Schritt-für-Schritt-Anleitung zur Verwendung von Microsoft Defender Application Guard

Wenn Sie täglich mit sensiblen Daten arbeiten oder verdächtige Webseiten besuchen, Microsoft Defender Application Guard (MDAG) Es ist eine jener Windows-Funktionen, die den entscheidenden Unterschied zwischen einer harmlosen Bedrohung und einer Katastrophe ausmachen können. Es handelt sich nicht einfach nur um ein weiteres Antivirenprogramm, sondern um eine zusätzliche Schutzebene, die Bedrohungen von Ihrem System und Ihren Daten fernhält.

In den folgenden Zeilen werden Sie deutlich sehen. Was genau ist Application Guard, wie funktioniert es intern, auf welchen Geräten kann man es verwenden und wie konfiguriert man es? Wir behandeln sowohl einfache als auch unternehmensweite Implementierungen. Außerdem gehen wir auf Anforderungen, Gruppenrichtlinien, häufige Fehler und verschiedene häufig gestellte Fragen ein, die beim Einstieg in diese Technologie auftreten.

Was ist Microsoft Defender Application Guard und wie funktioniert es?

Microsoft Defender Application Guard ist eine fortschrittliche Sicherheitsfunktion, die entwickelt wurde, um Isolieren Sie nicht vertrauenswürdige Websites und Dokumente in einem virtuellen Container. Basierend auf Hyper-V. Anstatt jeden Angriff einzeln zu blockieren, erstellt es einen kleinen „Einwegcomputer“, auf dem das verdächtige Material abgelegt wird.

Dieser Container läuft in einem getrennt vom HauptbetriebssystemMit einer eigenen, gehärteten Windows-Instanz und ohne direkten Zugriff auf Dateien, Anmeldeinformationen oder interne Unternehmensressourcen. Selbst wenn es einer bösartigen Website gelingt, eine Browser- oder Office-Schwachstelle auszunutzen, bleibt der Schaden auf diese isolierte Umgebung beschränkt.

Im Fall von Microsoft Edge stellt Application Guard sicher, dass Jede Domain, die nicht als vertrauenswürdig gekennzeichnet ist. Es öffnet sich automatisch in diesem Container. Bei Office verhält es sich genauso mit Word-, Excel- und PowerPoint-Dokumenten, die aus Quellen stammen, die die Organisation als nicht sicher einstuft.

Entscheidend ist, dass es sich bei dieser Isolation um eine Hardware-Isolation handelt: Hyper-V schafft eine unabhängige Umgebung vom Host, wodurch die Möglichkeit, dass ein Angreifer von der isolierten Sitzung auf das reale System gelangt, Unternehmensdaten stiehlt oder gespeicherte Anmeldeinformationen ausnutzt, drastisch reduziert wird.

Des Weiteren wird der Container als anonyme Umgebung behandelt: Es übernimmt weder Cookies, Passwörter noch Sitzungen des Benutzers.Dies erschwert Angreifern, die auf Spoofing- oder Session-Diebstahl-Techniken angewiesen sind, das Leben erheblich.

Empfohlene Gerätetypen für die Verwendung von Application Guard

Obwohl Application Guard technisch in verschiedenen Szenarien ausgeführt werden kann, ist es speziell für folgende Zwecke konzipiert: Unternehmensumgebungen und verwaltete GeräteMicrosoft unterscheidet verschiedene Gerätetypen, bei denen MDAG am sinnvollsten ist.

Da sind zunächst einmal die Domäneneingebundener Unternehmens-DesktopDiese Geräte werden typischerweise mit dem Configuration Manager oder Intune verwaltet. Es handelt sich um herkömmliche Bürocomputer mit Standardbenutzern, die an das kabelgebundene Unternehmensnetzwerk angeschlossen sind. Das Risiko entsteht hauptsächlich durch das tägliche Surfen im Internet.

Dann haben wir das FirmenlaptopsAuch diese Geräte sind in eine Domäne eingebunden und werden zentral verwaltet, verbinden sich aber mit internen oder externen WLAN-Netzwerken. Hier steigt das Risiko, da das Gerät das kontrollierte Netzwerk verlässt und in Hotels, Flughäfen oder Heimnetzwerken WLAN-Netzen ausgesetzt ist.

