Definition

Microsoft Defender Application Guard

Microsoft Defender Application Guard (vormals Windows Defender Application Guard ist Teil des Defender-Sicherheitsprogramms für Windows 10 und Windows 11. Seinerzeit wurde Windows Defender Application mit dem Fall Creators Update für Windows 10 im Jahr 2017 eingeführt. Unterstützt wird die Funktion von den Windows-Versionen Pro und Enterprise.

Mit Microsoft Defender Application Guard (MDAG) können IT-Abteilungen die Mitarbeiter im Unternehmen zusätzlichen beim Surfen im Web schützen. So können IT-Admins eine Whitelist mit Websites festlegen, die nicht mir Microsoft Defender Application Guard ausgeführt werden müssen. Alle anderen Websites, die Anwender ansteuern, werden über das Security-Tool geöffnet. Wenn ein Benutzer über Microsoft Defender Application Guard auf eine Website zugreift, führt Microsoft Edge die Website über einen isolierten Hyper-V-Container aus. Der Container ist vom eigentlichen Betriebssystem getrennt. Microsoft Defender Application Guard unterstützt nativ Microsoft Edge und den Internet Explorer. Für die Browser Chrome und Firefox steht eine Erweiterung zur Verfügung.

Die Funktionalität von Microsoft Defender Application Guard

Microsoft Defender Application Guard führt isolierte Browsersitzungen aus, um vor verschiedenen Angriffen zu schützen, sei es durch Malware oder Zero-Day-Attacken.

Wenn Microsoft Defender Application Guard eine Website öffnet, ändert sich die Browseranzeige, damit der Anwender weiß, dass er sich auf einer Website befindet, die nicht auf der Whitelist steht und seine aktuelle Browsersitzung isoliert ist. Hierfür muss im Idealfall Microsoft Edge als bevorzugter Browser eingerichtet sein. IT-Abteilungen müssen beispielsweise über Gruppenrichtlinien sicherstellen, dass diese Einstellung beibehalten wird. Mit der erwähnten Erweiterung und einer Begleit-App kann MDAG auch mit Firefox oder Chrome zusammenarbeiten.

Microsoft Defender Application Guard
Abbildung 1: Mit Microsoft Defender Application Guard können beispielsweise Websites über einen isolierten Hyper-V-Container aufgerufen werden.

Nach dem Ende jeder Sitzung löscht der Container seinen gesamten Verlauf und ist sofort bereit, eine neue Sitzung zu starten. Die Sitzung speichert keine Cookies aus der Sitzung und verhindert, dass der Browser auf den lokalen Speicher zugreift. Microsoft Defender Application Guard verfügt über einen verwalteten und einen eigenständigen Modus. Im verwalteten Modus können Admins die Netzwerkisolationseinstellungen von Application Guard definieren und so dafür sorgen, dass eine Reihe von Websites bereits definiert sind.

Was schützt Microsoft Defender Application Guard?

IT-Abteilungen können Microsoft Defender Application Guard für unterschiedliche Geräteszenarien einsetzen. Desktop-PCs und Notebooks sind am einfachsten zu verwalten und zu schützen, da die IT-Abteilung in der Regel sicherstellen kann, dass diese ihre Verbindung über das Unternehmensnetzwerk herstellen. Dies gibt den Administratoren die Möglichkeit, die Endgeräte mit dem Endpoint Configuration Manager zu verwalten.

Bei Systemen, die beispielsweise nach BYOD-Richtlinien (Bring Your Own Device) genutzt werden oder im Home-Office eingesetzt werden, besteht die Verbindung zum Unternehmensnetzwerk nicht immer notwendigerweise. Wenn in diesen Fällen die Anwender auch die Administratorrechte über die Systeme haben, muss die IT-Abteilung andere Werkzeuge nutzen wie beispielsweise Intune oder ähnliche Lösungen zur Verwaltung der Geräte.

Diese Definition wurde zuletzt im Dezember 2021 aktualisiert

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit