Microsoft gibt Application Guard für Office frei


    Tags: , , ,

    Application Guard for OfficeDas in Windows 10 enthaltene Security-Feature, welches bisher nur Web-Browser in einer ge­schützten Umgebung aus­führen konnte, unter­stützt nun auch die Office-Anwen­dungen von Micro­soft 365. Es sorgt dafür, dass Code in un­sicheren Doku­menten nicht auf den PC oder das Netz über­greifen kann.

    Bei Application Guard handelt es sich wie bei der Sandbox oder bei Credential Guard um Funktionen der Virtualization Based Security. Dabei läuft im Hintergrund eine Utility-VM auf Basis von Hyper-V, wobei man weder den Hypervisor noch die virtuelle Maschine selbst einrichten muss.

    Gefahr durch Datenaustausch via Office-Dateien

    Bisher ließen in dieser abgeschotteten Umgebung Web-Browser (Edge oder IE) ausführen, also Programme, die wahrscheinlich den meisten Angriffen ausgesetzt sind. Da sich jedoch die Office-Dateiformate als Defacto-Standard für den Austausch von Dokumenten entwickelt haben, sind Anwender häufig mit Dateien unklaren Ursprungs konfrontiert. Nachdem sie Schad-Makros enthalten können, geht von ihnen erhebliche Gefahr aus.

    Bis dato verhindern Office-Anwendungen die Ausführung von Code in Dokumenten, wenn diese aus dem Internet stammen, und öffnet sie in der geschützten Ansicht. Ein Bearbeiten des Inhalts ist dort nicht möglich und muss explizit aktiviert werden. Startet das Office-Programm dagegen in Application Guard, dann können diese sofort editiert oder gedruckt werden.

    Vor- und Nachteile beim Benutzerkomfort

    Diesen Benutzer­komfort bietet das Feature auch dann, wenn Dokumente aus unsicheren Speicher­orten wie den temporären Internet-Dateien geöffnet wurden. Es hebt zudem den so genannten Zugriffschutz (File Block) auf, mit dem Dateiversionen aus älteren Office-Ausführungen sonst versehen werden.

    Die Office-Anwendungen zeigen an, wenn sie abgeschottet vom Host-OS in der VM von Application Guard laufen.

    Aufgrund der isoliert ausgeführten Anwendungen müssen User allerdings auch mit Einschränkungen rechnen. Nachdem aus der Ablauf­umgebung kein Zugriff auf das Dateisystem des Hosts möglich ist, können von dort beispielsweise keine Bilder in das Dokument eingefügt werden.

    Getrennte Konfiguration für Dateitypen

    Die Office-Programme öffnen bekanntlich nicht nur ihre nativen Dateiformate, sondern lassen sich mit zahlreichen anderen Dateitypen verknüpfen. Um die Dateien je nach Gefährdungs­potenzial unterschiedlich abzusichern, können Administratoren die Einstellungen für die einzelnen Formate getrennt konfigurieren.

    Application Guard für Office arbeitet mit Defender für Office 365 zusammen. Dieser untersucht Dokumente automatisch, sobald sie in der Sandbox geöffnet werden. Entdeckt er eine Bedrohung, dann verhindert er, dass Benutzer das betreffende Dokument in das Host-Betriebssystem über­nehmen können.

    Systemvoraussetzungen und Verfügbarkeit

    Application Guard für Office ist für Kunden erhältlich, die über die Lizenzen Microsoft 365 E5 oder Microsoft 365 E5 Security verfügen. Außerdem müssen sie die Office-Applikationen über den Current Channel oder den Monthly Enterprise Channel beziehen.

    Das Feature setzt zudem als Betriebs­system mindestens Windows 10 2004 Enterprise voraus.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut
    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Verwandte Beiträge

    Weitere Links