Windows Defender Application Guard (WDAG) installieren & konfigurieren

Symbolbild Stacheldraht
CC0 | Pixabay.com

Der Windows Defender Application Guard (WDAG) öffnet und isoliert gefährliche Websites innerhalb eines Hyper-V-Containers.

Was ist der Windows Defender Application Guard (WDAG)?

Der Windows Defender Application Guard erhöht die Sicherheit beim Internet surfen, da er den Browser in einer isolierten virtuellen Umgebung betreibt. Standardmäßig funktioniert der Windows Defender Application Guard aktuell nur in den Microsoft Browsern Internet Explorer und Edge (auch in der Chrome-Variante). Bei Firefox und Google Chrome muss mit Erweiterungen nachgeholfen werden.

Systemvoraussetzungen

Die Systemvoraussetzungen sind überschaubar, schließen aber die große Zielgruppe der Windows 10 Home Besitzer/Benutzer aus.

  • Windows 10 Pro und Enterprise 64-Bit ab 1803
  • Min. 8 GB RAM
  • CPU mit
    • min. 4 Cores
    • Second Level Address Translation (SLAT)
    • VT-x bei Intel-CPU
    • AMD-V bei AMD-CPU

Quelle: Microsoft.com

Installation

Da der Windows Defender Application Guard bereits im System als Windows Feature integriert ist, muss er nur noch über die Systemsteuerung aktiviert werden.

Systemsteuerung → Programme und Features:

Programme & Features: Windows Feature aktivieren oder deaktivieren

Windows Defender Application Guard aktivieren und OK:
(Grau dargestellt = Systemvoraussetzungen nicht erfüllt!)

Windows-Features: Windows Defender Application Guard

Nach der Aktivierung muss ein Windows Neustart durchgeführt werden:

Windows Feature: Jetzt neu starten

Quelle: Microsoft.com

Konfiguration

Die Konfiguration des Windows Defender Application Guards erfolgt über die lokalen oder domänenweiten Gruppenrichtlinien.

Je nach Sicherheits-Bedarf/Notwendigkeit, können unter Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Defender Application Guard entsprechende Einstellungen gesetzt werden, die teilweise auch erheblich die Benutzerfreundlichkeit mindern:

Gruppenrichtlinien-Einstellungen für den Windows Defender Application Guard

Unter Computerkonfiguration\Administrative Vorlagen\Netzwerk\Netzwerkisolation\In der Cloud gehostete Unternehmensressourcendomänen wird/werden z.B. die lokale/n Domäne/n hinterlegt. Dadurch werden Unternehmenswebsites (Internet & Intranet) im normalem Browserfenster geöffnet. Alle anderen Websites werden nur im isolierten Browserfenster angezeigt. Wenn im normalem Fenster eine Internet-URL aufgerufen wird, öffnet sich die Website automatisch in einem neuen Defender Application Guard geschützten Browserfenster (nicht Browser-Tab).

Netzwerkisolation für den Windows Defender Application Guard konfigurieren

Für die lokale Active Directory Domäne genügt es, die entsprechende Domäne in der Schreibweise .domain.tld einzugeben. In der angezeigten Hilfe wird die Schreibweise für mehrere Einträge beschrieben.

Gruppenrichtlinien-Einstellung: In der Cloud gehostete Unternehmensressourcendomänen

Quelle: Microsoft.com

Verwendung

Im ersten Moment fällt der Windows Defender Application Guard nicht besonders auf. Wurden die zuvor genannten Gruppenrichtlinien nicht gesetzt (oder vom System übernommen) wird wie bisher im normalem (ungeschützten) Modus gesurft. Es kann aber manuell ein geschütztes Fenster geöffnet werden:

Edge (Chrome): Neues Application Guard-Fenster öffnen

Egal ob manuell geöffnet oder über Gruppenrichtlinien konfiguriert, präsentiert sich das isolierte Browser-Fenster relativ unspektakulär. Die Application Guard Browserumgebung wird im Fenster nur über ein neues Menü-Symbol mit etwas Info dargestellt:

Edge (Chrome): Application Guard geschützt

Auffälliger ist es in der Windows Taskleiste (oder auch im Task-Manager), da die Browserumgebungen getrennt dargestellt werden:

nach oben