Windows Defender Application Guard– Übersicht

Gilt für: Erweiterter Bedrohungsschutz für Microsoft Defender (Microsoft Defender ATP)

Windows Defender Application Guard (Application Guard) dient dazu, alte und neu auftretende Angriffe zu verhindern, um die Produktivität der Mitarbeiter zu verbleiben. Unser Ziel ist es, das von Angreifern verwendete Textbuch zu vernichten, indem aktuelle Angriffsmethoden veraltet sind.

Was ist Application Guard, und wie funktioniert es?

Die für Windows10 und Microsoft Edge konzipierte Anwendung Application Guard hilft beim Isolieren der vom Unternehmen definierten nicht vertrauenswürdigen Websites, sodass Ihr Unternehmen geschützt ist, wenn Ihre Mitarbeiter im Internet surfen. Als Unternehmensadministrator definieren Sie, was zu den vertrauenswürdigen Websites, Cloud-Ressourcen und internen Netzwerken gehört. Alles, was nicht in Ihrer Liste enthalten ist, wird als nicht vertrauenswürdig eingestuft.

Wenn ein Mitarbeiter über Microsoft Edge oder Internet Explorer eine nicht vertrauenswürdige Website aufruft, wird die Website durch Microsoft Edge in einem isolierten Hyper-V-fähigen Container geöffnet, der vom Hostbetriebssystem getrennt ist. Der Host-PC ist aufgrund der Containerisolierung geschützt, wenn sich die nicht vertrauenswürdige Website als schadhaft herausstellt, und der Angreifer kann nicht an Ihre Unternehmensdaten gelangen. Beispielsweise wird der isolierte Container durch diesen Ansatz anonym. Demzufolge kann der Angreifer nicht auf die Unternehmensanmeldeinformationen Ihres Mitarbeiters zugreifen.

Diagramm zur Hardwareisolation

Für welche Gerätetypen sollte Application Guard verwendet werden?

Application Guard wurde erstellt, um auf verschiedene Typen von Systemen zuzielen:

  • Desktopcomputer in Unternehmen. Diese Desktopcomputer sind mit der Domäne verbunden und werden durch Ihre Organisation verwaltet. Die Konfigurationsverwaltung erfolgt primär über System Center Configuration Manager oder Microsoft Intune. Mitarbeiter verfügen für gewöhnlich über Berechtigungen vom Typ „Standardbenutzer“ und verwenden ein LAN-Unternehmensnetzwerk mit hoher Bandbreite.

  • Mobile Laptops in Unternehmen. Diese Laptops sind mit der Domäne verbunden und werden durch Ihre Organisation verwaltet. Die Konfigurationsverwaltung erfolgt primär über System Center Configuration Manager oder Microsoft Intune. Mitarbeiter verfügen für gewöhnlich über Berechtigungen vom Typ „Standardbenutzer“ und verwenden ein WLAN-Unternehmensnetzwerk mit hoher Bandbreite.

  • Mobile BYOD-Laptops (Bring Your Own Device). Diese Laptops, die sich im persönlichen Besitz der Mitarbeiter befinden, sind nicht mit der Domäne verbunden, werden durch Ihre Organisation aber durch Tools wie Microsoft Intune verwaltet. Der Mitarbeiter ist für gewöhnlich ein Administrator des Geräts und verwendet während der Arbeit ein WLAN-Unternehmensnetzwerk mit hoher Bandbreite und zu Hause ein vergleichbares persönliches Netzwerk.

  • Persönliche Geräte. Diese personenbezogenen Desktops oder mobilen Laptops sind nicht Domänen verbunden oder werden von einer Organisation verwaltet. Der Benutzer ist ein Administrator auf dem Gerät und verwendet ein drahtloses privates Netzwerk mit hoher Bandbreite, während es sich zu Hause oder in einem vergleichbaren öffentlichen Netzwerk außerhalb befindet.

Häufig gestellte Fragen

F: Kann ich auf Computern mit 4GB RAM Application Guard aktivieren?
A: Für eine optimale Leistung empfehlen wir 8 GB RAM, doch Sie können die folgenden DWORD-Registrierungswerte verwenden, um Application Guard auf Computern zu aktivieren, die nicht der empfohlenen Hardwarekonfiguration entsprechen.
HKLM\software\Microsoft\Hvsi\SpecRequiredProcessorCount – Standardeinstellung ist 4 Kerne.
HKLM\software\Microsoft\Hvsi\SpecRequiredMemoryInGB – Standardwert beträgt 8GB.
HKLM\software\Microsoft\Hvsi\SpecRequiredFreeDiskSpaceInGB – Standardwert beträgt 5GB.


