Tags: Windows 10, Web-Browser, Gruppenrichtlinien, Sicherheit
Neben E-Mail ist der Besuch von manipulierten oder schädlichen Websites das bevorzugte Einfallstor für Malware. Microsoft möchte die Angriffsfläche für Attacken aus dem Web verringern, indem es den Browser in einer isolierten Umgebung ausführt. Diesem Zweck dient der mit 1709 eingeführte Application Guard.
Wie andere Browser-Hersteller verfolgt Microsoft mit dem Protected Mode bereits seit dem IE7 ein Sandbox-Konzept, bei der die Rendering-Engine mit reduzierten Rechten läuft und Zugriffe auf lokale Ressourcen weitgehend unterbunden werden.
Andere Anbieter als Vorbild
Einen Schritt weiter gehen mehrere Anbieter von sicheren Browser-Umgebungen, indem sie das Web-Frontend in einer eigenen VM ausführen, aus der ein möglicher Schadcode nicht ausbrechen und das Host-System infizieren kann. Beispiele dafür sind etwa BitBox oder Ericom Shield.
Der mit Windows 10 1709 eingeführte Defender Application Guard folgt ebenfalls diesem Ansatz. In seiner ersten Version leidet das Feature jedoch unter einer Reihe von Einschränkungen und Mängeln, die seinen produktiven Einsatz in Frage stellen.
Limits der Version 1.0
Eine Limitierung besteht darin, dass der Application Guard nur in der Enterprise Edition enthalten ist. Als Anbieter des meistverbreiteten PC-Betriebssystems sollte Microsoft aber daran gelegen sein, die gesamte installierte Basis gegen gängige Bedrohungen zu schützen. Solange ein Großteil der Anwender bei wesentlichen Schutzfunktionen außen vor bleibt, reduziert das die Sicherheit der Windows-Plattform insgesamt.
Offenbar gibt es aber Pläne, den Application Guard künftig für breitere Anwenderschichten zugänglich zu machen. Das geht aus diesem Tweet des Microsoft-Mitarbeiters Dave Weston hervor.
Hohe Hardware-Anforderungen für Business-PCs
Im Unterschied zu anderen Lösungen, die eine Browser-VM auf einem Remote-Rechner im Netz verwenden, startet der Application Guard eine leichtgewichtige lokale virtuelle Maschine. Dennoch ergeben sich daraus relativ hohe Hardware-Anforderungen, denen ältere PCs oder Notebooks möglicherweise nicht genügen.
Dazu gehört ein Minimum von 8GB RAM sowie eine CPU, welche die Voraussetzungen für Hyper-V erfüllt. Darunter fallen die Virtualisierungserweiterungen Intel VT-x oder AMD-V inklusive Second Level Address Translation (SLAT). Als Laufwerk wird eine SSD empfohlen. Außerdem benötigt Hyper-V eine 64-Bit-Version von Windows 10 Enterprise.
Nicht nutzbar mit verschachtelter Virtualisierung
Wer dieses Feature in einer virtuellen Maschine testen möchte, wird kein Glück haben. Selbst bei konfigurierter Nested Virtualization, die eine problemlose Ausführung von Hyper-V in einer VM erlaubt, verweigert Windows die Installation von Application Guard.
Update: Neben den offiziellen Systemanforderungen von 8GB vRAM braucht Application Guard noch mindestens 4 virtuelle Cores. Nach diesem Hinweis ließ sich das Feature auch in einer VM einrichten. Danach trat allerdings auch hier der unten beschriebene Fehler auf (selbst nach der Installation des kumulativen Updates von November).
Doch selbst auf physikalischer Hardware, die alle geforderten Voraussetzungen erfüllt, kann sich das Feature als launisch erweisen. Auf einem meiner PCs stürzte Application Guard beim ersten Start regelmäßig mit einer nichtssagenden Fehlermeldung ab.
Einschränkungen beim Benutzererlebnis
Eine entscheidende Frage für die Akzeptanz einer hermetisch isolierten Browser-Umgebung besteht nicht zuletzt darin, ob sie einen ähnlichen Benutzerkomfort bieten kann wie bei der herkömmlichen Ausführung des Web-Clients. Auch hier unterliegt der Application Guard einigen Einschränkungen.