Eine weitere Gruppe bilden BYOD-Laptops (Bring Your Own Device). Persönliche Ausrüstung, die nicht dem Unternehmen gehört, aber verwaltet wird durch Lösungen wie Intune. Sie befinden sich üblicherweise in den Händen von Benutzern mit lokalen Administratorrechten, was die Angriffsfläche vergrößert und die Nutzung von Isolation für den Zugriff auf Unternehmensressourcen attraktiver macht.

Schließlich gibt es die völlig unkontrollierte persönliche GeräteHierbei handelt es sich um Websites, die keiner Domain angehören und über die der Nutzer die volle Kontrolle hat. In diesen Fällen kann Application Guard im Standalone-Modus (insbesondere für Edge) verwendet werden, um beim Besuch potenziell gefährlicher Websites eine zusätzliche Schutzebene zu bieten.

Erforderliche Windows-Editionen und Lizenzen

Bevor Sie mit der Konfiguration beginnen, ist es wichtig, sich darüber im Klaren zu sein. In welchen Windows-Editionen kann Microsoft Defender Application Guard verwendet werden? und mit welchen Lizenzrechten.

Für Edge-Standalone-Modus (d. h. die Verwendung von Application Guard lediglich als Browser-Sandbox ohne erweiterte Unternehmensverwaltung) wird unter Windows unterstützt:

• Windows Pro
• Windows Enterprise
• Windows Pro Education / SE
• Windows-Bildung

In diesem Szenario werden MDAG-Lizenzrechte gewährt, wenn Sie über Lizenzen wie die folgenden verfügen: Windows Pro / Pro Education / SE, Windows Enterprise E3 oder E5 und Windows Education A3 oder A5In der Praxis lässt sich die Funktion auf vielen professionellen PCs mit Windows Pro bereits für den grundlegenden Gebrauch aktivieren.

Für Edge-Enterprise-Modus und Unternehmensverwaltung (wo erweiterte Richtlinien und komplexere Szenarien zum Tragen kommen), wird die Unterstützung reduziert:

• Windows Enterprise y Windows-Bildung Application Guard wird in diesem Modus unterstützt.
• Windows Pro und Windows Pro Education/SE nicht Sie bieten Unterstützung für diese Enterprise-Variante.

Bezüglich der Lizenzen erfordert diese fortgeschrittenere Nutzung im Unternehmen Folgendes: Windows Enterprise E3/E5 oder Windows Education A3/A5Wenn Ihre Organisation ausschließlich mit Pro ohne Enterprise-Abonnements arbeitet, sind Sie auf den eigenständigen Edge-Modus beschränkt.

Systemvoraussetzungen und Kompatibilität

Zusätzlich zur Windows-Edition müssen Sie für einen stabilen Betrieb von Application Guard folgende Voraussetzungen erfüllen: eine Reihe technischer Anforderungen bezogen auf Version, Hardware und Virtualisierungsunterstützung.

Bezüglich des Betriebssystems ist die Verwendung zwingend erforderlich. Windows 10 1809 oder höher (Oktober 2018 Update) oder einer gleichwertigen Version von Windows 11. Es ist nicht für Server-SKUs oder stark abgespeckte Varianten gedacht; es richtet sich eindeutig an Client-Computer.

Auf Hardwareebene muss die Ausrüstung Folgendes aufweisen: Hardwarebasierte Virtualisierung aktiviert (Intel VT-x/AMD-V-Unterstützung und Adressübersetzung zweiter Ebene, wie z. B. SLAT), da Hyper-V die Schlüsselkomponente für die Erstellung des isolierten Containers ist. Ohne diese Schicht kann MDAG seine sichere Umgebung nicht einrichten.

Es ist außerdem unerlässlich, kompatible Verabreichungsmechanismen Wenn Sie es zentral nutzen möchten (z. B. mit Microsoft Intune oder Configuration Manager), wie in den Anforderungen an Unternehmenssoftware beschrieben, genügt für einfache Bereitstellungen die Windows-Sicherheitsschnittstelle selbst.

Beachten Sie das schließlich Application Guard wird demnächst eingestellt. Für Microsoft Edge for Business gilt, dass bestimmte APIs, die mit eigenständigen Anwendungen verknüpft sind, nicht mehr aktualisiert werden. Dennoch ist es in Umgebungen, in denen eine kurz- und mittelfristige Risikobegrenzung erforderlich ist, weiterhin weit verbreitet.

