2491561

Drei neue, versteckte Schutz-Funktionen für Windows

20.03.2020 | 14:19 Uhr | Arne Arnold

Microsoft hat in Windows 10 drei zusätzliche Schutzfunktionen eingebaut. Doch obwohl sich ihr Einsatz für alle Nutzer lohnt, die eine hohe Sicherheitsbarriere bevorzugen, sind die Funktionen ziemlich versteckt. Wir zeigen, wie Sie den Zusatzschutz aktivieren und richtig konfigurieren.

Virtuelle Maschinen bieten einen sehr zuverlässigen Schutz gegen Angriffe aus dem Internet. Sollten Sie beim Surfen auf eine virenverseuchte Webseite geraten, bleibt der Virus innerhalb der virtuellen Maschine gefangen und kann Ihr eigentliches System (Hostsystem) nicht infizieren.

Das hat natürlich auch Microsoft erkannt und letztes Jahr die „ Windows Sandbox “ in Windows 10 Professional integriert. Schon etwas länger gibt es in der Professional-Version außerdem den Windows Defender Application Guard (WDAG) , der den Browser Edge ebenfalls mit einer Sandbox schützen kann. Wir erklären, wie die beiden Tools funktionieren und wie Sie sie am besten einsetzen.

Neben diesen beiden Schutztools hat Microsoft noch eine weitere, fortgeschrittene Sicherheitsfunktion in Windows 10 eingebaut. Es ist der „ Exploit-Schutz “, der als Nachfolger des einst beliebten Tools Emet (Enhanced Mitigation Experience Toolkit) gilt. Auch diese Funktion erklären wir und sagen, für welche Zwecke sie sinnvoll ist.

Windows 10: Volle Sicherheit mit Bordmitteln

Sicher Surfen mit dem Windows Defender Application Guard

Der Windows Defender Application Guard (WDAG) ist ein Microsoft-Tool, das den Browser Edge in eine Sandbox packt und so das restliche System vor allen besuchten Websites abschirmt. Der Einsatz des Tools lohnt sich für Ausflüge auf weniger vertrauenswürdigen Websites oder zum Aufruf von Links zu unbekannten Seiten.

So installieren Sie den Application Guard: Wählen Sie „Windows-Logo –› Windows-System –› Systemsteuerung –› Programme –› Windows-Features aktivieren oder deaktivieren“. Im folgenden Fenster setzen Sie einen Haken vor „Windows Defender Application Guard“ und bestätigen mit „OK“. Anschließend muss der Rechner meist neu gestartet werden. Bitte beachten Sie die Hard- und Software-Voraussetzungen für diese Funktion im Kasten.

Geschützten Browser nutzen: Um den Browser Edge von WDAG schützen zu lassen, starten Sie zunächst „Microsoft Edge“ wie gewohnt. Dann klicken Sie rechts oben auf „Menüsymbol –› Neues Application Guard-Fenster“. Es öffnet sich eine neues, durch WDAG geschütztes Edge-Fenster. Sie erkennen den WDAG-Modus an einem Schutzschildsymbol oben links im Browserfenster sowie im Edge-Icon unten in der Taskleiste.

Über die klassische Systemsteuerung kommen Sie zu diesem Installationsfenster für Windows- Komponenten, unter anderem mit den Funktionen Sandbox und WDAG.
Vergrößern Über die klassische Systemsteuerung kommen Sie zu diesem Installationsfenster für Windows- Komponenten, unter anderem mit den Funktionen Sandbox und WDAG.

Chrome und Firefox: Wer einen dieser beiden Browser nutzt, kann sich eine Erweiterung für den WDAG-Schutz installieren. Damit erhalten Sie ein Icon in der Browserleiste, über das Sie den WDAG-geschützten Browser Edge starten können. Zunächst benötigen Sie aber das Tool „Windows Defender Application Guard Companion“ aus dem Windows-Store. Starten Sie dafür über „Windows-Logo –› Microsoft Store“ den Store für Windows-10-Apps. Dort suchen und laden Sie das Tool. Nun installieren Sie die entsprechende Erweiterung für Chrome oder Firefox.

