Video-Tipp: WDAG

Sicherer Browser mit Windows Defender Application Guard

| Autor / Redakteur: Thomas Joos / Peter Schmitz

Windows Defender Application Guard (WDAG) ermöglicht sicheres Webbrowsen in Windows 10 mit Microsoft Edge oder Google Chrome.
Windows Defender Application Guard (WDAG) ermöglicht sicheres Webbrowsen in Windows 10 mit Microsoft Edge oder Google Chrome. (© cutimage - stock.adobe.com)

Mit der neuen Sicherheitsfunktion „Windows Defender Application Guard“ (WDAG) in Windows 10 lassen sich in Microsoft Edge Browsersitzungen isolieren und sicherer betreiben. Der Einsatz im Unternehmen ist auf jeden Fall überlegenswert. Wie sich der Edge-Browser mit Hyper-V für mehr Sicherheit isolieren lässt, zeigen wir in diesem Video-Tipp!

Windows Defender Application Guard (WDAG) soll Windows 10 und die auf Rechnern gespeicherten Dokumente besser vor Angriffen aus dem Internet schützen. Einfach ausgedrückt kann WDAG Sitzungen in Microsoft Edge auf Basis von Hyper-V vom Rest des Betriebssystems isolieren. Die Lösung ist für Unternehmen gedacht und daher nur in den Versionen Pro, Education und Enterprise verfügbar. Standardmäßig ist WDAG nicht installiert, erst wenn die notwendigen Features auf einem Rechner nachinstalliert sind, kann WDAG genutzt werden.

Wie sich der Edge-Browser (und irgendwie auch Google Chrome) mit Windows Defender Application Guard (WDAG) für mehr Sicherheit isolieren lässt, zeigen wir hier im Video-Tipp und in der Bildergalerie.

In Windows 10 Pro und Education kann WDAG nur im Modus „Eigenständig“ betrieben werden. Windows 10 Enterprise unterstützt den Modus „Unternehmensverwaltet“. Hier lassen sich zentrale Einstellungen vorgeben, zum Beispiel Domänen, auf denen Microsoft Edge automatisch die WDAG-Sitzung aktiviert. Damit WDAG genutzt werden kann, muss auf den PCs mindestens Windows 10 Version 1709, besser Windows 10 Version 1803 und natürlich neuer installiert sein. Der PC muss über mindestens 4 GB Arbeitsspeicher verfügen. Sinnvoll ist der Einsatz von WDAG aber erst ab 8 GB Arbeitsspeicher.

WDAG ist eine Sandbox für Microsoft Edge

WDAG isoliert Browsersitzungen mit Hyper-V vom Rest des Betriebssystems. Die Bedienung ist für Anwender sehr einfach, die Funktion muss in Windows 10 nur installiert werden. Wer im Unternehmen die Sicherheit verbessern will, sollte die Möglichkeiten von WDAG in Betracht ziehen. In Sitzungen, die durch WDAG geschützt werden, lassen sich zum Beispiel keinerlei Daten auf den Rest des Rechners übertragen. Auch Downloads sind generell nicht erlaubt. Viele Einstellungen in diesem Bereich lassen sich auch mit Gruppenrichtlinien umsetzen.

Mehr Sicherheit mit der Windows-Sandbox

Video-Tipp: Windows-Sandbox

Mehr Sicherheit mit der Windows-Sandbox

13.08.19 - Mit Windows 10 Version 1903 führt Microsoft die Windows-Sandbox ein. Mit dieser lassen sich Programme gegen das darunterliegende Betriebssystem abschotten. So kann man bei unbekannten Anwendungen und Dateien verhindern, dass Windows beeinträchtigt wird. In diesem Video-Tipp zeigen wir die Vorgehensweise und Möglichkeiten. lesen

WDAG installieren und einrichten

WDAG wird in Windows 10 über die optionalen Features installiert. Dazu sind auf dem Rechner Windows 10 und Windows Defender Application Guard notwendig. Die Installation erfolgt entweder über das Aufrufen von „optionalfeatures“ im Suchfeld des Startmenüs oder über die PowerShell mit:

Enable-WindowsOptionalFeature -online -FeatureName Windows-Defender-ApplicationGuard

Nach der Installation muss Windows 10 neu gestartet werden. Die Verwaltung von WDAG erfolgt vor allem über Gruppenrichtlinien. Hier kann auch festgelegt werden, welche Netzwerke als Grenze angesehen werden. Dadurch lassen sich auch andere Netzwerke als extern definieren, nicht nur das Internet.

