Windows 10 Application Guard: Sicherer Web-Browser in virtueller Maschine

    Windows Defender Application GuardNeben E-Mail ist der Besuch von manipu­lierten oder schäd­lichen Websites das bevor­zugte Einfalls­tor für Malware. Micro­soft möchte die Angriffs­fläche für Attacken aus dem Web ver­ringern, indem es den Browser in einer iso­lierten Umgebung aus­führt. Diesem Zweck dient der mit 1709 einge­führte Application Guard.

    Wie andere Browser-Hersteller verfolgt Microsoft mit dem Protected Mode bereits seit dem IE7 ein Sandbox-Konzept, bei der die Rendering-Engine mit reduzierten Rechten läuft und Zugriffe auf lokale Ressourcen weitgehend unterbunden werden.

    Andere Anbieter als Vorbild

    Einen Schritt weiter gehen mehrere Anbieter von sicheren Browser-Umgebungen, indem sie das Web-Frontend in einer eigenen VM ausführen, aus der ein möglicher Schadcode nicht ausbrechen und das Host-System infizieren kann. Beispiele dafür sind etwa BitBox oder Ericom Shield.

    Der mit Windows 10 1709 eingeführte Defender Application Guard folgt ebenfalls diesem Ansatz. In seiner ersten Version leidet das Feature jedoch unter einer Reihe von Einschrän­kungen und Mängeln, die seinen produktiven Einsatz in Frage stellen.

    Limits der Version 1.0

    Eine Limitierung besteht darin, dass der Application Guard nur in der Enterprise Edition enthalten ist. Als Anbieter des meist­verbreiteten PC-Betriebs­systems sollte Microsoft aber daran gelegen sein, die gesamte installierte Basis gegen gängige Bedrohungen zu schützen. Solange ein Großteil der Anwender bei wesentlichen Schutz­funktionen außen vor bleibt, reduziert das die Sicherheit der Windows-Plattform insgesamt.

    In Zukunft könnte Application Guard auch in der Pro Edition verfügbar sein.

    Offenbar gibt es aber Pläne, den Application Guard künftig für breitere Anwender­schichten zugänglich zu machen. Das geht aus diesem Tweet des Microsoft-Mitarbeiters Dave Weston hervor.

    Hohe Hardware-Anforderungen für Business-PCs

    Im Unterschied zu anderen Lösungen, die eine Browser-VM auf einem Remote-Rechner im Netz verwenden, startet der Application Guard eine leichtgewichtige lokale virtuelle Maschine. Dennoch ergeben sich daraus relativ hohe Hardware-Anforderungen, denen ältere PCs oder Notebooks möglicher­weise nicht genügen.

    Dazu gehört ein Minimum von 8GB RAM sowie eine CPU, welche die Voraussetzungen für Hyper-V erfüllt. Darunter fallen die Virtualisierungs­erweiterungen Intel VT-x oder AMD-V inklusive Second Level Address Translation (SLAT). Als Laufwerk wird eine SSD empfohlen. Außerdem benötigt Hyper-V eine 64-Bit-Version von Windows 10 Enterprise.

    Nicht nutzbar mit verschachtelter Virtualisierung

    Wer dieses Feature in einer virtuellen Maschine testen möchte, wird kein Glück haben. Selbst bei konfigurierter Nested Virtualization, die eine problemlose Ausführung von Hyper-V in einer VM erlaubt, verweigert Windows die Installation von Application Guard.

    In einer verschachtelten VM lässt sich Windows Defender Application Guard nicht installieren.

    Update: Neben den offiziellen Systemanforderungen von 8GB vRAM braucht Application Guard noch mindestens 4 virtuelle Cores. Nach diesem Hinweis ließ sich das Feature auch in einer VM einrichten. Danach trat allerdings auch hier der unten beschriebene Fehler auf (selbst nach der Installation des kumulativen Updates von November).

    Doch selbst auf physikalischer Hardware, die alle geforderten Voraussetzungen erfüllt, kann sich das Feature als launisch erweisen. Auf einem meiner PCs stürzte Application Guard beim ersten Start regelmäßig mit einer nichts­sagenden Fehlermeldung ab.