Konfiguration des WDAG: Standardmäßig ist in der WDAG-Sitzung von Edge weder die Zwischenablage noch die Druckfunktion aktiviert. Auch weitere Optionen, etwa der Zugriff auf das Mikrofon und die Kamera, sind deaktiviert. Wir halten diese strengen Einstellungen für äußerst sinnvoll. Dennoch bietet Microsoft die Möglichkeit, diese Einstellungen per Gruppenrichtlinien aufzuweichen. Wenn Sie etwa Webadressen per Copy & Paste in den geschützten Browser kopieren möchten, gehen Sie so vor: 

Wer mit Chrome oder Firefox surft, lädt den Windows Defender Application Guard Companion aus dem Microsoft- Store sowie eine Erweiterung für seinen Browser. Dann lässt sich der WDAG-geschützte Edge aus Chrome und Firefox heraus starten.
Vergrößern Wer mit Chrome oder Firefox surft, lädt den Windows Defender Application Guard Companion aus dem Microsoft- Store sowie eine Erweiterung für seinen Browser. Dann lässt sich der WDAG-geschützte Edge aus Chrome und Firefox heraus starten.

Starten Sie zunächst den Gruppenrichtlinieneditor über die Tastenkombination Windows-R und geben gpedit.msc in die Öffnen-Leiste ein. Gehen Sie zu „Richtlinien für Lokaler Computer –› Computerkonfiguration –› Administrative Vorlagen –› Windows Komponenten –› Windows Defender Application Guard“. Darunter finden zwölf Optionen für den Guard, etwa „Zwischenablageeinstellungen für den Windows Defender Application Guard konfigurieren“. Eine empfehlenswerte Einstellung ist „Zwischenablagevorgänge von einem Host zur isolierten Sitzung aktivieren“.

Über die Einstellung „Datenpersistenz für Windows Defender Application Guard zulassen“ bleiben Favoriten oder Cookies nach dem Schließen des geschützten Browser Edge erhalten. Aber die Datenpersistenz kann auch von feindlichem Code genutzt werden, der sich unter Umständen so im geschützten Edge festsetzen kann.

Ausblick: WDAG auch für Microsoft Office

Wenn Sie den Windows Defender Application Guard nutzen, um damit den Browser Edge in einer sicheren Sandbox zu starten, können Sie die Sicherheitseinstellungen per Gruppenrichtlinie ändern.
Vergrößern Wenn Sie den Windows Defender Application Guard nutzen, um damit den Browser Edge in einer sicheren Sandbox zu starten, können Sie die Sicherheitseinstellungen per Gruppenrichtlinie ändern.

Insider berichten, dass Microsoft den Windows Defender Application Guard auch für Microsoft Office nutzbar machen wird. Tatsächlich finden sich dazu schon Einträge in den Gruppenrichtlinien. Die Informationen stammen aus dem Blog von Rob Lefferts, Corporate Vice President bei Microsoft Security . Demnach wird man künftig auch Word oder Excel in einer durch WDAG geschützten Umgebung starten können. Das empfiehlt sich für alle Dokumente aus zweifelhaften Quellen. Wenn das Dokument virenverseucht ist, bleiben alle Änderungen in der geschützten Anwendung und verschwinden nach ihrem Beenden. Ab wann die Funktion für Privatanwender bereitsteht, ist noch nicht bekannt. 

Windows 10: Die besten Tipps zu Sicherheit & Datenschutz

Windows Sandbox: Sichere und schnelle Testumgebung 

Die Windows Sandbox bietet einen virtuellen PC, in dem Sie gefahrlos Webseiten besuchen und Software ausprobieren können. Nach dem Beenden der Sandbox sind alle Änderungen darin verschwunden.
Vergrößern Die Windows Sandbox bietet einen virtuellen PC, in dem Sie gefahrlos Webseiten besuchen und Software ausprobieren können. Nach dem Beenden der Sandbox sind alle Änderungen darin verschwunden.

Wenn Sie eine EXE-, PDF- oder anderen Datei aus zweifelhafter Quelle haben, dann können Sie diese Datei in der geschützten Sandbox von Windows starten. Alle Änderungen, die die Datei vornimmt, bleiben in dieser Sandbox. Und nach dem Beenden der Sandbox sind die Änderungen komplett verschwunden. Die neue Windows Sandbox hat gegenüber einem System in einem Virtualisierungsprogramm wie Virtualbox  oder Hyper-V einen großen Vorteil: Der Speicherplatzbedarf ist deutlich geringer, denn die Sandbox nutzt etliche Dateien des installierten Windows. So sind statt ein paar GB nur ein paar hundert MB für das Windows 10 in der Sandbox fällig.