Anwendungsfall: Sicherheit versus Produktivität

Eines der klassischen Probleme der Cybersicherheit besteht darin, das richtige Gleichgewicht zu finden zwischen Um den Nutzer wirklich zu schützen, nicht um ihn zu blockierenWenn man nur eine Handvoll „auserwählter“ Websites zulässt, reduziert man zwar das Risiko, aber die Produktivität leidet darunter. Lockert man die Beschränkungen, schnellt das Risiko in die Höhe.

Der Browser ist einer der Hauptangriffsflächen Der Zweck dieser Aufgabe besteht darin, nicht vertrauenswürdige Inhalte aus verschiedensten Quellen zu öffnen: unbekannte Websites, Downloads, Skripte von Drittanbietern, aggressive Werbung usw. Egal wie sehr man die Engine verbessert, es wird immer neue Sicherheitslücken geben, die jemand auszunutzen versuchen wird.

In diesem Modell definiert der Administrator genau, welche Domänen, IP-Bereiche und Cloud-Ressourcen er als vertrauenswürdig einstuft. Alles, was nicht auf dieser Liste steht, landet automatisch im Container.Dort kann der Benutzer surfen, ohne befürchten zu müssen, dass ein Browserausfall die übrigen internen Systeme gefährdet.

Das Ergebnis ist eine relativ flexible Navigation für den Mitarbeiter, aber mit einer stark bewachte Grenze zwischen einer unzuverlässigen Außenwelt und einem Unternehmensumfeld, das um jeden Preis geschützt werden muss.

Aktuelle Funktionen und Aktualisierungen von Application Guard in Microsoft Edge

Im Laufe der verschiedenen Versionen von Microsoft Edge, die auf Chromium basieren, hat Microsoft hinzugefügt Spezifische Verbesserungen für Application Guard mit dem Ziel, das Benutzererlebnis zu verbessern und dem Administrator mehr Kontrolle zu geben.

Eine der wichtigsten Neuerungen ist die Blockieren von Datei-Uploads aus dem ContainerSeit Edge 96 können Unternehmen mithilfe der Richtlinie verhindern, dass Benutzer Dokumente von ihrem lokalen Gerät in ein Formular oder einen Webdienst innerhalb einer isolierten Sitzung hochladen. ApplicationGuardUploadBlockingEnabledDadurch wird das Risiko von Informationslecks verringert.

Eine weitere sehr nützliche Verbesserung ist die PassivmodusVerfügbar seit Edge 94. Wenn durch die Richtlinie aktiviert. ApplicationGuardPassiveModeEnabledApplication Guard deaktiviert die Website-Liste und ermöglicht dem Benutzer das normale Surfen in Edge, obwohl die Funktion weiterhin installiert ist. So ist die Technologie praktischerweise einsatzbereit, ohne den Datenverkehr umzuleiten.

Hinzu kam die Möglichkeit, Host-Favoriten mit dem Container synchronisierenDies war ein Wunsch vieler Kunden, um zwei völlig voneinander getrennte Browsererlebnisse zu vermeiden. Seit Edge 91 gilt diese Richtlinie. ApplicationGuardFavoritesSyncEnabled Es ermöglicht, dass neue Marker innerhalb der isolierten Umgebung gleichermaßen auftreten.

Im Netzwerkbereich bot Edge 91 Unterstützung für Kennzeichnen Sie den Verkehr, der den Container verlässt dank der Richtlinie ApplicationGuardTrafficIdentificationEnabledDies ermöglicht es Unternehmen, diesen Datenverkehr über einen Proxy zu identifizieren und zu filtern, beispielsweise um den Zugriff auf eine sehr kleine Anzahl von Websites beim Surfen über MDAG einzuschränken.

Dual-Proxy, Erweiterungen und andere fortgeschrittene Szenarien

Einige Organisationen verwenden Application Guard in komplexeren Bereitstellungen, in denen sie benötigen Den Containerverkehr genau überwachen und die Fähigkeiten des Browsers innerhalb dieser isolierten Umgebung.

Für diese Fälle bietet Edge Unterstützung für Doppel-Proxy Ab der stabilen Version 84 ist dies über die Direktive konfigurierbar. ApplicationGuardContainerProxyDie Idee dahinter ist, dass der vom Container ausgehende Datenverkehr über einen speziellen Proxy geleitet wird, der sich von dem des Hosts unterscheidet. Dadurch lassen sich unabhängige Regeln leichter anwenden und strengere Kontrollen durchführen.

