Übersicht über Microsoft Defender Application GuardMicrosoft Defender Application Guard overview

Gilt für: Microsoft Defender für EndpointApplies to: Microsoft Defender for Endpoint

Microsoft Defender Application Guard (Application Guard) wurde entwickelt, um alte und neu entstehende Angriffe zu verhindern, um die Produktivität der Mitarbeiter zu steigern.Microsoft Defender Application Guard (Application Guard) is designed to help prevent old and newly emerging attacks to help keep employees productive. Mit unserem einzigartigen Ansatz für die Hardwareisolation ist es unser Ziel, das von Angreifern verwendeten Playbook zu zerstören, indem aktuelle Angriffsmethoden veraltet werden.Using our unique hardware isolation approach, our goal is to destroy the playbook that attackers use by making current attack methods obsolete.

Was ist Application Guard, und wie funktioniert es?What is Application Guard and how does it work?

Für Microsoft Edge hilft Application Guard dabei, vom Unternehmen definierte, nicht vertrauenswürdige Websites zu isolieren und Ihr Unternehmen zu schützen, während Ihre Mitarbeiter im Internet surfen.For Microsoft Edge, Application Guard helps to isolate enterprise-defined untrusted sites, protecting your company while your employees browse the Internet. Als Unternehmensadministrator definieren Sie, was zu den vertrauenswürdigen Websites, Cloud-Ressourcen und internen Netzwerken gehört.As an enterprise administrator, you define what is among trusted web sites, cloud resources, and internal networks. Alles, was nicht in Ihrer Liste enthalten ist, wird als nicht vertrauenswürdig eingestuft.Everything not on your list is considered untrusted. Wenn ein Mitarbeiter über Microsoft Edge oder Internet Explorer zu einer nicht vertrauenswürdigen Website geht, öffnet Microsoft Edge die Website in einem isolierten Hyper-V-fähigen Container.If an employee goes to an untrusted site through either Microsoft Edge or Internet Explorer, Microsoft Edge opens the site in an isolated Hyper-V-enabled container.

Für Microsoft Office verhindert Application Guard, dass nicht vertrauenswürdige Word-, PowerPoint- und Excel-Dateien auf vertrauenswürdige Ressourcen zugreifen.For Microsoft Office, Application Guard helps prevents untrusted Word, PowerPoint and Excel files from accessing trusted resources. Application Guard öffnet nicht vertrauenswürdige Dateien in einem isolierten Hyper-V-fähigen Container.Application Guard opens untrusted files in an isolated Hyper-V-enabled container. Der isolierte Hyper-V-Container ist vom Hostbetriebssystem getrennt.The isolated Hyper-V container is separate from the host operating system. Diese Containerisolation bedeutet, dass das Hostgerät geschützt ist und der Angreifer nicht auf Ihre Unternehmensdaten zugreifen kann, wenn sich die nicht vertrauenswürdige Website oder Datei als schädlich herausstellt.This container isolation means that if the untrusted site or file turns out to be malicious, the host device is protected, and the attacker can't get to your enterprise data. Beispielsweise wird der isolierte Container durch diesen Ansatz anonym. Demzufolge kann der Angreifer nicht auf die Unternehmensanmeldeinformationen Ihres Mitarbeiters zugreifen.For example, this approach makes the isolated container anonymous, so an attacker can't get to your employee's enterprise credentials.

Diagramm zur Hardwareisolation

Für welche Gerätetypen sollte Application Guard verwendet werden?What types of devices should use Application Guard?

Application Guard wurde für verschiedene Gerätetypen erstellt:Application Guard has been created to target several types of devices:

  • Unternehmensdesktops.Enterprise desktops. Diese Desktopcomputer sind mit der Domäne verbunden und werden durch Ihre Organisation verwaltet.These desktops are domain-joined and managed by your organization. Die Konfigurationsverwaltung erfolgt in erster Linie über Microsoft Endpoint Manager oder Microsoft Intune.Configuration management is primarily done through Microsoft Endpoint Manager or Microsoft Intune. Mitarbeiter verfügen für gewöhnlich über Berechtigungen vom Typ „Standardbenutzer“ und verwenden ein LAN-Unternehmensnetzwerk mit hoher Bandbreite.Employees typically have Standard User privileges and use a high-bandwidth, wired, corporate network.

  • Mobile Unternehmens laptops.Enterprise mobile laptops. Diese Laptops sind mit der Domäne verbunden und werden durch Ihre Organisation verwaltet.These laptops are domain-joined and managed by your organization. Die Konfigurationsverwaltung erfolgt in erster Linie über Microsoft Endpoint Manager oder Microsoft Intune.Configuration management is primarily done through Microsoft Endpoint Manager or Microsoft Intune. Mitarbeiter verfügen für gewöhnlich über Berechtigungen vom Typ „Standardbenutzer“ und verwenden ein WLAN-Unternehmensnetzwerk mit hoher Bandbreite.Employees typically have Standard User privileges and use a high-bandwidth, wireless, corporate network.

