Ausführung von Microsoft Edge in der Sandbox mit dem Windows Defender Application Guard

Ausführung von Microsoft Edge in der Sandbox mit dem Windows Defender Application Guard

Schon die alte Version von Microsoft Edge konnte mit Unterstützung des Windows Defender Application Guard in einer besonders geschützten Umgebung ausgeführt werden, welche die Browsersitzung vom Rest des Systems isoliert. Auch der neue Microsoft Edge auf Chromium-Basis bietet diese Möglichkeit.

Die Funktion ist an bestimmte Voraussetzungen gebunden. Zum Einen steht der Application Guard nicht in der Home-Version von Windows 10 zur Verfügung, sondern nur in den Editionen Professional, Enterprise und Education. Außerdem muss es sich um ein 64 Bit-System mit mindestens 8 GB RAM handeln, dessen CPU Second Level Address Translation (SLAT) unterstützt. Das trifft allerdings auf praktisch alle halbwegs modernen Geräte zu.

Vorbereitung: Windows Defender Application Guard aktivieren

Falls noch nicht geschehen, muss der Application Guard zunächst eingeschaltet werden. Dies geschieht über „Windows-Features aktivieren oder deaktivieren“ (einfach in der Suche eingeben).

Windows Defender Application Guard einschalten

Vor dem entsprechenden Eintrag wird ein Haken gesetzt und anschließend mit OK bestätigt. Um die Funktion zu aktivieren, muss der Rechner anschließend noch neu gestartet werden.

Microsoft Edge in Application Guard öffnen

Wenn alles geklappt hat, dann erscheint im Menü von Edge oben rechts ein neuer Eintrag mit dem Titel „Neues Application Guard-Fenster“. Mit einem Klick darauf wird Edge in einer Sandbox gestartet. Beim allerersten Aufruf kann das je nach Arbeitsgeschwindigkeit des PC einen Moment dauern.

An dieser Stelle gleich ein Tipp: Wer diesen Modus häufig benutzt, der gibt edge://flags/ in die Adresszeile ein, sucht nach der Option „Application Guard Prelaunch“ und aktiviert diese. So startet die Sandbox in Zukunft spürbar schneller.

Microsoft Edge in Application Guard starten

Auf den ersten Blick sieht Edge im Application Guard so aus wie immer. Natürlich ist er „nackt“, denn wie gesagt, es handelt es sich hier um eine isolierte Umgebung. Lediglich das kleine Icon oben rechts verrät, dass es sich um den Sandbox-Modus handelt. Auch das Icon in der Taskleiste trägt ein kleines Schutzschild.

Microsoft Edge Application Guard Fenster

In den Einstellungen erscheint außerdem der Hinweis „Ihr Browser wird von Ihrer Organisation verwaltet“ und einige Optionen und Funktionen sind nicht verfügbar.

Dazu gehören:

  • Erweiterungen
  • Import von Lesezeichen
  • Anmeldung mit Microsoft- oder Firmenkonto
  • Dateien außerhalb der Sandbox speichern
  • Daten in Zwischenablage speichern oder aus Zwischenablage einfügen

Man muss allerdings gleich ein „Aber“ hinterher schicken: Teilweise lassen sich diese Funktionen über die App „Windows-Sicherheit“ reaktivieren. Im Abschnitt „App- & Browsersteuerung“ kann man festlegen, dass Daten gespeichert werden dürfen. Außerdem kann man das Kopieren und Einfügen von Inhalten zwischen der Sandbox und dem Rest des Systems sowie das Drucken erlauben. Auch der Zugriff auf Kamera und Mikrofon kann dem isolierten Browser hier gestattet werden.

Application Guard Einstellungen

Alles, was in der Sandbox passiert, bleibt in der Sandbox. Sollte man also tatsächlich auf einer bösartigen Seite landen, so kann diese nicht auf das eigentliche System zugreifen und beispielsweise Dateien ausspähen. Man kann weder Dateien herunterladen, die nach dem Schließen der Sandbox zur Verfügung stehen, noch kann man in der Application Guard Sitzung beispielsweise eine Datei aus dem eigenen Dokumenten-Ordner irgendwo hochladen oder über einen Webmailer verschicken. Eine eventuelle Infektion, beispielsweise durch einen Drive by Download, bleibt in der Sandbox gefangen und verschwindet mit dem Schließen des Browserfensters im Nirvana.

Selbstredend ist der Application Guard vorwiegend für den Einsatz in Unternehmen gedacht. Dort kann man ihn mehr oder weniger aggressiv konfigurieren. Administratoren können beispielsweise eine Liste von vertrauenswürdigen Seiten pflegen. Alle Seiten, die nicht auf dieser Liste stehen, gelten dann als potenziell unsicher und werden in einem Application Guard Fenster geöffnet.

Weitere Information zum Application Guard findet man auch direkt bei Microsoft.

Über den Autor
Martin Geuß
  • Martin Geuß auf Facebook
  • Martin Geuß auf Twitter
  • E-Mail an Martin Geuß
Ich bin Martin Geuß, und wie unschwer zu erkennen ist, fühle ich mich in der Windows-Welt zu Hause. Seit mehr als zwölf Jahren lasse ich die Welt an dem teilhaben, was mir zu Windows und anderen Microsoft-Produkten durch den Kopf geht, und manchmal ist das sogar interessant. Das wichtigste Motto meiner Arbeit lautet: Von mir - für Euch!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.



