Der Windows Defender Application Guard (WDAG) öffnet und isoliert gefährliche Websites innerhalb eines Hyper-V-Containers.
Inhaltsverzeichnis
Was ist der Windows Defender Application Guard (WDAG)?
Der Windows Defender Application Guard erhöht die Sicherheit beim Internet surfen, da er den Browser in einer isolierten virtuellen Umgebung betreibt. Standardmäßig funktioniert der Windows Defender Application Guard aktuell nur in den Microsoft Browsern Internet Explorer und Edge (auch in der Chrome-Variante). Bei Firefox und Google Chrome muss mit Erweiterungen nachgeholfen werden.
Systemvoraussetzungen
Die Systemvoraussetzungen sind überschaubar, schließen aber die große Zielgruppe der Windows 10 Home Besitzer/Benutzer aus.
- Windows 10 Pro und Enterprise 64-Bit ab 1803
- Min. 8 GB RAM
- CPU mit
- min. 4 Cores
- Second Level Address Translation (SLAT)
- VT-x bei Intel-CPU
- AMD-V bei AMD-CPU
Quelle: Microsoft.com
Installation
Da der Windows Defender Application Guard bereits im System als Windows Feature integriert ist, muss er nur noch über die Systemsteuerung aktiviert werden.
Systemsteuerung → Programme und Features:
Windows Defender Application Guard aktivieren und OK:
(Grau dargestellt = Systemvoraussetzungen nicht erfüllt!)
Nach der Aktivierung muss ein Windows Neustart durchgeführt werden:
Quelle: Microsoft.com
Konfiguration
Die Konfiguration des Windows Defender Application Guards erfolgt über die lokalen oder domänenweiten Gruppenrichtlinien.
Je nach Sicherheits-Bedarf/Notwendigkeit, können unter Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Defender Application Guard entsprechende Einstellungen gesetzt werden, die teilweise auch erheblich die Benutzerfreundlichkeit mindern:
Unter Computerkonfiguration\Administrative Vorlagen\Netzwerk\Netzwerkisolation\In der Cloud gehostete Unternehmensressourcendomänen wird/werden z.B. die lokale/n Domäne/n hinterlegt. Dadurch werden Unternehmenswebsites (Internet & Intranet) im normalem Browserfenster geöffnet. Alle anderen Websites werden nur im isolierten Browserfenster angezeigt. Wenn im normalem Fenster eine Internet-URL aufgerufen wird, öffnet sich die Website automatisch in einem neuen Defender Application Guard geschützten Browserfenster (nicht Browser-Tab).
Für die lokale Active Directory Domäne genügt es, die entsprechende Domäne in der Schreibweise .domain.tld einzugeben. In der angezeigten Hilfe wird die Schreibweise für mehrere Einträge beschrieben.
Quelle: Microsoft.com
Verwendung
Im ersten Moment fällt der Windows Defender Application Guard nicht besonders auf. Wurden die zuvor genannten Gruppenrichtlinien nicht gesetzt (oder vom System übernommen) wird wie bisher im normalem (ungeschützten) Modus gesurft. Es kann aber manuell ein geschütztes Fenster geöffnet werden:
Egal ob manuell geöffnet oder über Gruppenrichtlinien konfiguriert, präsentiert sich das isolierte Browser-Fenster relativ unspektakulär. Die Application Guard Browserumgebung wird im Fenster nur über ein neues Menü-Symbol mit etwas Info dargestellt:
Auffälliger ist es in der Windows Taskleiste (oder auch im Task-Manager), da die Browserumgebungen getrennt dargestellt werden:
