Microsoft Application Guard für MS-Office Office-Dokumente vor Malware schützen

Autor / Redakteur: Thomas Joos / Peter Schmitz

Application Guard ist eine Technologie in Windows 10, die über Sandbox-Funktionen den Browser und PC vor Malware schützen kann. Microsoft erweitert dessen Funktionen auf Microsoft Office, um Dokumente besser vor Angreifer schützen zu können.

Application Guard schottet Dokumente in einer abgesicherten Office-Umgebung ab, sodass potentieller Schadcode nicht ausgeführt werden kann und die Umgebung nicht verlassen kann.
Application Guard schottet Dokumente in einer abgesicherten Office-Umgebung ab, sodass potentieller Schadcode nicht ausgeführt werden kann und die Umgebung nicht verlassen kann.
(© Africa Studio - stock.adobe.com)

Bisher hat Microsoft die Sicherheitstechnologie Defender Application Guard in Windows 10 nur für den Browser Microsoft Edge zur Verfügung gestellt. Es gibt zwar auch eine Erweiterung für Google Chrome und Microsoft Firefox, aber noch keine Unterstützung für Anwendungen außerhalb des Browsers.

Wir haben die Funktion bereits im Beitrag „Sicherer Browser mit Windows Defender Application Guard“ ausführlich besprochen. In dem Beitrag zeigen wir auch die Einrichtung und Verwendung von Defender Application Guard in einem Video.

Vorteile beim Einsatz von Application Guard für Microsoft Office

Wenn Application Guard für Microsoft Office auf einem Rechner mit Windows 10 Enterprise im Einsatz ist, können Anwendern Office-Dokumente, die aus dem Internet zugesendet werden, ohne weitere Umwege bearbeiten und nutzen, ohne Einstellungen zu ändern.

Application Guard schottet das Dokument ab, sodass potentieller Schadcode nicht ausgeführt werden kann und nicht die abgesicherte Office-Umgebung mit dem Dokument verlassen kann. Application Guard schottet das Dokument vom Host-Betriebssystem ab, das gilt aber auch für das Dateisystem. Die Bearbeitung ist also etwas unbequem.

Auch ohne Application Guard schützen Office-Programme die Rechner vor Malware. Dazu wird „Protected View“ genutzt. Allerdings ist es in diesem Fall nicht möglich geschützt Dokumente zu bearbeiten. Application Guard öffnet Dokumente in einer isolierten Umgebung, in der auch das Bearbeiten sofort möglich ist. Während der Bearbeitung ist der PC weiter durch Application Guard geschützt. Anwender können Dateien sicher lesen, bearbeiten, drucken und speichern, ohne die Dateien außerhalb des Containers erneut öffnen zu müssen. Application Guard verwendet Hyper-V-basierte Container, die auch vor kernelbasierten Angriffen schützen.

Bildergalerie
Bildergalerie mit 8 Bildern

Application Guard für Microsoft Office nutzen: Voraussetzungen

Abonnenten von Microsoft 365 E5 und einer aktuellen Office-Version ab Buildnummer 16.0.13530.10000 können auf Rechnern mit Windows 10 Enterprise ab Version 2004 (20H1) und der Installation des Updates KB4571756 können die Sicherheitsfunktion nutzen.

Der Computer muss auch hier die gleichen Voraussetzungen erfüllen, wie beim Einsatz von Defender Application Guard für Microsoft Edge. Die Virtualisierungsfunktionen der CPU müssen aktiv sein, auf virtuellen Computern ist die Einrichtung über Umwege möglich. Parallel dazu werden die Dokumente mit Microsoft Defender auf Malware untersucht.

Zusätzlich können Administratoren Application Guard-Einstellungen für bestimmte Dateitypen konfigurieren. Das ermöglicht einen spezifischen Schutz für verschiedene Dateitypen, zum Beispiel für Outlook-Anhänge, textbasierte Dateien (.csv, .dif, .sylk), Datenbankdateien (.dbf) oder Dateien, die aus dem Internet stammen. Auch Dateien, die potenziell unsicheren Orten gespeichert sind, lassen sich dadurch schützen.

Installieren und Einrichten von Microsoft Defender Application Guard

Wie die Funktion in Windows 10 Enterprise installiert wird, zeigen wir in dem oben verlinkten Beitrag. Neben der Möglichkeit das optionale Windows-Feature über „optionalfeatures.exe“ zu installieren, kann die Installation auch in der PowerShell installiert werden:

Enable-WindowsOptionalFeature -online -FeatureName Windows-Defender-ApplicationGuard

Beim Einsatz in professionellen Umgebungen kann Application Guard auch über lokale Richtlinien oder über Gruppenrichtlinien konfiguriert werden. Die Einstellungen befinden sich auf englischen Computern im Pfad: Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application Guard

Auf deutschen Computern sind die Einstellungen in folgendem Pfad zu finden: Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Microsoft Defender Application Guard<

Für die Konfiguration ist die Einstellung „Microsoft Defender Application Guard im verwalteten Modus aktivieren“ zuständig. Um auch Microsoft Office mit Application Guard zu schützen, wird die Richtlinie aktiviert und der Wert auf 2 oder 3 gesetzt.

Wird auf dem Rechner jetzt ein Office-Programm geöffnet und ein Dokument aus dem Internet geöffnet, meldet Office bereits beim Starten „Um Sie zu schützen, öffnen wir dieses Dokument in Application Guard“. Nach dem Start ist im Menüband oben rechts außerdem eine entsprechende Meldung zu sehen.

Parallel dazu werden von Application Guard auch die anderen Richtlinieneinstellungen genutzt, die in diesem Pfad zu finden sind.

(ID:47563694)

Über den Autor

 Thomas Joos

Thomas Joos

Freiberuflicher Autor und Journalist