2435709

Windows 10: Microsoft Defender Application Guard aktivieren

03.08.2021 | 12:01 Uhr | Arne Arnold

In Windows 10 versteckt sich eine Funktion, die potenziell mit Schadsoftware verseuchte Websites automatisch in einem Hyper-V-Container öffnet.

Microsoft hat in Windows 10 Schutzfunktionen eingebaut, die auf virtuellen Systemen beruhen. Obwohl sich ihr Einsatz für alle Nutzer lohnt, die eine hohe Sicherheitsbarriere bevorzugen, sind die Funktionen tief versteckt. Wir zeigen, wie Sie den Zusatzschutz aktivieren und konfigurieren.

Einmaliger Preis: Windows 10 Pro für nur 49,99 Euro

Virtuelle Maschinen bieten einen sehr zuverlässigen Schutz gegen Angriffe aus dem Internet. Sollten Sie beim Surfen auf eine virenverseuchte Webseite geraten, bleibt der Virus innerhalb der virtuellen Maschine gefangen und kann Ihr eigentliches System (Hostsystem) nicht infizieren.

Das hat natürlich auch Microsoft erkannt und im Rahmen von Online-Updates die „ Windows Sandbox “ in Windows 10 Professional integriert. Schon etwas länger gibt es in der Professional-Version außerdem den Microsoft Defender Application Guard (MDAG) , der den Browser Edge ebenfalls mit einer Sandbox schützen kann. Wir erklären Ihnen, wie die beiden Tools funktionieren und wie Sie sie am besten einsetzen. Neben diesen beiden Schutzfunktionen hat Microsoft noch eine weitere, fortgeschrittene Sicherheitsfunktion in Windows 10 eingebaut. Es ist der „ Exploit-Schutz “, der als Nachfolger des Tools Emet (Enhanced Mitigation Experience Toolkit) gilt. Auch diese Funktion erklären wir und sagen, für welche Zwecke sie sinnvoll ist.

Hyper V: Virtualisierung mit Bordfunktionen - so geht's

Sicher Surfen mit dem Microsoft Defender Application Guard

Der Microsoft Defender Application Guard (MDAG) ist ein Microsoft-Tool, das den Browser Edge in eine Sandbox packt und so das restliche System vor allen besuchten Websites abschirmt. Der Einsatz des Tools lohnt sich für Ausflüge auf weniger vertrauenswürdigen Websites oder zum Aufruf von Links zu unbekannten Seiten.

So installieren Sie den Application Guard: Wählen Sie „Windows-Logo –› Windows-System –› Systemsteuerung –› Programme –› Windows-Features aktivieren oder deaktivieren“. Im folgenden Fenster setzen Sie einen Haken vor „Microsoft Defender Application Guard“ und bestätigen mit „OK“. Alternativ öffnen Sie mit der Tastenkombination Windows-X eine Powershell als Adminstrator und geben 

Enable-WindowsOptionalFeature -online -FeatureName Windows-Defender-ApplicationGuard 

ein. Danach muss der Rechner neu gestartet werden. Beachten Sie die Voraussetzungen im Kasten auf der nächsten Dopplseite.

Über die klassische Systemsteuerung kommen Sie zu diesem Installationsfenster für Windows- Komponenten, unter anderem mit den Funktionen Sandbox und MDAG.
Vergrößern Über die klassische Systemsteuerung kommen Sie zu diesem Installationsfenster für Windows- Komponenten, unter anderem mit den Funktionen Sandbox und MDAG.

Geschützten Browser nutzen: Um den Microsoft-Browser Edge von MDAG schützen zu lassen, starten Sie zunächst „Microsoft Edge“ wie gewohnt. Dann klicken Sie rechts oben auf „Menüsymbol –› Neues Application Guard-Fenster“. Es öffnet sich eine neues, durch MDAG geschütztes Edge-Fenster. Sie erkennen den MDAG-Modus an einem Schutzschildsymbol oben links im Browserfenster sowie im Edge-Icon unten in der Taskleiste.

