Microsoft Defender Application Guard (MDAG)

Info vorab:
Früher wurde der „Microsoft Defender Application Guard“ (MDAG) unter dem Namen „Windows Defender Application Guard“ (WDAG) angeboten. D.h. in älteren Windows-Versionen (insbesondere Windows 10) ist er unter dem alten Namen zu finden.

Mit dem „Microsoft Defender Application Guard“ (kurz: „MDAG“) lassen sich Applikationen in besonders geschützten Umgebungen ausführen (sog. „Sandboxen“). Bekannt wurde dieses Feature durch den alten Edge-Browser, aber auch der aktuelle auf Chromium-basierende (siehe Microsoft Edge – Update) unterstützt dieses besondere Feature.

Der MDAG ist ein integriertes Feature in Windows 10 & 11 und wird über die „Windows-Features“ nachinstalliert. Da ich bereits auf Windows 11 22H2 bin, ist dieser Artikel auf eben dieser Version abgestimmt, funktioniert aber in vorherigen Versionen gleich/ähnlich.

Voraussetzungen

Folgende technische Bedingen müssen erfüllt sein, sodass man den MDAG nachinstallieren und betreiben kann:

• Betriebssystem-Editionen:
  • Professional
  • Enterprise
  • Education
  • nicht: Home
• CPU:
  • 64-bit
  • Second Level Address (kurz „SLAT“)
• Arbeitsspeicher
  • mindestens 8GB

Nachinstallation

Im Startmenü nach „Windows-Features“ suchen und als Administrator ausführen. Dann beim Feature „Microsoft Defender Application Guard“ den Haken setzen und auf <OK> klicken. Die Installation verläuft recht flott und danach muss der Rechner neugestartet werden.
Anschließend findet sich im Edge im „Drei-Punkte“-Menü der Eintrag „Neues Application Guard-Fenster“. Wenn man dieses anklickt, wird ein abgeschirmter Edge-Browser gestartet.

Sobald er gestartet ist, erkennt man ihn auch deutlich an dem anderen Erscheinungsbild, sowie in der Taskleiste an dem kleinen Windows-Symbol.

Vor MDAG-Installation

Nach MDAG-Installation

Sicherheitsumfang

Durch die isolierte Umgebung gibt es folgende Einschränkungen (für den Edge):

• Keine Browser-Erweiterungen verfügbar
• Kein Import von Lesezeichen
• Keine Anmeldung mit Microsoft- / Firmenaccount
• Kein Speichern von Dateien außerhalb der Sandbox
• Kein Transfer von Dateien über die Zwischenablage (bspw. mit typischem „Copy & Paste“)

Man muss hier allerdings ein „Aber“ einfügen, denn in der „Windows-Sicherheit“ kann man gezielt Funktionen erlauben:

Jedoch sollte man sich dies sehr gut überlegen, denn dadurch ermöglicht man natürlich doch eine Infektion seines Systems, wenn man tatsächlich auf eine schädliche Webseite gelangen sollte.