Defender Application Guard

Die Einstellungen von Microsoft Defender Application Guard (Application Guard) schützen Ihre Organisation vor böswilligen Angriffen, indem sie in einer separaten Browserumgebung für unternehmensdefinierte, nicht vertrauenswürdige Sites isolieren, auf die Benutzer beim Durchsuchen des Internets zugreifen können.

Was ist Application Guard?

Application Guard, ein hardwarebasierter Endpunktschutz, ist ein Sicherheitstool, das in Microsoft Edgeintegriert ist. Application Guard isoliert unternehmensdefinierte nicht vertrauenswürdige Sites in einer virtuellen Maschine (VM) vom Desktop (Host), um böswillige Aktivitäten daran zu hindern, den Desktop zu erreichen. Dieses Feature wird unter Windows 10 ab Version 1709 unterstützt. Weitere Informationen zu Application Guard finden Sie unter https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-application-guard/md-app-guard-overview.

Funktionsweise von Application Guard

Wenn ein Benutzer eine nicht vertrauenswürdige Site über den Browser besucht, öffnet der Browser diese Site in einem isolierten Hyper-V-fähigen Container, der von der Hostmaschine abgesondert ist. Wenn es sich bei der nicht vertrauenswürdigen Site, die sich in Containerisolation befindet, um eine böswillige Site handelt, ist die Hostmaschine geschützt ist und der Angreifer kann nicht auf die Unternehmensdaten zugreifen.

Application Guard-fähiger Browser

Dieses Feature wird in Microsoft Edge -Browsern unterstützt. Wenn sich Ihr Browser im Application Guard-Modus befindet, wird das folgende Symbol in der Browsersymbolleiste angezeigt:

Application Guard-aktivierter Browser

Hardwarevoraussetzungen für die Ausführung von Application Guard

Die folgenden Hardwarevoraussetzungen müssen für die Ausführung von Application Guard in Ihrer Umgebung erfüllt sein:
Hardware Anforderungen
64-Bit-CPU Es sind mindestens 4 Cores (logische Prozessoren) für den Hypervisor und VBS (Virtualization-Based Security, virtualisierungsbasierte Sicherheit) erforderlich.

Weitere Informationen zu Hyper-V finden Sie unter https://docs.microsoft.com/en-us/virtualization/hyper-v-on-windows/about/.
Erweiterungen für CPU-Virtualisierung Erweiterte Seitentabellen (Second Level Address Translation oder SLAT) und eine der folgenden Optionen:
  • VT-x (Intel)

    oder

  • AMD- V
Hardwarespeicher Mindestens 8 GB
Festplatte 5 GB freier Speicherplatz, Solid-State-Platte (SSD) empfohlen
IOMMU-Unterstützung (Input/Output Memory Management Unit) Nicht erforderlich, aber empfohlen

