поставщика или с сайта, которому не доверяете, можно открыть её в Application Guard и снизить риск заражения основной системы.

WDAG не заменяет антивирус, SmartScreen, обновления Windows и здравый смысл. Он снижает риск при просмотре, но не делает опасный сайт безопасным и не защищает от ваших действий внутри контейнера: ввода паролей, сохранения файлов и копирования данных на основной компьютер.

Когда Application Guard действительно полезен

Я бы использовал Windows Defender Application Guard в таких случаях:

  • нужно открыть ссылку из подозрительного письма;
  • пришёл короткий URL из мессенджера;
  • сайт просит скачать архив, расширение, драйвер или «проверочную утилиту»;
  • нужно быстро проверить landing page неизвестной компании;
  • сотрудник регулярно работает с внешними ссылками и документами;
  • нужно открыть сайт, который может быть фишинговым, но без ввода реальных данных.

Не стоит использовать WDAG для входа в банк, рабочую почту, корпоративный портал или личные аккаунты, если для этого нет отдельной продуманной политики. Контейнер изолирован, но вводить реальные пароли на сомнительной странице — плохая идея даже там.

Проверьте, подойдёт ли ваш компьютер

Главная проблема с WDAG — не настройка, а поддержка. Функция рассчитана на корпоративные редакции Windows и Hyper-V. На домашней Windows её часто просто нет в списке компонентов. В Windows 11 доступность зависит от редакции и сборки, поэтому первым делом проверяйте систему, а не пытайтесь установить случайные расширения.

Что проверить Как понять Что делать
Редакция Windows WDAG наиболее предсказуемо работает в Windows 10 Enterprise/Education. В Windows 11, Pro или Home функции может не быть. Откройте «Включение или отключение компонентов Windows». Если WDAG нет в списке — используйте Windows Sandbox или виртуальную машину.
Права администратора Включение компонента и политик требует прав администратора. Выполняйте настройку из учётной записи администратора или через корпоративную политику.
Виртуализация В диспетчере задач на вкладке CPU должно быть указано, что виртуализация включена. Если отключена — включите Intel VT-x/AMD-V в BIOS/UEFI.
Hyper-V WDAG работает через Hyper-V. Включите Hyper-V или дайте WDAG включить необходимые компоненты при установке.
Память и диск Контейнеру нужны ресурсы. На слабом ноутбуке первый запуск может быть медленным. Ориентируйтесь минимум на 8 ГБ ОЗУ и запас свободного места на диске.
BitLocker После включения Hyper-V BitLocker иногда запрашивает ключ восстановления. Перед перезагрузкой убедитесь, что ключ восстановления доступен.

Включение Windows Defender Application Guard

Если система поддерживает WDAG, включить его можно через интерфейс Windows или PowerShell. Я обычно сначала проверяю, есть ли функция в списке компонентов, а потом включаю через PowerShell — так проще понять, прошла ли установка.

  1. Откройте PowerShell от имени администратора.
  2. Проверьте состояние компонента:
    Get-WindowsOptionalFeature -Online -FeatureName Windows-Defender-ApplicationGuard
  3. Включите Application Guard:
    Enable-WindowsOptionalFeature -Online -FeatureName Windows-Defender-ApplicationGuard -All

Оцените статью
PEFile — Безопасность и технологии простым языком