F: Können Mitarbeiter Dokumente aus der Application Guard Edge-Sitzung auf Hostgeräte herunterladen?
A: In Windows 10 Enterprise Edition 1803 können Benutzer Dokumente aus dem isolierten Application Guard-Container auf den Host-PC herunterladen. Dies wird nach Richtlinie verwaltet.

In Windows 10 Enterprise Edition 1709 oder Windows 10 Professional Edition 1803 ist es nicht möglich, Dateien aus dem isolierten Application Guard-Container auf den Host-PC herunterzuladen. Mitarbeiter können jedoch die Option Als PDF drucken oder Als XPS drucken verwenden und die jeweiligen Dateien auf dem Hostgerät speichern.


F: Können Mitarbeiter Kopieren-und-Einfügen-Vorgänge zwischen dem Hostgerät und der Application Guard Edge-Sitzung vornehmen?
A: Je nach den Einstellungen Ihrer Organisation können Mitarbeiter Bilder (. BMP) und Text in den und aus dem isolierten Container kopieren und einfügen.


F: Warum werden Mitarbeitern ihre Favoriten nicht in der Application Guard Edge-Sitzung angezeigt?
A: Damit die Application Guard Edge-Sitzung sicher und vom Hostgerät isoliert bleibt, werden die in der Application Guard Edge-Sitzung gespeicherten Favoriten nicht zurück auf das Hostgerät gespeichert.


F: Warum können Mitarbeiter ihre Erweiterungen in der Application Guard Edge-Sitzung nicht anzeigen?
A: Erweiterungen werden von der Application Guard Edge-Sitzung derzeit nicht unterstützt. Ihr Feedback dazu wird jedoch von uns engmaschig überwacht.


F: Wie konfiguriere ich WDAG für die Verwendung meines Netzwerk Proxys (IP-Literal-Adressen)?
A: WDAG erfordert Proxys einen symbolischen Namen, nicht nur eine IP-Adresse. IP-Literale Proxyeinstellungen wie "192.168.1.4:81" können als "itproxy: 81" oder mit einem Eintrag wie "P19216810010" für einen Proxy mit einer IP-Adresse von 192.168.100.10 kommentiert werden. Dies gilt für Windows 10 Enterprise Edition, 1709 oder höher.


F: Ich habe die Richtlinie für die Hardwarebeschleunigung in meiner Windows 10 Enterprise, Version 1803-Bereitstellung aktiviert. Warum werden meine Benutzer immer noch nur CPU-Rendering erhalten?
A: Dieses Feature ist derzeit nur experimentell und funktioniert nicht ohne ein zusätzliches der Registrierungsschlüssel, das von Microsoft bereitgestellt wird. Wenn Sie diese Funktion auf einer Bereitstellung von Windows 10 Enterprise, Version 1803, auswerten möchten, wenden Sie sich bitte an Microsoft, und wir arbeiten mit Ihnen zusammen, um die Funktion zu aktivieren.


F: Was ist das lokale WDAGUtilityAccount-Konto?
A: Dieses Konto ist Teil von Application Guard ab Windows 10, Version 1709 (Fall Creators Update). Dieses Konto bleibt deaktiviert, bis Application Guard auf Ihrem Gerät aktiviert ist. Dieses Element ist in das Betriebssystem integriert und wird nicht als Bedrohung/Virus/Malware eingestuft.


Verwandte Themen

Thema Beschreibung
Systemanforderungen für Windows Defender Application Guard Gibt die zum Installieren und Verwenden von Application Guard erforderlichen Anforderungen an.
Vorbereiten und Installieren von Windows Defender Application Guard Enthält Anweisungen zum Bestimmen des zu verwendenden Modus, entweder eigenständig oder unternehmensverwaltet, und Informationen zum Installieren von Application Guard in Ihrer Organisation.
Konfigurieren der Gruppenrichtlinieneinstellungen für Windows Defender Application Guard Enthält Informationen über die verfügbaren Gruppenrichtlinien- und MDM-Einstellungen.
Testszenarien für die Verwendung von Windows Defender Application Guard in Ihrem Unternehmen oder in Ihrer Organisation Enthält eine Liste mit Vorschlägen für Testszenarien, die Sie verwenden können, um Windows Defender Application Guard (Application Guard) in Ihrer Organisation zu testen.