    Abbruch von Application Guard beim ersten Start

    Einschränkungen beim Benutzererlebnis

    Eine entscheidende Frage für die Akzeptanz einer hermetisch isolierten Browser-Umgebung besteht nicht zuletzt darin, ob sie einen ähnlichen Benutzerkomfort bieten kann wie bei der herkömmlichen Ausführung des Web-Clients. Auch hier unterliegt der Application Guard einigen Einschränkungen.

    Zum einen unterstützt er mit Microsoft Edge nur einen Browser, der im Firmenumfeld bis dato nur geringe Verbreitung hat. Zum anderen erlaubt Application Guard nicht den Transfer von herunter-geladenen Dateien aus der VM in das Host-OS.

    Auch Favoriten aus der isolierten Session werden nicht in den lokalen Browser übernommen. Und schließlich unterstützt Edge in der Application-Guard-Session keine Erweiterungen.

    Installation von Application Guard

    Nachdem es sich bei Application Guard um ein optionales Windows-Feature handelt, kann man es über die Systemsteuerung unter Programme => Windows-Features aktivieren oder deaktivieren hinzufügen.

    Für die Installation von Application Guard muss man Hyper-V nicht aktivieren.

    Bevorzugt man PowerShell, dann erreicht man sein Ziel mit diesem Aufruf:

    Enable-WindowsOptionalFeature -online `
    -FeatureName Windows-Defender-ApplicationGuard

    Application Guard setzt zwar Hyper-V voraus, aber man muss den Hypervisor nicht explizit aktivieren. Das Gleiche gilt für das Einrichten der virtuellen Maschine mit einem Minimal-Windows, das gerade zum Ausführen des Browsers reicht. Auch dies erfolgt selbständig.

    Sichere Websites über Gruppenrichtlinien vorgeben

    Application Guard kennt zwei Nutzungsvarianten, den Standalone- und verwalteten Modus. Beim ersten öffnet der Benutzer manuell ein neues Fenster für eine isolierte Session. Der entsprechende Befehl findet sich im Pull-Down-Menü von Edge.

    Manuelles Starten von Application Guard aus dem Menü des Edge-Browsers,

    Unternehmen werden es wahrscheinlich nicht den Mitarbeitern überlassen, wann sie Application Guard verwenden sollen. Daher kann man über Gruppenrichtlinien Domänen und IP-Adressen festlegen, die als sicher gelten und bei denen der Browser wie üblich direkt auf dem Host-OS läuft.

    Zuständig sind dafür drei Einstellungen, die sich unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => Netzwerk => Netzwerkisolation befinden. Sie heißen In der Cloud gehostete Unternehmens­ressourcen­domänen, Sowohl als Arbeits- als auch als persönliche Ressourcen kategorisierte Domänen und Adress­bereich des privaten Netzwerks für Apps.

    Mit diesen 3 Einstellungen definiert man vertrauenswürdige Websites

    Alle URLs, die nicht auf darin definierte Ressourcen verweisen, übergibt Windows automatisch an Application Guard.

    Komfortfunktionen konfigurieren

    Darüber hinaus gibt es unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Windows Defender Application Guard noch weitere Einstellungen, die das Benutzererlebnis maßgeblich bestimmen.

    Sie legen unter anderem fest, ob die Zwischenablage aktiviert und somit ein Copy & Paste von der VM zum Host und umgekehrt möglich ist. Außerdem kann man hier steuern, ob Application Guard berechtigt ist, Dokumente auszudrucken oder beim Anzeigen von Firmenseiten auch solche Inhalte zu laden, die von externen Quellen kommen (wie etwa den Code für Google Analytics).

    Weitere drei Optionen bestimmen das Benutzererlebnis von Application Guard

    Auch wenn Application Guard keine Favoriten in die lokale Browser-Instanz übertragen kann, so ist das Feature zumindest in der Lage, sie für die nächste Session in der VM aufzubewahren. Das gilt ebenfalls für heruntergeladene Dateien oder Cookies. Auch dies lässt sich über die entsprechende GPO-Einstellung beeinflussen.

    Schließlich kann man hier mit der Option Windows Defender Application Guard aktivieren/ deaktivieren das Feature an- und abschalten. Für die Aktivierung ist es jedoch erforderlich, dass zuvor die vertrauenswürdigen Websites definiert wurden.

    Keine Kommentare