Application Guard-Einstellungen konfigurieren

In der folgenden Tabelle werden die Application Guard-Einstellungen beschrieben, die Sie für Windows-Geräte konfigurieren können.
Richtlinieneinstellung Beschreibung Unterstützte Geräte
Defender Application Guard konfigurieren Wenn diese Einstellung aktiviert ist, können Sie Einstellungen konfigurieren, die Benutzer davor schützen, auf böswillige oder nicht vertrauenswürdige Sites zuzugreifen, indem diese Sites in einer separaten Browsing-Umgebung isoliert werden, um zu verhindern, dass böswillige Attacken an die Hostmaschine verteilt werden. Windows Professional, Bildung, Unternehmen
Defender Application Guard-Einstellungen
Einstellungen für Zwischenablage Gibt den Typ von Inhalten an, die Benutzer von der Hostmaschine in die Application Guard-Sitzung kopieren können. Aktivieren Sie Einstellungen unter Verhalten der Zwischenablage, um festzulegen, wie sich die Zwischenablage verhält, denn sich der Benutzer im Application Guard-Container befindet. Den Benutzern wird eine Nachricht angezeigt, wenn sie versuchen, nicht zulässige Inhalte zu kopieren.
Zu den Einstellungen gehören die folgenden:
  • Kopieren des Textes und des Image zulassen
  • Kopieren von Text zulassen
  • Kopieren des Image zulassen
 Windows Professional, Bildung, Unternehmen
Verhalten der Zwischenablage Gibt an, wie sich die Zwischenablage verhält, wenn sich der Benutzer im Application Guard-Container befindet. Den Benutzern wird eine Nachricht angezeigt, wenn sie versuchen, nicht zulässige Inhalte zu kopieren.
Zu den Einstellungen gehören die folgenden:
  • Kopieren und Einfügen blockieren
  • Isolierte Sitzung zum Host zulassen: Benutzer können bestimmte Inhalte aus Application Guard in Microsoft Edgekopieren.
  • Host für isolierte Sitzung zulassen: Benutzer können bestimmte Inhalte aus Microsoft Edge in Application Guard kopieren. Anmerkung: Diese Aktion kann potenzielle Sicherheitsrisiken im Application Guard-Container verursachen.
  • Beide Richtungen zulassen: Benutzer können bestimmte Inhalte aus Application Guard in Microsoft Edge und aus Microsoft Edge in Application Guard kopieren. Anmerkung: Diese Aktion kann potenzielle Sicherheitsrisiken im Application Guard-Container verursachen.
 Windows Professional, Bildung, Unternehmen
Druckeinstellungen Gibt an, wie sich die Druckfunktionen verhalten, wenn sich der Benutzer im Application Guard-Container befindet.
Zu den Einstellungen gehören die folgenden:
  • Drucken blockieren
  • XPS-Druck zulassen: Ermöglicht Application Guard, im XPS-Dateiformat (XML Paper Specification) zu drucken.
  • PDF-Druck zulassen: Ermöglicht Application Guard, im PDF-Dateiformat zu drucken.
  • PDF- und XPS-Druck zulassen
  • Lokalen Druck zulassen: Ermöglicht Application Guard, auf lokal angeschlossenen Druckern zu drucken.
  • Lokalen und PDF-Druck zulassen
  • Lokalen, PDF- und XPS-Druck zulassen
  • Druck über das Netz zulassen: Ermöglicht Application Guard, über zuvor verbundene Netzdrucker zu drucken. Benutzer können nicht nach weiteren Druckern suchen.
  • Druck über das Netz und XPS-Druck zulassen
  • Druck über das Netz und PDF-Druck zulassen
  • Druck über das Netz, PDF- und XPS-Druck zulassen
  • Druck über das Netz und lokalen Druck zulassen
 Windows Professional, Bildung, Unternehmen
Zugriff auf Kamera und Mikrofon innerhalb des Containers zulassen Wenn diese Einstellung aktiviert ist, können Apps im Application Guard-Container auf die Kamera und das Mikrofon eines Geräts zugreifen, wenn diese Einstellungen auch auf dem Gerät des Benutzers aktiviert sind. Windows Professional, Bildung, Unternehmen
Benutzerdatenpersistenz zulassen Wenn diese Einstellung aktiviert ist, können Daten über mehrere Sitzungen hinweg im Application Guard-Container erhalten bleiben.

Application Guard speichert vom Benutzer heruntergeladene Dateien und weitere Elemente wie Cookies oder Favoriten zur späteren Verwendung in künftigen Application Guard-Sitzungen in der Browsersymbolleiste. Um die Application Guard-Sitzung sicher und von der Hostmaschine isoliert zu halten, werden die in einer Application Guard-Sitzung gespeicherten Favoriten nicht auf die Hostmaschine kopiert.

Aus einem Application Guard-Container heruntergeladene Dateien werden im Ordner C:\Users\wdagutilityaccount\Downloads gespeichert. Wenn sich ein schädliches Script in dieser Datei verbirgt, kann dieses Script nicht auf Unternehmensdaten auf der Hostmaschine zugreifen.

Application Guard-Container zurücksetzen

Wenn Sie die Datenpersistenz nicht zulassen oder inaktivieren, wird beim Neustart eines Geräts und beim Anmelden an und Abmelden vom isolierten Container ein Neustartereignis ausgelöst, das alle generierten Daten, einschließlich der Sitzungscookies und Favoriten, verwirft, woraufhin die Daten aus Application Guard entfernt werden.