Ein weiterer wiederkehrender Kundenwunsch war die Möglichkeit von Erweiterungen innerhalb des Containers verwendenSeit Edge 81 ist dies möglich, sodass Werbeblocker, interne Unternehmenserweiterungen oder andere Tools ausgeführt werden können, solange sie den definierten Richtlinien entsprechen. Es ist notwendig, dies zu deklarieren. updateURL der Erweiterung in den Netzwerkisolationsrichtlinien, sodass es als neutrale Ressource betrachtet wird, auf die Application Guard zugreifen kann.

Zu den akzeptierten Szenarien gehören die erzwungene Installation von Erweiterungen auf dem Host Diese Erweiterungen erscheinen dann im Container, wodurch bestimmte Erweiterungen entfernt oder andere, die aus Sicherheitsgründen als unerwünscht gelten, blockiert werden können. Dies gilt jedoch nicht für Erweiterungen, die auf nativen Komponenten zur Nachrichtenverarbeitung basieren. Sie sind nicht kompatibel innerhalb von MDAG.

Um Konfigurations- oder Verhaltensprobleme zu diagnostizieren, spezifische Diagnoseseite en edge://application-guard-internalsVon dort aus können Sie unter anderem überprüfen, ob eine bestimmte URL gemäß den für den Benutzer tatsächlich geltenden Richtlinien als vertrauenswürdig eingestuft wird oder nicht.

Abschließend noch zu den Updates: Der neue Microsoft Edge wird Es aktualisiert sich auch selbst innerhalb des Containers.Es verwendet denselben Kanal und dieselbe Version wie der Host-Browser. Es ist nicht mehr vom Update-Zyklus des Betriebssystems abhängig, wie es bei der Legacy-Version von Edge der Fall war, was die Wartung erheblich vereinfacht.

So aktivieren Sie Microsoft Defender Application Guard in Windows

Wenn Sie es auf einem kompatiblen Gerät ausführen möchten, ist der erste Schritt folgender: Windows-Funktion aktivieren entsprechend. Der Prozess ist im Grunde genommen recht einfach.

Am schnellsten geht es, indem man das Dialogfeld „Ausführen“ öffnet mit Win + R, schreiben appwiz.cpl Drücken Sie die Eingabetaste, um direkt zum Fenster „Programme und Funktionen“ zu gelangen. Dort finden Sie auf der linken Seite den Link „Windows-Funktionen aktivieren oder deaktivieren“.

In der Liste der verfügbaren Komponenten müssen Sie den entsprechenden Eintrag finden. „Microsoft Defender Application Guard“ und wählen Sie es aus. Nach der Bestätigung lädt Windows die erforderlichen Binärdateien herunter bzw. aktiviert sie und fordert Sie auf, Ihren Computer neu zu starten, um die Änderungen anzuwenden.

Nach dem Neustart sollten Sie auf kompatiblen Geräten mit den korrekten Versionen von Edge Folgendes tun können: Neue Fenster oder isolierte Tabs öffnen entweder über Browseroptionen oder, in verwalteten Umgebungen, automatisch gemäß der Konfiguration der Liste nicht vertrauenswürdiger Websites.

Wenn Optionen wie „Neues Application Guard-Fenster“ nicht angezeigt werden oder sich der Container nicht öffnet, ist es möglich, dass Die Anweisungen, denen Sie folgen, sind möglicherweise veraltet.Dies könnte daran liegen, dass Ihre Windows-Edition nicht unterstützt wird, Hyper-V nicht aktiviert ist oder die Richtlinien Ihrer Organisation diese Funktion deaktiviert haben.

Konfiguration von Application Guard mit Gruppenrichtlinien

In Geschäftsumgebungen wird jedes Gerät nicht manuell konfiguriert; stattdessen wird ein vordefiniertes System verwendet. Gruppenrichtlinie (GPO) oder Konfigurationsprofile in Intune, um Richtlinien zentral zu definieren. Application Guard basiert auf zwei Hauptkonfigurationsblöcken: Netzwerkisolation und anwendungsspezifischen Parametern.

Die Einstellungen zur Netzwerkisolierung befinden sich in Computer Configuration\Administrative Templates\Network\Network IsolationHier werden beispielsweise folgende Begriffe definiert: Interne Netzwerkbereiche und Domänen, die als Unternehmensdomänen betrachtet werdenDies markiert die Grenze zwischen dem, was zuverlässig ist und dem, was in den Müll gehört.

Eine der wichtigsten politischen Maßnahmen ist die folgende: „Private Netzwerkintervalle für Anwendungen“Dieser Abschnitt listet die zum Unternehmensnetzwerk gehörenden IP-Adressbereiche in einer durch Kommas getrennten Liste auf. Endpunkte in diesen Bereichen sind im normalen Edge-Betrieb erreichbar, jedoch nicht über die Application Guard-Umgebung.