Zum einen unterstützt er mit Microsoft Edge nur einen Browser, der im Firmenumfeld bis dato nur geringe Verbreitung hat. Zum anderen erlaubt Application Guard nicht den Transfer von herunter-geladenen Dateien aus der VM in das Host-OS.
Auch Favoriten aus der isolierten Session werden nicht in den lokalen Browser übernommen. Und schließlich unterstützt Edge in der Application-Guard-Session keine Erweiterungen.
Installation von Application Guard
Nachdem es sich bei Application Guard um ein optionales Windows-Feature handelt, kann man es über die Systemsteuerung unter Programme => Windows-Features aktivieren oder deaktivieren hinzufügen.
Bevorzugt man PowerShell, dann erreicht man sein Ziel mit diesem Aufruf:
Enable-WindowsOptionalFeature -online `
-FeatureName Windows-Defender-ApplicationGuard
Application Guard setzt zwar Hyper-V voraus, aber man muss den Hypervisor nicht explizit aktivieren. Das Gleiche gilt für das Einrichten der virtuellen Maschine mit einem Minimal-Windows, das gerade zum Ausführen des Browsers reicht. Auch dies erfolgt selbständig.
Sichere Websites über Gruppenrichtlinien vorgeben
Application Guard kennt zwei Nutzungsvarianten, den Standalone- und verwalteten Modus. Beim ersten öffnet der Benutzer manuell ein neues Fenster für eine isolierte Session. Der entsprechende Befehl findet sich im Pull-Down-Menü von Edge.
Unternehmen werden es wahrscheinlich nicht den Mitarbeitern überlassen, wann sie Application Guard verwenden sollen. Daher kann man über Gruppenrichtlinien Domänen und IP-Adressen festlegen, die als sicher gelten und bei denen der Browser wie üblich direkt auf dem Host-OS läuft.
Zuständig sind dafür drei Einstellungen, die sich unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => Netzwerk => Netzwerkisolation befinden. Sie heißen In der Cloud gehostete Unternehmensressourcendomänen, Sowohl als Arbeits- als auch als persönliche Ressourcen kategorisierte Domänen und Adressbereich des privaten Netzwerks für Apps.
Alle URLs, die nicht auf darin definierte Ressourcen verweisen, übergibt Windows automatisch an Application Guard.
Komfortfunktionen konfigurieren
Darüber hinaus gibt es unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Windows Defender Application Guard noch weitere Einstellungen, die das Benutzererlebnis maßgeblich bestimmen.
Sie legen unter anderem fest, ob die Zwischenablage aktiviert und somit ein Copy & Paste von der VM zum Host und umgekehrt möglich ist. Außerdem kann man hier steuern, ob Application Guard berechtigt ist, Dokumente auszudrucken oder beim Anzeigen von Firmenseiten auch solche Inhalte zu laden, die von externen Quellen kommen (wie etwa den Code für Google Analytics).
Auch wenn Application Guard keine Favoriten in die lokale Browser-Instanz übertragen kann, so ist das Feature zumindest in der Lage, sie für die nächste Session in der VM aufzubewahren. Das gilt ebenfalls für heruntergeladene Dateien oder Cookies. Auch dies lässt sich über die entsprechende GPO-Einstellung beeinflussen.
Schließlich kann man hier mit der Option Windows Defender Application Guard aktivieren/ deaktivieren das Feature an- und abschalten. Für die Aktivierung ist es jedoch erforderlich, dass zuvor die vertrauenswürdigen Websites definiert wurden.
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
- Empfohlene Sicherheitseinstellungen und neue Gruppenrichtlinien für Microsoft Edge (ab 107)
- Windows 10 22H2: Neue Gruppenrichtlinien und Security Baseline, kein ADK
- Security Baseline für Windows 10 21H2: Neue Einstellung für PrintNightmare, Legacy Edge entfernt
- Nach Support-Aus: Adobe Flash über Gruppenrichtlinien oder WSUS deaktivieren
- Sechs neue Gruppenrichtlinien für Windows 10 20H2, alle Einstellungen als Excel-Tabelle
Weitere Links