زمانی که کاربر معمولی به درون دامین Login می کند اجازه نصب نرم افزار را نخواهد داشت.اما می تواند برنامه نصبی را از روی فلش به سیستم خود انتقال دهد و آن را اجرا کند و یا از برنامه های قابل حمل استفاده کند.همین امر می تواند با عث ضربه خوردن و خراب شدن سایر برنامه های موجود بر روی آن سیستم گردد و یا راه را برای ورود ویروس و برنامه های جاسوسی به شبکه ما باز کند. به همین دلیل باید کاربران را تنها قادر به اجرای برنامه های خاص کرد و از اجرا شدن نصب شبکه سایر نرم افزار ها جلوگیری کرد. برای مثال تنها قادر به اجرای برنامه Office و برنامه های پیش فرض ویندوز باشند.
ماکروسافت در ویندوز 10 نسخه 1903 به بالا Windows Defender Application Control را به جای AppLocker معرفی کرده است. برخلاف توصیه های متخصصین امنیت، بیشتر کاربران قبل از حملات WannaCry و دیگر باج افزارها از AppLocker استفاده ای نمی کردند.
در ویندوز XP و ویستا از Software Restriction Policy استفاده می شود اما از ویندوز 7 به بعد قابلیت جدید با نام APPLocker معرفی شد که امکان محدود کردن اجرای برنامه های با استفاده از نام ، گواهی شرکت سازنده و فایل را دارد.
عملکرد Application Guard به این صورت است که برای جلوگیری از تهدیدات امنیتی، سختافزاری که برای اجرا کردن نرمافزارها استفاده میشود، به صورت نرمافزاری ایزوله میشود تا دستکاریها و نفوذ غیرممکن یا لااقل دشوار شود. به عبارت دیگر Application Guard نوعی سند باکس یا محیط حفاظتشده برای استفاده از نرمافزار ایجاد میکند.
مایکروسافت ابتدا Application Guard را برای مرورگر Edge توسعه داده بود. زمانی که کاربر روی لینک آلودهای کلیک میکند، قبل از آنکه سایت آلوده به ویروس به صورت معمول باز شود و تمام بخشهای سیستم را آلوده کند، Application Guard محدودیتهایی اعمال میکند که از گسترش ویروس جلوگیری میکند. مدیر سیستم یا شبکه میتواند سایتهای مورداعتماد را در لیست سفید قرار دهد و سایر سایتها به عنوان سایت مشکوک و غیرقابلاعتماد موردبررسی قرار میگیرد. به این ترتیب اگر کاربر روی لینک غیرقابلاعتمادی کلیک کند، صفحهی وب در محیط مجازی که با کمک تکنولوژی Hyper-V ایجاد شده، باز میشود و لذا از سایر نرمافزارها و بخشهای ویندوز جداست. اگر ویروسی این محیط مجازی را آلوده کند، معمولاً سیستم عامل ویندوز و برنامههای دیگر آسیبی نخواهند دید.