Kommentare
  1. Wird bei der Aktivierung davon eigtl. als Abhängigkeit auch der komplette Hyper-V eingerichtet und aktiviert? Das hätte ja weitreichende Konsequenzen für das gesamte System, weil selbst das Host-Betriebssystem dann zu einer quasi-virtuellen Maschine wird.
    Das hat mich bislang immer davon abgehalten, entsprechende Features einzuschalten. Denn auch wenn sich das System in den allermeisten Fällen danach noch ganz genauso verhält, gehen bestimmte Sachen nicht mehr, wie z.B. Hardwarevirtualisierung in einem Drittanbieterprodukt wie Virtualbox, weil die dann schon vom Hyper-V in Beschlag genommen wird.
    VirtualBox sollte doch mittlerweile mit Hyper-V zurechtkommen, oder? Aber ich bin ehrlich, bei mir hat es auch gezickt, aber mittlerweile bin ich von VirtualBox komplett auf Hyper-V gewechselt.
    Habe Application Guard und Sandbox installiert und eingeschaltet, doch nach dem Neustart gibt es weder Application Guard-Einstellungen noch im Edge einen Eintrag. Habe das Surface Book 2 mit Windows 1909 Pro.
    WDAG-Bericht - Container: Fehler: 0x80070015, Erw. Fehler: 0x00000001; RDP: Fehler: 0x00000000, Erw. Fehler: 0x00000000 Speicherort: 0x00000000
    Bei mir hat der Start von Edge mir er oben genannten Fehlermeldung abgebrochen.
    Baloonicorn
    VirtualBox sollte doch mittlerweile mit Hyper-V zurechtkommen.

    VMware tuts jedenfalls nicht. Ich weiß nicht, ob da VMware zu einfach gestrickt ist oder ob Microsoft mit Hyper-V da etwas falsch macht. Aber so wie es jetzt ist, ist es unschön.
    Nachdem meines Wissens nach VirtualBox und VMware gleichzeitig laufen können, sehe ich das Problem eher auf MS-Seite.
    Eigentlich sollte die Sicherheit immer vorgehen ! Der Browser sollte immer Expliziert nachfragen ob diese Seite auf das Betriebssystem zugreifen darf. Wäre so herum besser.
    Funktioniert sandboxie mittlerweile wieder unter Windows 10?
    Fand das immer sehr bequem... Rechtsklick in Sandbox starten fertig
    Ach menno. Ich kann es nicht aktivieren.
    Habe zwar die Pro Version und 8GB RAM, aber irgendwas erfühlt wohl meine Hardware nicht. :mad:
    Edit:
    Auf meinem Win-Pro-PC im BIOS, Advanced-Mode, –> CPU-Einstellungen entdecke ich die Anzeige „Intel VT-x-Technology –> Supported“, „Intel Virtualization Technology“ mit Schalterstellung „Disabled“ angetroffen.
    Nach Wechsel auf „Enabled“ und anschließendem Booten ist jetzt die Option „… Application Guard“ frei wählbar
    Schade und traurig finde ich, dass es nicht auch in der Home Version eingestellt werden kann. Als wenn nur Profis das benutzen könnten?!?
    ossichecker
    dass es nicht auch in der Home Version

    Ich war wohl etwas zu euphorisch. Ich habe nur entdeckt, dass man im Edge ein Virtuelles Fenster öffnen kann.
    Ich muss mich wohl erst mit der MS-Sandbox intensiver beschäftigen, aber ich war Mal wieder so naiv und glaubte, dass man mit rechts Klick eine Datei erst einmal in der Sandbox öffnen kann. Geht bei mir nicht.
    Ach, so einen win7 pro Key wirst du doch irgendwo "finden"?
    Edit:
    Nach ein wenig spielen.
    Nachdem ich mit der Sandbox rumgespielt habe, sind meine Eindrücke... nun ja. Also 8GB ist die min. Anforderung. 16GB sind eindeutig zu empfehlen, weil bei 8GB der RAM voll ist.
    Meine CPU und GPU schaffen die Mehranforderung (Intel® 8th generation Core™ i5-8250U Processor und Intel® HD Integrated Graphics 620) problemlos und die Sandbox lädt auch recht zügig.
    Wer also ernsthaft mit der Sandbox arbeiten möchte, sollte wie gesagt min. 16GB RAM haben und etwas mehr Power unter Haube haben. Da alles in Englisch ist, sollten da ebenfalls ein paar Grundkenntnisse vorhanden sein.
    Virtualbox hat in der neuesten Version tatsächlich eine experimentelle Unterstützung für Hyper-V, auf die automatisch umgeschaltet wird, wenn Hyper-V aktiv ist.
    Allerdings läuft das wohl noch sehr langsam und ist stark absturzgefährdet.
    Allerdings läuft das wohl noch sehr langsam und ist stark absturzgefährdet.

    ... für mich mehr ein Grund auf die windowsinterne Hyper-V Unterstützung zu verzichten. Mir ist es wichtiger, dass alle 11 VMs bei mir problemlos und flink laufen.
Nach oben