Chrome und Firefox: Wer einen dieser beiden Browser nutzt, kann sich eine Erweiterung für den MDAG-Schutz installieren. Damit erhalten Sie ein Icon in der Browserleiste, über das Sie den MDAG-geschützten Browser Edge starten können. Zunächst benötigen Sie aber das Tool „Microsoft Defender Application Guard Companion“ aus dem Windows-Store. Starten Sie dafür über „Windows-Logo –› Microsoft Store“ den Store für Windows-10-Apps. Dort suchen und laden Sie das Tool. Nun installieren Sie die entsprechende Erweiterung für Chrome oder Firefox .

Wer mit Chrome oder Firefox surft, kann sich dieses Tool aus dem Microsoft-Store sowie eine Erweiterung für seinen Browser laden. Dann lässt sich der MDAG-geschützte Edge auch aus Chrome und Firefox heraus starten.
Vergrößern Wer mit Chrome oder Firefox surft, kann sich dieses Tool aus dem Microsoft-Store sowie eine Erweiterung für seinen Browser laden. Dann lässt sich der MDAG-geschützte Edge auch aus Chrome und Firefox heraus starten.

Konfiguration des MDAG: Standardmäßig ist in der MDAG-Sitzung von Edge weder die Zwischenablage noch die Druckfunktion aktiviert. Auch weitere Optionen, etwa der Zugriff auf das Mikrofon und die Kamera, sind deaktiviert. Wir halten diese strengen Einstellungen für äußerst sinnvoll. Dennoch bietet Microsoft die Möglichkeit, diese Einstellungen per Gruppenrichtlinien aufzuweichen. Wenn Sie etwa Webadressen per Copy & Paste in den geschützten Browser kopieren möchten, gehen Sie so vor: 

Starten Sie zunächst den Gruppenrichtlinieneditor über die Tastenkombination Windows-R und geben gpedit.msc in die Öffnen-Leiste ein. Gehen Sie zu „Richtlinien für Lokaler Computer –› Computerkonfiguration –› Administrative Vorlagen –› Windows Komponenten –› Microsoft Defender Application Guard“. Darunter finden Sie Optionen für den Guard, etwa „Zwischenablageeinstellungen für den Microsoft Defender Application Guard konfigurieren“. Eine empfehlenswerte Einstellung ist „Zwischenablagevorgänge von einem Host zur isolierten Sitzung aktivieren“.

Über die Einstellung „Datenpersistenz für Microsoft Defender Application Guard zulassen“ bleiben Favoriten oder Cookies nach dem Schließen des geschützten Browser Edge erhalten. Aber die Datenpersistenz kann auch von feindlichem Code genutzt werden, der sich unter Umständen so im geschützten Edge festsetzen kann.

Wenn Sie den Microsoft Defender Application Guard nutzen, um damit den Browser Edge in einer sicheren Sandbox zu starten, können Sie die Sicherheitseinstellungen per Gruppenrichtlinie ändern.
Vergrößern Wenn Sie den Microsoft Defender Application Guard nutzen, um damit den Browser Edge in einer sicheren Sandbox zu starten, können Sie die Sicherheitseinstellungen per Gruppenrichtlinie ändern.

Virtuelles Defender-Schutzschild auch für Microsoft Office

Microsoft hat den Defender Application Guard auch für Microsoft Office adaptiert, allerdings bislang nur für Geschäftskunden. Voraussetzungen für die Nutzung des Application Guard für Office sind Windows 10 Enterprise und ein Microsoft-365-Enterprise-Abonnement, etwa Microsoft 365 E5.

Mit dem Application Guard für Office lassen sich Word oder Excel in einer durch MDAG geschützten Umgebung starten. Das empfiehlt sich für alle Dokumente aus zweifelhaften Quellen und potenziell unsicheren Speicherorten. Office öffnet diese Dateien einem sicheren Container, der durch hardwarebasierte Virtualisierung von den restlichen Daten isoliert ist. Wenn das Dokument virenverseucht ist, bleiben alle Änderungen in der geschützten Anwendung und verschwinden nach ihrem Beenden.