Eine weitere wichtige Richtlinie ist die von „Cloud-gehostete Unternehmensressourcendomänen“wobei eine durch das Zeichen getrennte Liste verwendet wird | Um SaaS-Domänen und Cloud-Dienste der Organisation zu kennzeichnen, die als intern behandelt werden sollen. Diese werden auch außerhalb des Containers am Edge gerendert.

Schließlich die Richtlinie von „Bereiche, die als privat und beruflich klassifiziert sind“ Es ermöglicht Ihnen, Domains zu deklarieren, die sowohl für private als auch für geschäftliche Zwecke genutzt werden können. Diese Websites sind je nach Bedarf sowohl über die normale Edge-Umgebung als auch über Application Guard erreichbar.

Verwendung von Platzhaltern in Netzwerkisolationseinstellungen

Um zu vermeiden, dass jede Subdomain einzeln geschrieben werden muss, unterstützen Netzwerkisolationslisten Platzhalterzeichen in DomainnamenDies ermöglicht eine bessere Kontrolle darüber, was als zuverlässig gilt.

Wenn es einfach definiert ist contoso.comDer Browser vertraut nur diesem spezifischen Wert und nicht anderen Domains, die diesen Wert enthalten. Anders ausgedrückt: Er behandelt nur diesen konkreten Wert als zu einem Unternehmen gehörig. die genaue Wurzel und nicht www.contoso.com noch Varianten.

Falls angegeben www.contoso.comso nur dieser spezifische Host werden als vertrauenswürdig eingestuft. Andere Subdomains wie z. B. shop.contoso.com Sie würden außen vor bleiben und könnten im Müllcontainer landen.

Im Format .contoso.com (ein Punkt davor) zeigt an, dass Alle Domains, die auf „contoso.com“ enden, sind vertrauenswürdig.. Hierzu zählen von contoso.com bis www.contoso.com oder sogar Ketten wie spearphishingcontoso.comDaher muss es mit Vorsicht verwendet werden.

Schließlich, wenn es verwendet wird ..contoso.com (Anfangsdoppelpunkt): Alle Hierarchieebenen links von der Domäne gelten als vertrauenswürdig, zum Beispiel shop.contoso.com o us.shop.contoso.com, Aber Die Domain „contoso.com“ ist nicht vertrauenswürdig. An sich ist es eine feinere Art, das zu kontrollieren, was als Unternehmensressource gilt.

Hauptanwendung Guard-spezifische Direktiven

Die zweite wichtige Gruppe von Einstellungen befindet sich in Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application GuardVon hier aus wird das Land regiert. detailliertes Containerverhalten und was der Benutzer darin tun kann oder nicht tun kann.

Eine der relevantesten Richtlinien ist die folgende: „Zwischenablageeinstellungen“Diese Einstellung steuert, ob das Kopieren und Einfügen von Text oder Bildern zwischen Host und Application Guard möglich ist. Im verwalteten Modus können Sie festlegen, ob nur das Kopieren aus dem Container heraus, nur in umgekehrter Richtung oder sogar die Zwischenablage vollständig deaktiviert werden darf.

Ebenso die Richtlinie von „Druckeinstellungen“ Es legt fest, ob und in welchen Formaten Inhalte aus dem Container gedruckt werden können. Sie können das Drucken in PDF, XPS, auf angeschlossenen lokalen Druckern oder vordefinierten Netzwerkdruckern aktivieren oder alle Druckfunktionen innerhalb von MDAG blockieren.

Die Wahl „Beharrlichkeit anerkennen“ Diese Einstellung legt fest, ob Benutzerdaten (heruntergeladene Dateien, Cookies, Favoriten usw.) zwischen Application Guard-Sitzungen beibehalten oder bei jedem Herunterfahren der Umgebung gelöscht werden. Im verwalteten Modus speichert der Container diese Informationen für zukünftige Sitzungen, wenn diese Option aktiviert ist; bei Deaktivierung wird bei jedem Start eine nahezu leere Umgebung bereitgestellt.

Wenn Sie sich später entscheiden, die Speicherung nicht mehr zuzulassen, können Sie das Tool verwenden. wdagtool.exe mit den Parametern cleanup o cleanup RESET_PERSISTENCE_LAYER den Container zurücksetzen und die vom Mitarbeiter erzeugten Informationen verwerfen.