Die entsprechenden Einstellungen dazu sind bei „Computer Configuration\Administrative Templates\Network\Network Isolation“ zu finden. In den Gruppenrichtlinien kann darüber hinaus festgelegt werden, ob die Zwischenablage in WDAD-Sitzungen zur Verfügung stehen soll. Die Einstellungen sind bei „Computer Configuration\Administrative Templates\Windows Components\Windows Defender Application Guard“, beziehungsweise bei „Computerkonfiguration\ Administrative Vorlagen\Windows-Komponenten\Windows Defender Application Guard“ zu finden. Hier kann auch festgelegt werden, ob in WDAG-Sitzungen Dateien heruntergeladen werden dürfen. Ist das der Fall, speichert Microsoft Edge die Dateien automatisch in einem Unterverzeichnis im Download-Verzeichnis. Alle möglichen Einstellungen von WDAG sind auf der Seite „Konfigurieren der Richtlinieneinstellungen für Windows Defender Application Guard“ zu finden.

Natürlich ist es empfehlenswert, dass weder der Zugriff auf die Zwischenablage erlaubt ist, noch das Herunterladen von Dateien. In Windows 10 gibt es für den Einsatz von WDAG das Benutzerkonto „WDAGUtilityAccount“. Dieses sollte nicht verändert werden. Standardmäßig ist das Konto deaktiviert, wird durch die Aktivierung von WDAG aber ebenfalls aktiviert und durch WDAG intern genutzt.

Wie sich der Edge-Browser (und irgendwie auch Google Chrome) mit Windows Defender Application Guard (WDAG) für mehr Sicherheit isolieren lässt, zeigen wir hier im Video-Tipp und in der Bildergalerie.

Mit WDAG arbeiten

Unabhängig davon, ob Anwender manuell eine WDAG-Sitzung starten, oder über Gruppenrichtlinien definiert wird, auf welchen Domänen und IP-Bereichen Microsoft Edge automatisch isolieren soll. Im Browserfenster zu sehen, welche Sitzung isoliert ist. Standardmäßig merkt sich Microsoft Edge keine Daten zwischen den verschiedenen WDAG-Sitzungen.

Wird eine Sitzung geschlossen, werden alle Daten zurückgesetzt. Das lässt sich in den Gruppenrichtlinien­einstellungen des WDAG zwar verhindern, ist aber nicht empfohlen. Auch der Zugriff auf Favoriten ist aus den WDAG-Sitzungen heraus nicht möglich, das gilt auch für die Verwendung von Erweiterungen in Microsoft Edge.

Datenschutz mit Windows 10 Version 1903

Windows Settings für mehr Datensicherheit

Datenschutz mit Windows 10 Version 1903

09.07.19 - Mit Windows 10 Version 1903 bringt Microsoft eine neue Version von Windows 10 und damit auch einige Neuerungen, die auch den Datenschutz betreffen. Wir zeigen wie die Windows-Sandbox funktioniert, welche Erweiterungen der Windows Defender Application Guard von Microsoft spendiert bekommt und welche weiteren Möglichkeiten es in Windows 10 gibt den Datenschutz zu verbessern. lesen

WDAG für Google Chrome

Microsoft stellt mit „Application Guard Extension“ eine Erweiterung für Google Chrome zur Verfügung. Wird in Google Chrome ein Application Guard-Fenster geöffnet, startet automatisch Edge mit der entsprechenden Sitzung. Damit ist zwar nicht Chrome selbst isoliert, aber zumindest können Unternehmen deren primärer Browser Chrome ist, die Sicherheitsfunktion dennoch nutzen. Um Chrome und WDAG zur Zusammenarbeit zu bewegen, ist aus dem Microsoft Store noch die App „Windows Defender Application Guard Companion“ notwendig. Nach der Installation der Erweiterung und der App muss Windows 10 neu gestartet werden. Danach steht Windows Defender Application Guard in Google Chrome zur Verfügung. Öffnet ein Anwender jetzt ein Application Guard-Fenster startet Chrome automatisch ein Microsoft Edge-WDAG-Fenster.

Wie sich der Edge-Browser (und irgendwie auch Google Chrome) mit Windows Defender Application Guard (WDAG) für mehr Sicherheit isolieren lässt, zeigen wir hier im Video-Tipp und in der Bildergalerie.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46101506 / Betriebssystem)