So installieren Sie die Sandbox: Starten Sie „Windows-Logo –› Windows-System –› Systemsteuerung“ und wählen dann „Programme –› Windows-Features aktivieren oder deaktivieren“. Im folgenden Fenster setzen Sie einen Haken vor „Windows Sandbox“ und bestätigen mit „OK“. Anschließend muss der Rechner meist neu gestartet werden. Bitte beachten Sie die Hard- und Software-Voraussetzungen für diese Funktion (siehe Kasten auf dieser Seite).

Windows Sandbox nutzen: Starten Sie die Sandbox über „Windows-Logo –› Windows Sandbox“. Je nach Rechnerausstattung dauert das ein paar Sekunden. Copy und Paste zwischen der Sandbox und Ihrem Hostsystem ist aktiviert. Sie können also von Ihrem eigentlichen System eine verdächtige Datei kopieren und in die Sandbox per Strg-V oder per rechter Maustaste einfügen. Sie können auch Software in der Sandbox installieren und testen. Verlangt diese allerdings einen Windows-Neustart, scheitert die Installation, da nach dem Neustart alle Änderungen verschwunden sind.

Konfiguration der Sandbox: Es gibt nur wenige Einstellmöglichkeiten für die Windows Sandbox. Allesamt müssen Sie über eine Konfigurationsdatei vornehmen. Die interessanteste Option für die Sandbox ist ein geteilter Ordner, über den Sie Dateien zwischen dem Hostsystem und der Sandbox austauschen können. Auf Heft-DVD finden Sie die Datei „Sandbox mit Download-Ordner.wsb“. Ein Doppelklick auf die Datei startet die Windows Sandbox und legt als geteilten Ordner „N:\Downloads“ fest. Passen Sie diesen Pfad an Ihre Verhältnisse an. Dafür klicken Sie mit der rechten Maustaste auf die Datei und wählen „Öffnen mit –› Editor“. Der Pfad taucht in der Datei an zwei Stellen auf: einmal für die Freigabe und einmal für eine Verknüpfung auf dem Desktop der Sandbox. Eine englischsprachige Erklärung der Konfigurationsdatei finden Sie hier .

Exploit-Schutz: Spezialfunktionen für einzelne Anwendungen 

Der „Exploit-Schutz“ in Windows 10 kann einzelne Anwendungen vor typischen Angriffen durch Malware schützen. Allerdings laufen dann einige Programme dann nicht mehr ganz zuverlässig.
Vergrößern Der „Exploit-Schutz“ in Windows 10 kann einzelne Anwendungen vor typischen Angriffen durch Malware schützen. Allerdings laufen dann einige Programme dann nicht mehr ganz zuverlässig.

Früher war das Tool Emet bei fortgeschrittenen Anwendern beliebt. Durch seine Installation wurden typische Einfallstore für Schadcode geschlossen . Mitte 2018 hat Microsoft das Tool Emet eingestellt. Die meisten seiner Funktionen hat Microsoft aber in Windows 10 übernommen. Sie finden diesen Spezialschutz unter „Windows-Logo –› Windows-Sicherheit –› App & Browsersteuerung –› Exploit-Schutz –› Einstellungen für Exploit- Schutz“). Die wichtigsten Einstellungen des Exploit-Schutzes finden Sie im Beitrag zu Emet .

Für wen sich der Exploit-Schutz eignet: Wenn Sie ein Tool vom Exploit-Schutz abschirmen lassen, dann behandelt Windows sowohl den Programmcode des Tools als auch alle Daten, die das Tool bearbeitet, auf besondere Weise. Das soll die typischen Angriffe von Schadcode, etwa per Buffer Overflow, verhindern. Doch gleichzeitig führt das bei einigen der so geschützten Programme zu Programmabstürzen. Es ist also nicht sinnvoll, jedes Programm in den Exploit-Schutz aufzunehmen. Eigentlich ist es die Aufgabe der Toolprogrammierer, die Funktionen des Exploit-Schutzes für sich zu reklamieren. Sie selber sollten aber dann ein Tool in den Exploit-Schutz aufnehmen, wenn dieses nicht mehr weiterentwickelt wird. Oder wenn es sich um ein Programm handelt, mit dem Sie Dateien aus unsicheren Quellen öffnen müssen.