Eine weitere wichtige Richtlinie ist „Aktivieren Sie Application Guard im verwalteten Modus“Dieser Abschnitt legt fest, ob die Funktion für Microsoft Edge, Microsoft Office oder beides gilt. Diese Richtlinie wird nicht wirksam, wenn das Gerät die Voraussetzungen nicht erfüllt oder die Netzwerkisolation konfiguriert ist (außer in bestimmten neueren Windows-Versionen, wo sie für Edge nicht mehr erforderlich ist, wenn bestimmte KB-Updates installiert wurden).

Dateifreigabe, Zertifikate, Kamera und Überwachung

Zusätzlich zu den oben genannten Richtlinien gibt es weitere Vorgaben, die Auswirkungen haben. wie der Container mit dem Hostsystem zusammenhängt und mit den Peripheriegeräten.

Politik „Das Herunterladen von Dateien auf das Host-Betriebssystem zulassen“ Diese Einstellung entscheidet, ob der Benutzer Dateien, die aus der isolierten Umgebung heruntergeladen wurden, auf dem Host speichern kann. Ist sie aktiviert, wird eine gemeinsame Ressource zwischen beiden Umgebungen erstellt, die auch bestimmte Uploads vom Host in den Container ermöglicht – sehr nützlich, sollte aber unter Sicherheitsaspekten geprüft werden.

Die Konfiguration von „Hardwarebeschleunigtes Rendering aktivieren“ Aktiviert die GPU-Nutzung über vGPU zur Verbesserung der Grafikleistung, insbesondere bei der Wiedergabe von Videos und rechenintensiven Inhalten. Steht keine kompatible Hardware zur Verfügung, greift Application Guard auf die CPU-basierte Darstellung zurück. Die Aktivierung dieser Option auf Geräten mit unzuverlässigen Treibern kann jedoch das Risiko für den Host erhöhen.

Es gibt auch eine Richtlinie für Zugriff auf Kamera und Mikrofon erlauben innerhalb des Containers. Durch die Aktivierung können unter MDAG ausgeführte Anwendungen diese Geräte nutzen und so Videoanrufe oder Konferenzen aus isolierten Umgebungen ermöglichen. Allerdings öffnet dies auch die Tür für die Umgehung von Standardberechtigungen, falls der Container kompromittiert wird.

Eine weitere Richtlinie erlaubt Application Guard Verwendung spezifischer Host-Root-ZertifizierungsstellenDadurch werden die Zertifikate mit dem angegebenen Fingerabdruck an den Container übertragen. Ist diese Option deaktiviert, erbt der Container diese Zertifikate nicht, was Verbindungen zu bestimmten internen Diensten blockieren kann, wenn diese auf privaten Zertifizierungsstellen basieren.

Endlich die Möglichkeit, „Prüfereignisse zulassen“ Dadurch werden im Container generierte Systemereignisse protokolliert und Geräteüberwachungsrichtlinien übernommen, sodass das Sicherheitsteam anhand der Host-Protokolle nachverfolgen kann, was innerhalb von Application Guard passiert.

Integration mit Support- und Anpassungsframeworks

Wenn in Application Guard ein Fehler auftritt, sieht der Benutzer eine Fehlerdialogfeld Standardmäßig enthält dies lediglich eine Problembeschreibung und eine Schaltfläche, um das Problem über den Feedback-Hub an Microsoft zu melden. Diese Ansicht kann jedoch angepasst werden, um den internen Support zu erleichtern.

In der Route Administrative Templates\Windows Components\Windows Security\Enterprise Customization Es gibt eine Richtlinie, die der Administrator verwenden kann. Kontaktinformationen des Kundendienstes hinzufügenInterne Links oder kurze Anweisungen. So wissen die Mitarbeiter sofort, an wen sie sich wenden oder welche Schritte sie unternehmen müssen, wenn sie den Fehler bemerken.

Häufig gestellte Fragen und häufige Probleme mit Application Guard

Die Verwendung von Application Guard erzeugt eine ganze Reihe von wiederkehrende Fragen in realen Einsatzszenarien, insbesondere im Hinblick auf Leistung, Kompatibilität und Netzwerkverhalten.

Eine der ersten Fragen ist, ob es aktiviert werden kann in Geräte mit nur 4 GB RAMObwohl es Szenarien gibt, in denen das funktionieren könnte, leidet die Leistung in der Praxis meist erheblich, da der Container praktisch ein weiteres, parallel laufendes Betriebssystem ist.