Windows Sandbox: Sichere und schnelle Testumgebung

Wenn Sie eine EXE-, PDF- oder anderen Datei aus zweifelhafter Quelle haben, dann können Sie diese Datei in der geschützten Sandbox von Windows starten. Alle Änderungen, die die Datei vornimmt, bleiben in dieser Sandbox. Und nach dem Beenden der Sandbox sind die Änderungen komplett verschwunden. Die neue Windows Sandbox hat gegenüber einem System in einem Virtualisierungsprogramm wie Virtualbox oder Hyper-V einen großen Vorteil: Der Speicherplatzbedarf ist deutlich geringer, denn die Sandbox nutzt etliche Dateien des installierten Windows. So sind statt ein paar GB nur ein paar hundert MB für das Windows 10 in der Sandbox fällig.

So installieren Sie die Sandbox: Starten Sie „Windows-Logo –› Windows-System –› Systemsteuerung“ und wählen dann „Programme –› Windows-Features aktivieren oder deaktivieren“. Im folgenden Fenster setzen Sie einen Haken vor „Windows Sandbox“ und bestätigen mit „OK“. Anschließend muss der Rechner meist neu gestartet werden. Bitte beachten Sie die Hard- und Software-Voraussetzungen für diese Funktion (siehe Kasten oben).

Die Windows Sandbox bietet einen virtuellen PC, in dem Sie gefahrlos Webseiten besuchen und Software ausprobieren können. Nach dem Beenden der Sandbox sind alle Änderungen darin verschwunden.
Vergrößern Die Windows Sandbox bietet einen virtuellen PC, in dem Sie gefahrlos Webseiten besuchen und Software ausprobieren können. Nach dem Beenden der Sandbox sind alle Änderungen darin verschwunden.

Windows Sandbox nutzen: Starten Sie die Sandbox über „Windows-Logo –› Windows Sandbox“. Je nach Rechnerausstattung dauert das ein paar Sekunden. Copy und Paste zwischen der Sandbox und Ihrem Hostsystem ist aktiviert. Sie können also von Ihrem eigentlichen System eine verdächtige Datei kopieren und in die Sandbox per Strg-V oder per rechter Maustaste einfügen. Sie können auch Software in der Sandbox installieren und testen. Verlangt diese allerdings einen Windows-Neustart, scheitert die Installation, da nach dem Neustart alle Änderungen verschwunden sind.

Konfiguration der Sandbox: Es gibt nur wenige Einstellmöglichkeiten für die Windows Sandbox. Allesamt müssen Sie über eine Konfigurationsdatei vornehmen. Die Sandbox-Konfigurationsdatei ist als XML formatiert und über die Dateierweiterung „WSB“ der Sandbox zugeordnet. Über die Datei bietet Ihnen Microsoft die Möglichkeit, einige Standardvorgaben wie den virtualisierten Grafikprozessor abgestimmt auf Ihre Wünsche zu aktivieren oder zu deaktivieren. Die interessanteste Option für die Sandbox ist ein geteilter Ordner, über den Sie Dateien zwischen dem Host und der Sandbox austauschen. Eine englischsprachige Erklärung der Konfigurationsdatei finden Sie hier . Microsoft hat mittlerweile auch eine Anleitung zum Erstellen der Konfigurationsdatei in deutscher Sprache unter dieser Adresse bereitgestellt.

Exploit-Schutz: Spezialfunktionen für einzelne Anwendungen

Der „Exploit-Schutz“ in Windows 10 kann einzelne Anwendungen vor typischen Angriffen durch Malware schützen. Allerdings laufen dann einige Programme nicht mehr ganz zuverlässig.
Vergrößern Der „Exploit-Schutz“ in Windows 10 kann einzelne Anwendungen vor typischen Angriffen durch Malware schützen. Allerdings laufen dann einige Programme nicht mehr ganz zuverlässig.

