Am Puls von Microsoft

Ausführung von Microsoft Edge in der Sandbox mit dem Windows Defender Application Guard

Ausführung von Microsoft Edge in der Sandbox mit dem Windows Defender Application Guard

Schon die alte Version von Microsoft Edge konnte mit Unterstützung des Windows Defender Application Guard in einer besonders geschützten Umgebung ausgeführt werden, welche die Browsersitzung vom Rest des Systems isoliert. Auch der neue Microsoft Edge auf Chromium-Basis bietet diese Möglichkeit.

Die Funktion ist an bestimmte Voraussetzungen gebunden. Zum Einen steht der Application Guard nicht in der Home-Version von Windows 10 zur Verfügung, sondern nur in den Editionen Professional, Enterprise und Education. Außerdem muss es sich um ein 64 Bit-System mit mindestens 8 GB RAM handeln, dessen CPU Second Level Address Translation (SLAT) unterstützt. Das trifft allerdings auf praktisch alle halbwegs modernen Geräte zu.

Vorbereitung: Windows Defender Application Guard aktivieren

Falls noch nicht geschehen, muss der Application Guard zunächst eingeschaltet werden. Dies geschieht über “Windows-Features aktivieren oder deaktivieren” (einfach in der Suche eingeben).

Nachtrag: Inzwischen heißt diese Funktion “Microsoft Defender Application Guard”

Windows Defender Application Guard einschalten

Vor dem entsprechenden Eintrag wird ein Haken gesetzt und anschließend mit OK bestätigt. Um die Funktion zu aktivieren, muss der Rechner anschließend noch neu gestartet werden.

Microsoft Edge in Application Guard öffnen

Wenn alles geklappt hat, dann erscheint im Menü von Edge oben rechts ein neuer Eintrag mit dem Titel “Neues Application Guard-Fenster”. Mit einem Klick darauf wird Edge in einer Sandbox gestartet. Beim allerersten Aufruf kann das je nach Arbeitsgeschwindigkeit des PC einen Moment dauern.

An dieser Stelle gleich ein Tipp: Wer diesen Modus häufig benutzt, der gibt edge://flags/ in die Adresszeile ein, sucht nach der Option “Application Guard Prelaunch” und aktiviert diese. So startet die Sandbox in Zukunft spürbar schneller.

Microsoft Edge in Application Guard starten

Auf den ersten Blick sieht Edge im Application Guard so aus wie immer. Natürlich ist er “nackt”, denn wie gesagt, es handelt es sich hier um eine isolierte Umgebung. Lediglich das kleine Icon oben rechts verrät, dass es sich um den Sandbox-Modus handelt. Auch das Icon in der Taskleiste trägt ein kleines Schutzschild.

Microsoft Edge Application Guard Fenster

In den Einstellungen erscheint außerdem der Hinweis “Ihr Browser wird von Ihrer Organisation verwaltet” und einige Optionen und Funktionen sind nicht verfügbar.

Dazu gehören:

  • Erweiterungen
  • Import von Lesezeichen
  • Anmeldung mit Microsoft- oder Firmenkonto
  • Dateien außerhalb der Sandbox speichern
  • Daten in Zwischenablage speichern oder aus Zwischenablage einfügen

Man muss allerdings gleich ein “Aber” hinterher schicken: Teilweise lassen sich diese Funktionen über die App “Windows-Sicherheit” reaktivieren. Im Abschnitt “App- & Browsersteuerung” kann man festlegen, dass Daten gespeichert werden dürfen. Außerdem kann man das Kopieren und Einfügen von Inhalten zwischen der Sandbox und dem Rest des Systems sowie das Drucken erlauben. Auch der Zugriff auf Kamera und Mikrofon kann dem isolierten Browser hier gestattet werden.

Application Guard Einstellungen

Alles, was in der Sandbox passiert, bleibt in der Sandbox. Sollte man also tatsächlich auf einer bösartigen Seite landen, so kann diese nicht auf das eigentliche System zugreifen und beispielsweise Dateien ausspähen. Man kann weder Dateien herunterladen, die nach dem Schließen der Sandbox zur Verfügung stehen, noch kann man in der Application Guard Sitzung beispielsweise eine Datei aus dem eigenen Dokumenten-Ordner irgendwo hochladen oder über einen Webmailer verschicken. Eine eventuelle Infektion, beispielsweise durch einen Drive by Download, bleibt in der Sandbox gefangen und verschwindet mit dem Schließen des Browserfensters im Nirvana.

Selbstredend ist der Application Guard vorwiegend für den Einsatz in Unternehmen gedacht. Dort kann man ihn mehr oder weniger aggressiv konfigurieren. Administratoren können beispielsweise eine Liste von vertrauenswürdigen Seiten pflegen. Alle Seiten, die nicht auf dieser Liste stehen, gelten dann als potenziell unsicher und werden in einem Application Guard Fenster geöffnet.

Weitere Information zum Application Guard findet man auch direkt bei Microsoft.

Anzeige