Microsoft Defender Application Guard (MDAG)
Info vorab:
Früher wurde der „Microsoft Defender Application Guard“ (MDAG) unter dem Namen „Windows Defender Application Guard“ (WDAG) angeboten. D.h. in älteren Windows-Versionen (insbesondere Windows 10) ist er unter dem alten Namen zu finden.
Mit dem „Microsoft Defender Application Guard“ (kurz: „MDAG“) lassen sich Applikationen in besonders geschützten Umgebungen ausführen (sog. „Sandboxen“). Bekannt wurde dieses Feature durch den alten Edge-Browser, aber auch der aktuelle auf Chromium-basierende (siehe Microsoft Edge – Update) unterstützt dieses besondere Feature.
Der MDAG ist ein integriertes Feature in Windows 10 & 11 und wird über die „Windows-Features“ nachinstalliert. Da ich bereits auf Windows 11 22H2 bin, ist dieser Artikel auf eben dieser Version abgestimmt, funktioniert aber in vorherigen Versionen gleich/ähnlich.
Voraussetzungen
Folgende technische Bedingen müssen erfüllt sein, sodass man den MDAG nachinstallieren und betreiben kann:
- Betriebssystem-Editionen:
- Professional
- Enterprise
- Education
- nicht: Home
- CPU:
- 64-bit
- Second Level Address (kurz „SLAT“)
- Arbeitsspeicher
- mindestens 8GB
Nachinstallation
Im Startmenü nach „Windows-Features“ suchen und als Administrator ausführen. Dann beim Feature „Microsoft Defender Application Guard“ den Haken setzen und auf <OK> klicken. Die Installation verläuft recht flott und danach muss der Rechner neugestartet werden.
Anschließend findet sich im Edge im „Drei-Punkte“-Menü der Eintrag „Neues Application Guard-Fenster“. Wenn man dieses anklickt, wird ein abgeschirmter Edge-Browser gestartet.
Sobald er gestartet ist, erkennt man ihn auch deutlich an dem anderen Erscheinungsbild, sowie in der Taskleiste an dem kleinen Windows-Symbol.







Vor MDAG-Installation

Nach MDAG-Installation

Sicherheitsumfang
Durch die isolierte Umgebung gibt es folgende Einschränkungen (für den Edge):
- Keine Browser-Erweiterungen verfügbar
- Kein Import von Lesezeichen
- Keine Anmeldung mit Microsoft- / Firmenaccount
- Kein Speichern von Dateien außerhalb der Sandbox
- Kein Transfer von Dateien über die Zwischenablage (bspw. mit typischem „Copy & Paste“)
Man muss hier allerdings ein „Aber“ einfügen, denn in der „Windows-Sicherheit“ kann man gezielt Funktionen erlauben:

Jedoch sollte man sich dies sehr gut überlegen, denn dadurch ermöglicht man natürlich doch eine Infektion seines Systems, wenn man tatsächlich auf eine schädliche Webseite gelangen sollte.
3 Antworten