Ein weiterer heikler Punkt ist die Integration mit Netzwerk-Proxys und PAC-SkripteMeldungen wie „Externe URLs können vom MDAG-Browser nicht aufgelöst werden: ERR_CONNECTION_REFUSED“ oder „ERR_NAME_NOT_RESOLVED“ beim Zugriff auf die PAC-Datei deuten in der Regel auf Konfigurationsprobleme zwischen dem Container, dem Proxy und den Isolationsregeln hin.

Es gibt auch Probleme im Zusammenhang mit IMEs (Eingabemethoden-Editoren) werden nicht unterstützt In bestimmten Windows-Versionen verhindern Konflikte mit Festplattenverschlüsselungstreibern oder Gerätesteuerungslösungen, dass der Container vollständig geladen wird.

Manche Administratoren stoßen auf Fehler wie zum Beispiel „ERROR_VIRTUAL_DISK_LIMITATION“ Wenn es Einschränkungen im Zusammenhang mit virtuellen Festplatten gibt oder wenn Technologien wie Hyperthreading nicht deaktiviert werden können, die sich indirekt auf Hyper-V und damit auch auf MDAG auswirken.

Es werden auch Fragen aufgeworfen, wie Nur bestimmten Subdomains vertrauen, bezüglich Beschränkungen der Domainlistengröße oder wie man das Verhalten deaktiviert, bei dem sich die Host-Registerkarte automatisch schließt, wenn man zu einer Website navigiert, die im Container geöffnet wird.

Anwendungsschutz, IE-Modus, Chrome und Office

In Umgebungen, in denen IE-Modus in Microsoft EdgeApplication Guard wird unterstützt, Microsoft rechnet jedoch nicht mit einer breiten Nutzung dieser Funktion in diesem Modus. Es wird empfohlen, den IE-Modus für [spezifische Anwendungen/Anwendungsfälle] zu reservieren. Vertrauenswürdige interne Websites und verwenden Sie MDAG nur für Websites, die als extern und nicht vertrauenswürdig gelten.

Es ist wichtig, dies sicherzustellen alle Websites im IE-Modus konfiguriertDas Netzwerk und die zugehörigen IP-Adressen müssen als vertrauenswürdige Ressourcen in die Netzwerkisolationsrichtlinien aufgenommen werden. Andernfalls kann es bei der Kombination beider Funktionen zu unerwartetem Verhalten kommen.

Bezüglich Chrome fragen sich viele Nutzer, ob es notwendig ist. Installieren Sie eine Application Guard-ErweiterungDie Antwort lautet nein: Die Funktionalität ist nativ in Microsoft Edge integriert, und die alte Chrome-Erweiterung wird bei der Arbeit mit Edge nicht unterstützt.

Für Office-Dokumente ermöglicht Application Guard Folgendes: Öffnen Sie Word-, Excel- und PowerPoint-Dateien in einem isolierten Container. Wenn Dateien als nicht vertrauenswürdig eingestuft werden, wird verhindert, dass schädliche Makros oder andere Angriffsvektoren den Host erreichen. Dieser Schutz kann mit anderen Defender-Funktionen und Dateivertrauensrichtlinien kombiniert werden.

Es gibt sogar eine Gruppenrichtlinienoption, mit der Benutzer bestimmten, in Application Guard geöffneten Dateien „vertrauen“ können, sodass diese als sicher behandelt werden und den Container verlassen. Diese Funktion sollte sorgfältig verwaltet werden, um den Vorteil der Isolation nicht zu verlieren.

Downloads, Zwischenablage, Favoriten und Erweiterungen: Benutzererfahrung

Aus Nutzersicht drehen sich einige der praktischsten Fragen um Folgendes: Was kann innerhalb des Containers getan werden und was nicht?insbesondere bei Downloads, Kopieren/Einfügen und Erweiterungen.

In Windows 10 Enterprise 1803 und späteren Versionen (mit je nach Edition variierenden Unterschieden) ist Folgendes möglich: Erlauben Sie das Herunterladen von Dokumenten vom Container auf den Host. Diese Option war in früheren Versionen oder in bestimmten Versionen wie Pro nicht verfügbar, obwohl es möglich war, in PDF oder XPS zu drucken und das Ergebnis auf dem Hostgerät zu speichern.