Wenn Sie die Datenpersistenz aktivieren, werden alle benutzergenerierten Artefakte über Containerneustarts hinweg beibehalten. Diese Artefakte existieren jedoch nur im isolierten Container und werden nicht mit der Hostmaschine geteilt. Diese Daten bleiben auch nach Neustarts und Build-to-Build-Upgrades von Windows erhalten.

Wenn Sie die Unterstützung der Datenpersistenz für Benutzer stoppen möchten, verwenden Sie das folgende Windows-Dienstprogramm, um den Container zurückzusetzen und alle privaten Daten zu verwerfen.

Gehen Sie zum Zurücksetzen des Containers wie folgt vor:
  1. Öffnen Sie ein Befehlszeilenprogramm und rufen Sie Windows/System32 auf.
  2. Geben Sie wdagtool.exe cleanup ein. Die Containerumgebung wird zurückgesetzt und die benutzergenerierten Daten werden beibehalten.
  3. Geben Sie wdagtool.exe cleanup RESET_PERSISTENCE_LAYER ein. Die Containerumgebung wird zurückgesetzt und alle benutzergenerierten Daten werden verworfen.
 Windows Professional, Bildung, Unternehmen
Virtuelle GPU zur Verarbeitung von Grafiken zulassen Wenn diese Einstellung aktiviert ist, kann Application Guard die virtuelle GPU (Graphics Processing Unit) für die Verarbeitung von Grafiken verwenden. Diese Einstellung wird unter Windows 10 ab Version 1803 unterstützt.

Application Guard verwendet Hyper-V für den Zugriff auf unterstützte Hardware für die Wiedergabe von Grafiken (GPUs) mit hohem Sicherheitsniveau. Application Guard hilft GPUs bei der Verbesserung der Wiedergabeleistung und der Verlängerung der Akkulebensdauer für Videowiedergabe und sonstige grafikintensive Anwendungsfälle. Wenn Sie diese Einstellung aktivieren, ohne eine Verbindung zu GPUs herzustellen, kehrt Application Guard automatisch zur softwarebasierten (CPU-)Wiedergabe zurück.

Anmerkung: Wenn Grafikeinheiten oder -treiber kompromittiert sind, kann die Aktivierung dieser Einstellung ein Risiko für die Hosteinheit darstellen.
 Windows Professional, Bildung, Unternehmen
Heruntergeladene Dateien im Hostbetriebssystem speichern Wenn diese Einstellung aktiviert ist, können Benutzer Dateien aus ihrem Application Guard-Container auf ihre Hostmaschine herunterladen. Diese Einstellung wird unter Windows 10 ab Version 1803 unterstützt. Windows Professional, Bildung, Unternehmen
Andere Inhalte als Unternehmensinhalte blockieren Wenn diese Einstellung aktiviert ist, wird verhindert, dass Sites Nicht-Unternehmensinhalte (Inhalte von nicht vertrauenswürdigen Sites) in Microsoft Edge und Internet Explorer laden.

Diese Einstellung wird auf Microsoft Edge unter Windows Enterprise oder Windows Education mit Microsoft Defender Application Guard im Enterprise-Modus unterstützt.

 Windows Bildung, Unternehmen
Zertifikatsfingerabdrücke Bewirkt, dass bestimmte Stammzertifikate auf Geräteebene mit dem Application Guard-Container geteilt werden. Zertifikate mit einem Fingerabdruck, der den angegebenen Zertifikaten entspricht, werden in den Container übertragen.

Verwenden Sie für mehrere Zertifikate Kommas, um den Thumbprint für jedes Zertifikat zu trennen, das Sie übertragen möchten. Beispiel: b4e72779a8a362c860c36a6461f31e3aa7e58c14,1b1d49f06d2a697a544a1059bd59a7b058cda924

Diese Einstellung unterstützt die folgenden Versionen:
  • Windows 10 Version 1803 und höher
  • Microsoft Edge unter Windows Enterprise oder Windows Education mit Microsoft Defender Application Guard im Enterprise-Modus
 Windows Bildung, Unternehmen