Microsoft Defender Application Guard (MDAG)
Info vorab:
Früher wurde der „Microsoft Defender Application Guard“ (MDAG) unter dem Namen „Windows Defender Application Guard“ (WDAG) angeboten. D.h. in älteren Windows-Versionen (insbesondere Windows 10) ist er unter dem alten Namen zu finden.
Mit dem „Microsoft Defender Application Guard“ (kurz: „MDAG“) lassen sich Applikationen in besonders geschützten Umgebungen ausführen (sog. „Sandboxen“). Bekannt wurde dieses Feature durch den alten Edge-Browser, aber auch der aktuelle auf Chromium-basierende (siehe Microsoft Edge – Update) unterstützt dieses besondere Feature.
Der MDAG ist ein integriertes Feature in Windows 10 & 11 und wird über die „Windows-Features“ nachinstalliert. Da ich bereits auf Windows 11 22H2 bin, ist dieser Artikel auf eben dieser Version abgestimmt, funktioniert aber in vorherigen Versionen gleich/ähnlich.
Voraussetzungen
Folgende technische Bedingen müssen erfüllt sein, sodass man den MDAG nachinstallieren und betreiben kann:
- Betriebssystem-Editionen:
- Professional
- Enterprise
- Education
- nicht: Home
- CPU:
- 64-bit
- Second Level Address (kurz „SLAT“)
- Arbeitsspeicher
- mindestens 8GB
Nachinstallation
Im Startmenü nach „Windows-Features“ suchen und als Administrator ausführen. Dann beim Feature „Microsoft Defender Application Guard“ den Haken setzen und auf <OK> klicken. Die Installation verläuft recht flott und danach muss der Rechner neugestartet werden.
Anschließend findet sich im Edge im „Drei-Punkte“-Menü der Eintrag „Neues Application Guard-Fenster“. Wenn man dieses anklickt, wird ein abgeschirmter Edge-Browser gestartet.
Sobald er gestartet ist, erkennt man ihn auch deutlich an dem anderen Erscheinungsbild, sowie in der Taskleiste an dem kleinen Windows-Symbol.
Vor MDAG-Installation
Nach MDAG-Installation
Sicherheitsumfang
Durch die isolierte Umgebung gibt es folgende Einschränkungen (für den Edge):
- Keine Browser-Erweiterungen verfügbar
- Kein Import von Lesezeichen
- Keine Anmeldung mit Microsoft- / Firmenaccount
- Kein Speichern von Dateien außerhalb der Sandbox
- Kein Transfer von Dateien über die Zwischenablage (bspw. mit typischem „Copy & Paste“)
Man muss hier allerdings ein „Aber“ einfügen, denn in der „Windows-Sicherheit“ kann man gezielt Funktionen erlauben:
Jedoch sollte man sich dies sehr gut überlegen, denn dadurch ermöglicht man natürlich doch eine Infektion seines Systems, wenn man tatsächlich auf eine schädliche Webseite gelangen sollte.
Ich benutze den Edge (aus Prinzip) nicht, aber das ist echt nützlich!
Das ist ja eigentlich ein muss. Weißt du warum man den Guard nachinstallieren muss oder ist der Standard bei Neu-Installation von Windows 10+11?
Hallo Kage,
vielen Dank für deinen Kommentar.
Der Application Guard ist aufgrund der Hardwareanforderung und der Windows-Edition nicht automatisch installiert. Derzeit sieht Microsoft den Einsatz vom Application Guard wohl eher im Businessbereich. Ich denke auch, dass die meisten Heimanwender diesen nicht verwenden würden, da die normalen Browser ja wesentlich einfacher zugänglich sind. Aber gerade, wenn man mal eine Applikation testen will, bei der man sich nicht sicher ist, wie sie sich auswirkt, macht der Application Guard definitiv Sinn bzw. dann in Kombination mit „Windows-Sandbox“ (das ist dann nochmal ein separates Feature, welches man nachinstallieren kann). Vermutlich ist es aber für so erfahrene Heimanwender dann aber eh einfacher, direkt das Feature „Hyper-V“ zu installieren und dort eine Evaluierungsversion (a.k.a. „Insider-Builds“) zu verwenden.
Okay, cool. Vielen Dank auch für die ausführliche Antwort!