Edge-Browser für Unternehmen: Mehr GPO-Einstellungen, Sandbox mit Hyper-V

    Microsoft EdgeMicrosoft Edge erfüllte anfangs kaum die Anfor­derungen für den Einsatz in Firmen. So man­gelte es vor allem an der zen­tralen Konfi­guration und an Erwei­terungen. Mit Windows 10 1703 kommen nun einige neue GPO-Einstel­lungen hinzu, künftig zudem mit Application Guard eine Sandbox auf Basis von Hyper-V.

    Während für den Internet Explorer mittlerweile über 1600 Einstellungen in den Gruppenrichtlinien existieren, um den Browser zentral zu verwalten, konnte sein Nachfolger anfangs nur ganze 10 vorweisen. Mit den letzten Releases besserte sich die Situation, auch wenn sich Edge längst nicht so fein abgestuft per GPO konfigurieren lässt wie der IE.

    Verzicht auf Abwärtskompatibilität

    Allerdings ist dies auch der Tatsache geschuldet, dass der neue Browser wesentlich einfacher aufgebaut ist als sein Vorgänger und beispielsweise auf dessen Zonenkonzept verzichtet. Zahlreiche Einstellungen des IE dienen zudem einer besseren Kompatibilität mit alten IE-Versionen. Edge macht in dieser Hinsicht keine Zugeständnisse und überlässt das Anzeigen veralteter Seiten dem IE (siehe dazu: IE 11 Enterprise Mode: Funktionsweise und Konfiguration).

    Nachdem Microsoft den Internet Explorer nicht mehr weiterentwickelt, werden sich Unternehmen nach dem Umstieg auf Windows 10 mittelfristig entscheiden müssen, ob sie Edge als Standard-Browser einsetzen wollen. Der IE11 ist zwar auf absehbare Zeit mit an Bord und genießt weiterhin Support, profitiert aber beispielsweise nicht von den Fortschritten in puncto Sicherheit, die Edge zugute kommen.

    Als Alternative bieten sich zwar Produkte anderer Hersteller an, allen voran Mozilla Firefox und Google Chrome. In Bezug auf zentrale Management-Optionen bieten sie aber keine nennenswerten Vorteile gegenüber Edge, auch wenn sich etwa Chrome über eine Reihe von GPO-Einstellungen konfigurieren lässt.

    Konfiguration von Kennwörtern, Cookies, Formularen mit GPOs

    In der ersten Ausführung bot Edge Gruppen­richtlinien für gängige Anpassungen, etwa zur Ausführung von Scripts, zum automatischen Vervollständigen von Formularen, das Speichern von Kennwörtern oder das Annehmen von Cookies.

    Edge unterstützt Erweiterungen seit Windows 10 1607, sie lassen sich aber mittels GPO blockieren.

    Mit dem Support für Extensionen kamen danach solche für das Blockieren dieser Erweiterungen hinzu, auch das InPrivate-Browsing lässt sich nun auf diesem Weg verhindern.

    Startseiten konfigurieren

    Mit Windows 10 1703 ergänzt Microsoft seinen neuen Browser um weitere Optionen, die vor allem dem Benutzererlebnis dienen. So lässt sich die so genannte Einrichtungsseite umgehen, die beim ersten Start des Browsers angezeigt wird.

    Administratoren konnten schon bisher eigene Startseiten vorgeben, aber diese ließen sich durch die Benutzer nicht ändern. Eine neue Einstellung mit der Bezeichnung Sperrung von Startseiten deaktivieren hebt diesen Zwang auf.

    Adobe Flash verwalten

    Wie andere Browser auch führte Edge für Flash-Inhalte ein so genanntes Click-to run ein. Lädt etwa eine Flash-basierte Werbung, dann startet die Animation erst dann, wenn der Benutzer darauf klickt. Dieses Verhalten lässt sich nun per GPO deaktivieren.

    Windows 10 1703 bringt eine Reihe von neuen Einstellungen für Gruppenrichtlinien.

