Microsoft Defender Application Guard (MDAG), temelde eski ve yeni saldırıları önlemeye yardımcı olmak üzere tasarlanmıştır. Benzersiz (Unique) donanım izolasyon yaklaşımı kullanarak, mevcut saldırı yöntemlerini engellemeyi ve saldırganın kullandığı taktik, teknik ve prosedürleri ortadan kaldırmayı hedeflemektedir.
Application Guard Nasıl Çalışır?
Microsoft Edge için Application Guard, güvenilmeyen sitelerin izole edilmesini sağlayarak kullanıcıların internette gezinirken zararlı içeriklerden korunmasına yardımcı olur. Bir kurumsal firma için güvenlik web siteleri, bulut (cloud) kaynakları ve dâhili ağlar arasında nelerin olduğunu tanımlarsınız ve listenizde olmayan her şey Application Guard tarafından güvenilmez kabul edilir. Güvenilir olmayan bir bağlantıya erişim durumunda Microsoft Edge, ilgili bağlantıyı yalıtılmış bir Hyper-V özellikli konteynerde açacaktır.
Microsoft Office araçları için Application Guard, güvenilmeyen Word, PowerPoint ve Excel dosyalarının güvenilir kaynaklara erişmesini önlemeye yardımcı olur. Application Guard burada da güvenilmeyen dosyaları yalıtılmış bir Hyper-V özellikli konteynerde açmaktadır.
Yalıtılmış Hyper-V konteyneri, üzerinde hali hazırda çalıştığınız işletim sisteminden ayrıdır. Bu konteyner izolasyonu, güvenilmeyen sitenin veya dosyanın kötü amaçlı olduğunu tespit ederse cihazınızın korunması ve saldırganın verilerinize erişememesi için aksiyon almaktadır. Bu yaklaşım yalıtılmış konteyneri anonim hale getirir, böylece bir saldırgan kurbanın kimlik bilgilerine (credentials) ulaşamaz.
Şekil 1’de Microsoft Defender Application Guard için referans olarak kabul edilebilecek bir izolasyon görseli verilmiştir.
Application Guard’ı Hangi Tür Cihazlar Kullanmalıdır?
- Kurumsal masaüstü bilgisayalar
- Kurumsal mobil dizüstü bilgisayarlar
- Kendi cihazınızı (mobil veya dizüstü bilgisayarınızı) getirin (BYOD)
- Kişisel cihazlar
Bilgi: BYOD (Bring Your Own Device), “Kendi Cihazını Getir” anlamına gelir ve kurumların çalışanlarının kişisel cihazlarını kurum ağlarına ve sistemlerine bağlamalarına izin veren bir uygulamadır.
Microsoft Defender Application Guard kullanabilmek için gerekli olan Windows sürümü ve lisans gereksinimleri Tablo 1’de verilmiştir.
| Sürüm / Lisans | Destekliyor mu? |
| Windows Pro | Evet |
| Windows Enterprise | Evet |
| Windows Pro Education/SE | Evet |
| Windows Education | Evet |
| Windows Pro/Pro Education/SE | Evet |
| Windows Enterprise E3 | Evet |
| Windows Enterprise E5 | Evet |
| Windows Education A3 | Evet |
| Windows Education A5 | Evet |
| Diğer Sürümler / Lisanslar | Hayır |
Microsoft Defender Application Guard Sistem Gereksinimleri
NOT: Teknolojik olarak karmaşıklıklar göz önüne alındığında, MDAG koruması VM’lerde ve VDI ortamlarında geçerli olmayabilir. Bu nedenle MDAG şu anda VM’lerde ve VDI ortamlarında resmi olarak desteklenmemektedir. Ancak yine de bir VM içerisinde Hyper-V sanallaştırma özelliğini etkinleştirerek VM’de MDAG kullanabilirsiniz.
MDAG şu anda Windows 11 ARM64 cihazlarda desteklenmemektedir.
Donanım Gereksinimleri
| Donanım | Tanım |
| 64 bit CPU | Hyper-V ve sanallaştırma tabanlı güvenlik (VBS) için en az dört çekirdekli (mantıksal işlemciler) 64 bit bilgisayar gereklidir. |
| CPU sanallaştırma uzantıları | SLAT ve VT-x (Intel) veya AMD-V |
| Donanım belleği | En az 8 GB RAM |
| Hard disk | 5 GB boş alan, genellikle SSD önerilir |
| I/O Belleği Yönetim Birimi desteği | Zorunlu değil ama tavsiye edilir |
Yazılım Gereksinimleri
| Yazılım | Tanım |
| İşletim sistemi | – Windows 10 Enterprise veya Education sürümleri, sürüm 1809 veya üzeri – Windows 10 Professional sürümü, sürüm 1809 veya üzeri (yalnızca Standalone Mod desteklenir) – Windows 11 Education veya Enterprise sürümleri – Windows 11 Professional sürümü (yalnızca Standalone Mod desteklenir) |
| Tarayıcı | Microsoft Edge |
| Yönetim sistemi (yalnızca yönetilen cihazlar için) | – Microsoft Intune – Microsoft Configuration Manager – Group Policy – Mevcut, şirket çapında, Microsoft dışı mobil cihaz yönetimi (MDM) çözümünüz. |
Microsoft Defender Application Guard Nasıl Yüklenir?
- Denetim Masası’nı açın, Programlar’ı ve ardından Windows özelliklerini aç veya kapat’ı seçin.
- Microsoft Defender Application Guard’ın yanındaki onay kutusunu işaretlerin ve yüklemek için Tamam’ı seçin.
PowerShell ile Nasıl Yükleyebiliriz?
- PowerShell’i Yönetici olarak çalıştırın.
- Aşağıdaki komutu yazın:
Enable-WindowsOptionalFeature -Online -FeatureName Windows-Defender-ApplicationGuardBütün bu işlemleri yaptıktan sonra cihazınızı yeniden başlatın.