Die Software Malwarebytes Anti-Exploit Beta schirmt Programme ab, die besonders häufig von Viren angegriffen werden. Dazu zählen etwa die gängigen Internetbrowser, der Adobe Reader, Java und viele andere.
Vergrößern Die Software Malwarebytes Anti-Exploit Beta schirmt Programme ab, die besonders häufig von Viren angegriffen werden. Dazu zählen etwa die gängigen Internetbrowser, der Adobe Reader, Java und viele andere.

Ein Programm in den Exploit-Schutz aufnehmen: Gehen Sie zu „Windows-Logo –› Windows-Sicherheit –› App & Browsersteuerung –› Exploit-Schutz –› Einstellungen für Exploit-Schutz“, und nehmen Sie ein Tool über „Programmeinstellungen –› Programm zum Anpassen hinzufügen“ in den Schutz mit auf. Es öffnet sich eine Liste mit 21 Optionen des Exploit-Schutzes. Allesamt sind noch deaktiviert. Wir empfehlen, nur die Optionen zu aktivieren, die bereits grundsätzlich auf „Ein“ eingestellt sind. Sie erkennen das am Schalter unter der jeweiligen Option, die zunächst noch ausgegraut ist. Aktivieren Sie diese Optionen, indem Sie den Haken vor die Option setzen. Die Punkte, die mit „Aus“ voreingestellt sind, sollten nur von fortgeschrittenen Anwendern aktiviert werden, denn damit kann man ein Tool schnell zum Absturz bringen.

Tipp: Wer es einfacher mag, nutzt statt des Exploit-Schutzes von Windows das Tool Anti-Exploit Beta von Malwarebytes. Es schirmt ohne eigene Konfiguration Programme ab, die besonders häufig von Viren angegriffen werden. Dazu zählen etwa die gängigen Internetbrowser, aber auch Adobe Reader, Java oder Microsoft Office. Die Software soll Viren daran hindern, Sicherheitslücken in den genannten Programmen auszunutzen. 


+++ WERBUNG: Reduzierte Lenovo Gaming-Notebooks mit Core i5 9300H und Nvidia GTX 1650:
► mit 15"-Display, 8 GB RAM und 512 GB SSD für nur 666 Euro: otto.me/32zxV8t
► mit 17"-Display, 8 GB RAM und 512 GB SSD für nur 699,99 Euro: otto.me/3cciCXS
► mit 15"-Display, 16 GB RAM und 1 TB SSD für nur 777 Euro: otto.me/32zxOK5
► mit 17"-Display, 16 GB RAM und 1 TB SSD für nur 799,99 Euro: otto.me/2wd5XDq
► Weitere reduzierte Notebooks von Lenovo: otto.me/32z724w
+++ WERBUNG ENDE +++

Die Themen in Tech-up Weekly #179:

► Google Pay: So deaktiviert Ihr Paypal als Bezahlart:
www.pcwelt.de/2489362

► AMD: GPU mit 5.120 Kernen und 24 GB RAM geleakt:
www.pcwelt.de/2489670

► Milliarden WLAN-Geräte unsicher:
www.pcwelt.de/2490078

► Xperia 1 II: Erstes Sony-Smartphone mit 5G:
www.pcwelt.de/2489465

► Disney+ jetzt vorbestellen für 5 Euro pro Monat:
www.pcwelt.de/2489253

► iPhone 12: Mögliche Verzögerungen:
www.macwelt.de/2489893

► Xbox Series X mit 12-Teraflops-GPU & weitere Infos:
www.pcwelt.de/2487999

► Erfinder des Konami Code ist gestorben:
www.pcwelt.de/2490062

► BSI: 5 Jahre Sicherheits-Updates für alle Smartphones:
www.pcwelt.de/2489880

► Flat-Earth-Anhänger stirbt in eigener Rakete:
www.pcwelt.de/Forschung 2489194

Fail der Woche:

► Kurt0411: YouTuber wegen Beleidigungen für sämtliche EA-Games gesperrt:
www.pcwelt.de/2489673

► Zum PC-WELT T-Shirt-Shop:
www.pcwelt.de/fan

2491561