    Wenn Unternehmen aus gutem Grund die Ausführung von Flash komplett unterbinden möchten, dann lässt sich das in Edge nun mit einer weiteren neuen GPO-Einstellung namens Adobe Flash zulassen bewerkstelligen, die man erwartungs­gemäß deaktivieren muss.

    Einstellungen für Suchmaschinen

    Ein wesentliches Feature eines Browsers ist das Starten der Web-Suche, etwa aus der Adresszeile oder dem Kontextmenü eines markierten Textes. Administratoren können nun via GPO zusätzliche Search Provider hinzufügen, aus denen die Benutzer dann eine Engine auswählen.

    Darüber hinaus lässt sich über eine weitere Einstellung eine Suchmaschine als Standard vorgeben (Standardsuchmaschine festlegen). Diese dürfen Benutzern nicht ändern, es sei denn, man konfiguriert die ebenfalls neue Option Anpassung der Suchmaschine zulassen.

    In diese Kategorie fällt auch die Einstellung Suchvorschläge in der Adressleiste zulassen. Deaktiviert man dieses Feature, dann werden beim Eintippen in die URL-Leiste keine Vorab-Ergebnisse von Suchmaschinen angezeigt.

    Bookmarks zwischen Edge und IE synchronisieren

    Firmen, die beispielsweise noch Web-Seiten im Intranet haben, welche den IE benötigen, können dafür aus Edge mittels Enterprise Mode automatisch den alten Browser starten. Bei einem solchen Parallelbetrieb der beiden Microsoft-Browser ist es natürlich wünschenswert, wenn neue Lesezeichen immer in beiden Programmen gespeichert werden.

    Die neue Einstellung Favoriten zwischen Internet Explorer und Microsoft Edge synchronisieren erzwingt dieses Verhalten per GPO.

    Browser-Daten löschen

    Edge bietet ebenfalls die Option, beim Schließen des Browsers die in Sitzung angesammelten Daten wie Verlauf, Cookies oder den Cache zu löschen. Dies erledigt die Einstellung Löschen von Browser-Daten beim Beenden zulassen.

    Sandbox für Edge

    Build 16188 enthält erstmals ein neues Feature namens Windows Defender Application Guard. Es beruht auf einem ähnlichen Konzept wie Device Guard oder Credential Guard, die sich ebenfalls Hyper-V zunutze machen (ohne dass man die Hyper-V-Rolle installieren muss).

    Um Windows 10 Enterprise vor Angriffen zu schützen, startet es Edge in einer minimal ausgestatteten VM, um nicht vertrauenswürdige Seiten zu laden. Dort bootet ein eigener Windows-Kernel inklusive der Dienste, die zur Ausführung des Browsers unbedingt notwendig sind.

    Mit Application Guard läuft der Edge-Browser isoliert in einer VM.

    Dieses rudimentäre Windows hat keinen Zugriff auf das Dateisystem oder andere Ressourcen des primären OS, noch kann es sich über das Netzwerk mit anderen Systemen verbinden. Gelingt es einem Angreifer, ein Schadprogramm über eine Website auf dem Rechner zu platzieren, dann geht diese nach dem Schließen des Browsers ebenso verloren wie der sonstige Inhalt der Minimal-VM.

    Eine zu strikte Trennung der Sphären würde jedoch den Benutzerkomfort erheblich einschränken. Daher ist es auch in der Sandbox möglich, Daten über Copy & Paste mit dem primären Windows auszutauschen oder Dokumente auszudrucken.

    1 Kommentar

    Bild von Gunnar Haslinger
    23. April 2018 - 9:54

    Leider lassen sich einige Einstellungen (wie z.B. die Startseite) nicht mittels lokaler Gruppenrichtlinien konfigurieren - das Gerät muss dazu Domain-joined sein. Eine Alternative hierzu erläutere ich hier: https://hitco.at/blog/microsoft-edge-startseite/