Früher war das Tool Emet bei fortgeschrittenen Anwendern beliebt. Durch seine Installation wurden typische Einfallstore für Schadcode geschlossen . Microsoft hat das Tool Emet eingestellt und die meisten seiner Funktionen wurden in Windows 10 übernommen. Sie finden diesen Spezialschutz unter „Windows-Logo –› Windows-Sicherheit –› App & Browsersteuerung –› Exploit-Schutz –› Einstellungen für Exploit-Schutz“. Die wichtigsten Einstellungen erklärt zu Emet finden Sie hier .

Für wen sich der Exploit-Schutz eignet: Wenn Sie ein Tool vom Exploit-Schutz abschirmen lassen, dann behandelt Windows sowohl den Programmcode des Tools als auch alle Daten, die das Tool bearbeitet, auf besondere Weise. Das soll die typischen Angriffe von Schadcode, etwa per Buffer Overflow, verhindern. Doch gleichzeitig führt das bei einigen der so geschützten Programme zu Programmabstürzen. Es ist also nicht sinnvoll, jedes Programm in den Exploit-Schutz aufzunehmen. Eigentlich ist es die Aufgabe der Toolprogrammierer, die Funktionen des Exploit-Schutzes für sich zu reklamieren. Sie selber sollten aber dann ein Tool in den Exploit-Schutz aufnehmen, wenn dieses nicht mehr weiterentwickelt wird. Oder wenn es sich um ein Programm handelt, mit dem Sie Dateien aus unsicheren Quellen öffnen müssen.

Ein Programm in den Exploit-Schutz aufnehmen: Gehen Sie zu „Windows-Logo –› Windows-Sicherheit –› App & Browsersteuerung –› Exploit-Schutz –› Einstellungen für Exploit-Schutz“, und nehmen Sie ein Tool über „Programmeinstellungen –› Programm zum Anpassen hinzufügen“ in den Schutz mit auf. Es öffnet sich eine Liste mit den Optionen des Exploit-Schutzes. Allesamt sind noch deaktiviert. Wir empfehlen, nur die Optionen zu aktivieren, die bereits grundsätzlich auf „Ein“ eingestellt sind. Sie erkennen das am Schalter unter der jeweiligen Option, die zunächst noch ausgegraut ist. Aktivieren Sie diese Optionen, indem Sie den Haken vor die Option setzen. Die Punkte, die mit „Aus“ voreingestellt sind, sollten nur von fortgeschrittenen Anwendern aktiviert werden, denn damit kann man ein Tool schnell zum Absturz bringen.

Die Software Malwarebytes Anti-Exploit schirmt Programme ab, die besonders häufig von Viren angegriffen werden. Dazu zählen etwa die gängigen Internetbrowser, der Adobe Reader, Java und viele andere.
Vergrößern Die Software Malwarebytes Anti-Exploit schirmt Programme ab, die besonders häufig von Viren angegriffen werden. Dazu zählen etwa die gängigen Internetbrowser, der Adobe Reader, Java und viele andere.

Tipp: Wer es einfacher mag, nutzt statt des Exploit-Schutzes von Windows das Tool Malwarebytes Anti-Exploit. Es ist in Malwarebytes for Windows für Windows enthalten und als ältere Gratis-Versionen noch über Google zu finden. Die Software schirmt ohne eigene Konfiguration Programme ab, die häufig von Viren angegriffen werden. Dazu zählen etwa Firefox, Chrome und Opera, aber auch der Adobe Reader, Java und MS Office. Das Tool soll Viren daran hindern, Sicherheitslücken in den Programmen auszunutzen.

Lesetipp: Home-Office im virtuellen PC - Beruf & Privatleben trennen

PC-WELT Marktplatz

2435709