  • Bring your own device (BYOD) mobile laptops.Bring your own device (BYOD) mobile laptops. Diese persönlichen Laptops sind nicht in die Domäne eingetreten, werden aber von Ihrer Organisation über Tools wie Microsoft Intune verwaltet.These personally-owned laptops are not domain-joined, but are managed by your organization through tools, such as Microsoft Intune. Der Mitarbeiter ist für gewöhnlich ein Administrator des Geräts und verwendet während der Arbeit ein WLAN-Unternehmensnetzwerk mit hoher Bandbreite und zu Hause ein vergleichbares persönliches Netzwerk.The employee is typically an admin on the device and uses a high-bandwidth wireless corporate network while at work and a comparable personal network while at home.

  • Persönliche Geräte.Personal devices. Diese persönlichen Desktops oder mobilen Laptops werden nicht einer Domäne beigetreten oder von einer Organisation verwaltet.These personally-owned desktops or mobile laptops are not domain-joined or managed by an organization. Der Benutzer ist ein Administrator auf dem Gerät und verwendet ein persönliches Drahtlosnetzwerk mit hoher Bandbreite zu Hause oder in einem vergleichbaren öffentlichen Netzwerk außerhalb.The user is an admin on the device and uses a high-bandwidth wireless personal network while at home or a comparable public network while outside.

Verwandte ArtikelRelated articles

ArtikelArticle BeschreibungDescription
Systemanforderungen für Microsoft Defender Application GuardSystem requirements for Microsoft Defender Application Guard Gibt die erforderlichen Komponenten für die Installation und Verwendung von Application Guard an.Specifies the prerequisites necessary to install and use Application Guard.
Vorbereiten und Installieren von Microsoft Defender Application GuardPrepare and install Microsoft Defender Application Guard Enthält Anweisungen zum Bestimmen des zu verwendenden Modus, entweder eigenständig oder unternehmensverwaltet, und Informationen zum Installieren von Application Guard in Ihrer Organisation.Provides instructions about determining which mode to use, either Standalone or Enterprise-managed, and how to install Application Guard in your organization.
Konfigurieren der Gruppenrichtlinieneinstellungen für Microsoft Defender Application GuardConfigure the Group Policy settings for Microsoft Defender Application Guard Enthält Informationen über die verfügbaren Gruppenrichtlinien- und MDM-Einstellungen.Provides info about the available Group Policy and MDM settings.
Testen von Szenarien mit Microsoft Defender Application Guard in Ihrem Unternehmen oder Ihrer OrganisationTesting scenarios using Microsoft Defender Application Guard in your business or organization Enthält eine Liste vorgeschlagener Testszenarien, die Sie zum Testen von Application Guard in Ihrer Organisation verwenden können.Provides a list of suggested testing scenarios that you can use to test Application Guard in your organization.
Microsoft Defender Application Guard Extension für WebbrowserMicrosoft Defender Application Guard Extension for web browsers Beschreibt die Application Guard-Erweiterung für Chrome und Firefox, einschließlich bekannter Probleme, und ein Handbuch zur ProblembehandlungDescribes the Application Guard extension for Chrome and Firefox, including known issues, and a troubleshooting guide
Microsoft Defender Application Guard für Microsoft OfficeMicrosoft Defender Application Guard for Microsoft Office Beschreibt Application Guard für Microsoft Office, einschließlich minimaler Hardwareanforderungen, Konfiguration und eines Leitfadens zur ProblembehandlungDescribes Application Guard for Microsoft Office, including minimum hardware requirements, configuration, and a troubleshooting guide
Häufig gestellte Fragen– Microsoft Defender Application GuardFrequently asked questions - Microsoft Defender Application Guard Enthält Antworten auf häufig gestellte Fragen zu Application Guard-Features, zur Integration in das Windows-Betriebssystem und zur allgemeinen Konfiguration.Provides answers to frequently asked questions about Application Guard features, integration with the Windows operating system, and general configuration.
Verwenden einer Netzwerkgrenze zum Hinzufügen von vertrauenswürdigen Websites auf Windows-Geräten in Microsoft IntuneUse a network boundary to add trusted sites on Windows devices in Microsoft Intune Netzwerkgrenze, ein Feature, mit dem Sie Ihre Umgebung vor Websites schützen können, denen Ihre Organisation nicht vertraut.Network boundary, a feature that helps you protect your environment from sites that aren't trusted by your organization.