Bezüglich des Klemmbretts kann die Unternehmensrichtlinie Folgendes zulassen: Bilder im BMP-Format und Text werden kopiert zum und vom isolierten Umfeld. Wenn Mitarbeiter sich darüber beschweren, dass sie Inhalte nicht kopieren dürfen, müssen diese Richtlinien in der Regel überprüft werden.

Viele Nutzer fragen sich auch warum Sie sehen weder ihre Favoriten noch ihre Erweiterungen. in der Edge-Sitzung unter Application Guard. Dies liegt üblicherweise daran, dass die Lesezeichensynchronisierung deaktiviert oder die Erweiterungsrichtlinie in MDAG nicht aktiviert ist. Sobald diese Optionen angepasst sind, kann der Browser im Container Lesezeichen und bestimmte Erweiterungen übernehmen, jedoch stets mit den zuvor genannten Einschränkungen.

Es gibt sogar Fälle, in denen eine Erweiterung zwar erscheint, aber „nicht funktioniert“. Wenn sie auf nativen Komponenten zur Nachrichtenverarbeitung basiert, steht diese Funktionalität innerhalb des Containers nicht zur Verfügung, und die Erweiterung zeigt ein eingeschränktes oder gar kein funktionsfähiges Verhalten.

Grafikleistung, HDR und Hardwarebeschleunigung

Ein weiteres Thema, das häufig zur Sprache kommt, ist das von Videowiedergabe und erweiterte Funktionen wie HDR innerhalb von Application Guard. Bei der Ausführung auf Hyper-V hat der Container nicht immer direkten Zugriff auf die GPU-Funktionen.

Damit die HDR-Wiedergabe in einer isolierten Umgebung korrekt funktioniert, ist es erforderlich, dass vGPU-Hardwarebeschleunigung ist aktiviert durch die beschleunigte Rendering-Richtlinie. Andernfalls ist das System auf die CPU angewiesen, und bestimmte Optionen wie HDR werden in den Player- oder Website-Einstellungen nicht angezeigt.

Selbst bei aktivierter Grafikbeschleunigung kann Application Guard greifen, wenn die Grafikhardware als nicht ausreichend sicher oder kompatibel eingestuft wird. automatisch zur Softwaredarstellung zurückkehrenwas sich auf die Flüssigkeit und den Akkuverbrauch von Laptops auswirkt.

Bei einigen Implementierungen traten Probleme mit TCP-Fragmentierung und Konflikten mit VPNs, die einfach nicht funktionieren wollen Wenn der Datenverkehr den Container durchläuft, ist es in der Regel notwendig, die Netzwerkrichtlinien, die MTU und die Proxy-Konfiguration zu überprüfen und gegebenenfalls die Integration von MDAG mit anderen bereits installierten Sicherheitskomponenten anzupassen.

Unterstützung, Diagnose und Meldung von Vorfällen

Wenn trotz aller Bemühungen Probleme auftreten, die intern nicht gelöst werden können, empfiehlt Microsoft Folgendes: Ein spezifisches Support-Ticket öffnen Für Microsoft Defender Application Guard. Es ist wichtig, im Vorfeld Informationen von der Diagnoseseite, den zugehörigen Ereignisprotokollen und den Details der auf das Gerät angewendeten Konfiguration zu sammeln.

Die Nutzung der Seite edge://application-guard-internals, kombiniert mit der aktivierte Überwachungsereignisse und die Veröffentlichung von Tools wie wdagtool.exeNormalerweise liefert es dem Support-Team genügend Daten, um die Ursache des Problems zu ermitteln, sei es eine schlecht definierte Richtlinie, ein Konflikt mit einem anderen Sicherheitsprodukt oder eine Hardwarebeschränkung.

Darüber hinaus können Benutzer im Dialogfeld „Technischer Support für Windows-Sicherheit“ Fehlermeldungen und Kontaktinformationen individuell anpassen, was es ihnen erleichtert, die richtige Lösung zu finden. Lassen Sie sich nicht in der Situation gefangen halten, nicht zu wissen, an wen Sie sich wenden sollen. wenn der Container nicht startet oder sich nicht wie erwartet öffnet.

Insgesamt bietet Microsoft Defender Application Guard eine leistungsstarke Kombination aus Hardware-Isolation, detaillierter Richtlinienkontrolle und Diagnosetools, die bei richtiger Anwendung das Risiko beim Besuch nicht vertrauenswürdiger Websites oder beim Öffnen von Dokumenten aus zweifelhaften Quellen deutlich reduzieren können, ohne die tägliche Produktivität zu beeinträchtigen.