Windows 10 – Bereitstellen von Windows Defender Application Guard in Microsoft Edge

Pirat,

der aktuelle Windows 10 Insider Build 16257 enthält kommende Features von Redstone 3 bzw Windows 10 1709. Ebenfalls enthalten, sind allerlei Funktionen des Windows Defender Application Guard (WDAG). Das Feature soll wie eine Sandbox funktionieren. Dabei soll der Browser verhindern, dass Inhalte und heruntergeladene Dateien dem System schaden zuführen. Nach dem Surfen schließt sich der isolierte Tab und löscht zusammen mit dem temporären Container sämtlichen Schad-Code. Admins können außerdem Whitelists von unbedenklichen Sites erstellen, die in herkömmlichen Edge-Fenstern geöffnet werden. Dort nicht aufgenommene Sites öffnet Edge dann in einem Application-Guard-Container.

Aktualisiert am 04.08.17 

Mit dem Windows Insider Build 16257 hat sich so einiges in Windows Defender Application Guard getan. Deshalb habe ich den Blogpost vom 08.05.17 überarbeitet und aktualisiert

 

First things first…

Hardwareanforderungen:

Bevor du mit der Bereitstellung beginnst, solltest du sicher gehen, dass die Clients Windows 10 Enterprise installiert haben und die Hardwareanforderungen erfüllen

  • Windows 10 Enterprise
  • 64-bit OS for VBS (like Crendetial Guard)
  • CPU virtualization extensions (for Hyper-V)
  •  4GB Hardware memory (minimum!)

 

 

Installation von Windows Defender Application Guard

WDAG kann über die Windows Features auf dem/den Zielsytem(en) aktiviert werden.

 

 

Das kann natürlich auch via PowerShell durchgeführt werden:

Enable-WindowsOptionalFeature -online -FeatureName Windows-Defender-ApplicationGuard

 

 

Jetzt können wir bereits manuell neue Instanzen von Application Guard aus dem Edge öffnen:

 

 

Beim Start findet die Initiierung der isolierten Umgebung statt.

 

Dann erhalten wir ein Edge Fenster mit dem Hinweis, dass der Application Guard gestartet ist.

 

 

Solltest du im Kontextfenster die Möglichkeit “New Application Guard Window” nicht auswählen können, prüfe erneut, ob du die Soft- & Hardware Anforderungen erfüllst.

 

Konfiguration der vertrauenswürdigen Seiten

Wie bereits oben erwähnt ist das Konzept von Application Guard jedoch anders, denn zukünftig sollen Seiten die nicht gelistet sind automatisch im WDAG geöffnet werden. Im Group Policy Management Editor gehe hierzu bitte auf “Enterprise resource domains hosted in the cloud” unter:

Computer Configuration\Administrative Templates\Network\Network Isolation

 

 

Hier musst du die Seiten hinzufügen die vertrauenswürdig sind und nicht in einem Windows Defender Application Guard Fenster geöffnet werden sollen. Die Domänen müssen mit Punkt ( . ) angegeben werden und mit Pipe ( | ) getrennt werden:

.it-pirate.eu|.geeksprech.de

 

Nach dieser Konfiguration muss konfiguriert werden, dass die definierten Seiten verwendet werden sollen.

Bereits mit dem Creators Update bzw Windows 10 1703 haben wir die entsprechenden Policies erhalten um Windows Defender Application Guard aktivieren zu können. Wie immer gibt es die Möglichkeit WDAG via Group Policy zu aktivieren:

Computer Configuration \ Administrative Templates \Windows Components \ Windows Defender Application Guard

Hier muss die Policy “Turn On / Off Windows Defender Application Guard (WDAG)” aktiviert werden

 

 

auch über den Local Group Policy Editor kann WDAG aktiviert werden:

Computer Configuration \ Administrative Templates \Windows Components \ Windows Defender Application Guard

 

 

 

und natürlich auch via Registry:

Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AppHVSI

 

 

Es gibt noch zusätzliche Konfigurationsmöglichkeiten für die Zwischenablage:

 

und die Druckereinstellungen.

 

 

With one of the last build we also received a way to handle downloaded files within an Application Guard silo.

 

 

Darüber hinaus besteht die Möglichkeit Events die in einem Windows Defender Application Guard Container entstehen im Event Log aufzunehmen.

 

 

Seit dem Windows 10 Insider Preview Build 16257 besteht zusätzlich die Möglichkeit, die Startzeit zu optimieren in dem der Container nach geschlossener Session nicht freigegeben wird.

“Added a registry key to allow users to optimize WDAG launch times during active browsing by not suspending the WDAG container when the WDAG window is closed.  You can set the registry key to optimize for performance here: Computer\HKLM\Software\Microsoft\HVSI\, Value name: SuspendOnContainerClosed, REG_DWORD, Value data: 1.  Note: Setting this key will result in the container not pausing and the container will not release committed memory.”

 

Cheers

*Captain

 

Zusätzliche Infos:

Announcing Windows 10 Insider Preview Build 16257 for PC & Build 15237 for Mobile

Windows Defender Application Guard Standalone mode 

Neue Windows-10-Version zeigt ‘Application Guard’

Testing scenarios using Windows Defender Application Guard in your business or organization

Frequently asked questions – Windows Defender Application Guard

Sende eine Antwort zu „Windows 10 – Bereitstellen von Windows Defender Application Guard in Microsoft Edge“

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

© 2017 IT-Pirate