Windows Defender Application Guard sichert Windows 10 ab

Die Sicherheitsfunktion Windows Defender Application Guard schützt Windows-10-Anwender in Unternehmen durch eine neue Schutzebene vor Angriffen über den Browser.

Windows Defender Application Guard (WDAG) kann Sitzungen im Browser Microsoft Edge über Hyper-V-Technlogie virtualisieren und dadurch sicherstellen, dass Malware nicht über das Internet auf einen PC übertragen werden kann. Die Funktion erstellt eine neue Windows-Instanz auf Hardwareebene. Für den Einsatz der Funktion sind Windows 10 Pro oder Windows 10 Enterprise erforderlich, idealerweise in der Version Windows 10 Version 1803.

WDAG erstellt eine Sandbox und nutzt dabei Technologien aus der Virtualisierung. Die Sicherheitstechnologie arbeitet derzeit nur mit Microsoft Edge zusammen. Die Funktion verhindert zuverlässig, dass Malware aus dem Browser auf einen PC übertragen werden kann. Microsoft verbessert Windows Defender Application Guard sukzessive, das gilt auch für die Performance.

Rufen Anwender einen Link auf, der mit Microsoft Edge geöffnet wird, kann WDAG Windows 10 schützen, in dem der Link zwar aufgerufen wird, aber keinerlei Zugriff auf das Betriebssystem stattfindet. Dazu wird der Browser wie in einem isolierten virtuellen Computer betrieben.

Windows Defender Application Guard installieren

Um in Windows 10 den Windows Defender Application Guard zu nutzen, müssen über die optionalen Features im Betriebssystem die beiden Features „Hyper-V“ und „Windows Defender Application Guard“ installiert werden. Die optionalen Features werden am schnellsten über das Suchfeld im Startmenü durch Eingabe von optionalfeatures erreicht.

Windows Defender Application Guard schützt Microsoft Edge vor Malware aus dem Internet. Es gilt zunächst die optionalen Features zu installieren.
Abbildung 1: Windows Defender Application Guard schützt Microsoft Edge vor Malware aus dem Internet. Es gilt zunächst die optionalen Features zu installieren.

Sobald die Features installiert sind, können in Microsoft Edge über die Optionen neue Application-Guard-Fenster gestartet werden. Wenn ein Anwender ein Application-Guard-Fenster öffnet, wird er darüber informiert, was das genau bedeutet, und wie der aktuelle Schutzstatus ist. Microsoft Edge zeigt in der Titelleiste die Application-Guard-Fenster mit einer eigenen Oberfläche an. Aus dem Menü heraus lassen sich auch weitere Application-Guard-Fenster öffnen.

Windows 10 initialisiert ein Application-Guard-Fenster. Der Prozess nimmt etwas Zeit in Anspruch.
Abbildung 2: Windows 10 initialisiert ein Application-Guard-Fenster. Der Prozess nimmt etwas Zeit in Anspruch.

In einem Application-Guard-Fenster sind alle Dateien von Microsoft Edge vom Betriebssystem isoliert. Das gilt standardmäßig auch für den Download von Dateien. Ab dem April 2018 Update für Windows 10, also Version 1803 von Windows 10, lassen sich Dateien, die im Application-Guard-Fenster heruntergeladen werden, auf das Betriebssystem des Rechners übertragen. Die Funktion dazu wird über Gruppenrichtlinien aktiviert, oder mit Registry-Einstellungen.

Windows Defender Application Guard mit Gruppenrichtlinien steuern

Auf englischen Windows-10-Versionen ist die Einstellung über Computer Configuration\Administrative Templates\Windows Components\Windows Defender Application Guard zu finden. Auf deutschen Windows-10-Systemen befindet sich die entsprechende Einstellung bei Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Defender Application Guard.

Windows Defender Application Guard kann über Gruppenrichtlinien konfiguriert werden. Seit Windows 10 Version 1803 können Downloads aus einem WDAG-Fenster auch im Host-Betriebssystem gespeichert werden.
Abbildung 3: Windows Defender Application Guard kann über Gruppenrichtlinien konfiguriert werden. Seit Windows 10 Version 1803 können Downloads aus einem WDAG-Fenster auch im Host-Betriebssystem gespeichert werden.

Wird die Richtlinie für den Download von Dateien aktiviert, speichert Microsoft Edge die Dateien in einem eigenen Unterverzeichnis des Download-Verzeichnisses von Windows 10.

Fazit

Windows Defender Application Guard ist ein recht zuverlässiger Schutz, wenn es darum geht, einen Rechner mit Windows 10 vor Gefahren aus dem Internet zu schützen. Es kann sich durchaus lohnen, den Schutz auf Rechnern zu installieren und zu nutzen. Aktuell stellt Microsoft die Technologie nur für den Browser Microsoft Edge zur Verfügung. Ähnliche technologische Ansätze existieren andernorts für andere Browser ebenfalls.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Windows Defender System Guard: Mehr Sicherheit für Windows 10

Kostenloser E-Guide: Windows-10-Systeme besser absichern

Per Windows Defender Credential Guard Anmeldedaten absichern

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit