Tags: Office, Microsoft 365, Sicherheit, Virtualisierung
Das in Windows 10 enthaltene Security-Feature, welches bisher nur Web-Browser in einer geschützten Umgebung ausführen konnte, unterstützt nun auch die Office-Anwendungen von Microsoft 365. Es sorgt dafür, dass Code in unsicheren Dokumenten nicht auf den PC oder das Netz übergreifen kann.
Bei Application Guard handelt es sich wie bei der Sandbox oder bei Credential Guard um Funktionen der Virtualization Based Security. Dabei läuft im Hintergrund eine Utility-VM auf Basis von Hyper-V, wobei man weder den Hypervisor noch die virtuelle Maschine selbst einrichten muss.
Gefahr durch Datenaustausch via Office-Dateien
Bisher ließen in dieser abgeschotteten Umgebung Web-Browser (Edge oder IE) ausführen, also Programme, die wahrscheinlich den meisten Angriffen ausgesetzt sind. Da sich jedoch die Office-Dateiformate als Defacto-Standard für den Austausch von Dokumenten entwickelt haben, sind Anwender häufig mit Dateien unklaren Ursprungs konfrontiert. Nachdem sie Schad-Makros enthalten können, geht von ihnen erhebliche Gefahr aus.
Bis dato verhindern Office-Anwendungen die Ausführung von Code in Dokumenten, wenn diese aus dem Internet stammen, und öffnet sie in der geschützten Ansicht. Ein Bearbeiten des Inhalts ist dort nicht möglich und muss explizit aktiviert werden. Startet das Office-Programm dagegen in Application Guard, dann können diese sofort editiert oder gedruckt werden.
Vor- und Nachteile beim Benutzerkomfort
Diesen Benutzerkomfort bietet das Feature auch dann, wenn Dokumente aus unsicheren Speicherorten wie den temporären Internet-Dateien geöffnet wurden. Es hebt zudem den so genannten Zugriffschutz (File Block) auf, mit dem Dateiversionen aus älteren Office-Ausführungen sonst versehen werden.
Aufgrund der isoliert ausgeführten Anwendungen müssen User allerdings auch mit Einschränkungen rechnen. Nachdem aus der Ablaufumgebung kein Zugriff auf das Dateisystem des Hosts möglich ist, können von dort beispielsweise keine Bilder in das Dokument eingefügt werden.
Getrennte Konfiguration für Dateitypen
Die Office-Programme öffnen bekanntlich nicht nur ihre nativen Dateiformate, sondern lassen sich mit zahlreichen anderen Dateitypen verknüpfen. Um die Dateien je nach Gefährdungspotenzial unterschiedlich abzusichern, können Administratoren die Einstellungen für die einzelnen Formate getrennt konfigurieren.
Application Guard für Office arbeitet mit Defender für Office 365 zusammen. Dieser untersucht Dokumente automatisch, sobald sie in der Sandbox geöffnet werden. Entdeckt er eine Bedrohung, dann verhindert er, dass Benutzer das betreffende Dokument in das Host-Betriebssystem übernehmen können.
Systemvoraussetzungen und Verfügbarkeit
Application Guard für Office ist für Kunden erhältlich, die über die Lizenzen Microsoft 365 E5 oder Microsoft 365 E5 Security verfügen. Außerdem müssen sie die Office-Applikationen über den Current Channel oder den Monthly Enterprise Channel beziehen.
Das Feature setzt zudem als Betriebssystem mindestens Windows 10 2004 Enterprise voraus.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Office 365 Business: Makro-Sicherheit über Gruppenrichtlinien konfigurieren
- Office 2016 und 2019 erhalten keinen Support für M365 mehr
- Hornetsecurity Plan 4 für 365 Total Protection Suite: Empfänger-Validierung, Phishing-Simulation, Permission Manager
- Microsoft integriert Python in Excel
- Microsoft Office mit Intune installieren
Weitere Links