Windows Defender Application Guard– Übersicht

Gilt für: Microsoft Defender Advanced Threat Protection (Microsoft Defender ATP)

Windows Defender Application Guard (Application Guard) soll alte und neu entstehende Angriffe verhindern damit Mitarbeiter produktiv bleiben können. Mit unserem einzigartigen Ansatz, unser Ziel ist die verwendete strategiebuch vernichtet werden, die Angreifer verwenden, indem aktuelle Angriffsmethoden veraltet machen.

Was ist Application Guard, und wie funktioniert es?

Die für Windows10 und Microsoft Edge konzipierte Anwendung Application Guard hilft beim Isolieren der vom Unternehmen definierten nicht vertrauenswürdigen Websites, sodass Ihr Unternehmen geschützt ist, wenn Ihre Mitarbeiter im Internet surfen. Als Unternehmensadministrator definieren Sie, was zu den vertrauenswürdigen Websites, Cloud-Ressourcen und internen Netzwerken gehört. Alles, was nicht in Ihrer Liste enthalten ist, wird als nicht vertrauenswürdig eingestuft.

Wenn ein Mitarbeiter über Microsoft Edge oder Internet Explorer eine nicht vertrauenswürdige Website aufruft, wird die Website durch Microsoft Edge in einem isolierten Hyper-V-fähigen Container geöffnet, der vom Hostbetriebssystem getrennt ist. Der Host-PC ist aufgrund der Containerisolierung geschützt, wenn sich die nicht vertrauenswürdige Website als schadhaft herausstellt, und der Angreifer kann nicht an Ihre Unternehmensdaten gelangen. Beispielsweise wird der isolierte Container durch diesen Ansatz anonym. Demzufolge kann der Angreifer nicht auf die Unternehmensanmeldeinformationen Ihres Mitarbeiters zugreifen.

Diagramm zur Hardwareisolation

Für welche Gerätetypen sollte Application Guard verwendet werden?

Application Guard wurde um verschiedene Arten von Systemen als Ziel erstellt:

  • Desktopcomputer in Unternehmen. Diese Desktopcomputer sind mit der Domäne verbunden und werden durch Ihre Organisation verwaltet. Die Konfigurationsverwaltung erfolgt primär über System Center Configuration Manager oder Microsoft Intune. Mitarbeiter verfügen für gewöhnlich über Berechtigungen vom Typ „Standardbenutzer“ und verwenden ein LAN-Unternehmensnetzwerk mit hoher Bandbreite.

  • Mobile Laptops in Unternehmen. Diese Laptops sind mit der Domäne verbunden und werden durch Ihre Organisation verwaltet. Die Konfigurationsverwaltung erfolgt primär über System Center Configuration Manager oder Microsoft Intune. Mitarbeiter verfügen für gewöhnlich über Berechtigungen vom Typ „Standardbenutzer“ und verwenden ein WLAN-Unternehmensnetzwerk mit hoher Bandbreite.

  • Mobile BYOD-Laptops (Bring Your Own Device). Diese Laptops, die sich im persönlichen Besitz der Mitarbeiter befinden, sind nicht mit der Domäne verbunden, werden durch Ihre Organisation aber durch Tools wie Microsoft Intune verwaltet. Der Mitarbeiter ist für gewöhnlich ein Administrator des Geräts und verwendet während der Arbeit ein WLAN-Unternehmensnetzwerk mit hoher Bandbreite und zu Hause ein vergleichbares persönliches Netzwerk.

  • Persönliche Geräte. Diese persönlichen Desktops und mobile Laptops nicht zur Domäne gehören oder von einer Organisation verwaltet werden. Der Benutzer ist ein Administrator auf dem Gerät und ein hoher Bandbreite persönlichen Drahtlosnetzwerk Hause oder vergleichbare öffentlichen Netzwerk während außerhalb verwendet.

Häufig gestellte Fragen

F: Kann ich auf Computern mit 4GB RAM Application Guard aktivieren?
A: 8GB RAM für eine optimale Leistung wird empfohlen, aber Sie können die folgenden DWORD-Werte verwenden, um Application Guard auf Computern aktivieren, die die empfohlene Hardwarekonfiguration nicht erfüllen.
HKLM\software\Microsoft\Hvsi\SpecRequiredProcessorCount – Standardeinstellung ist 4 Kerne.
HKLM\software\Microsoft\Hvsi\SpecRequiredMemoryInGB – Standardwert beträgt 8GB.
HKLM\software\Microsoft\Hvsi\SpecRequiredFreeDiskSpaceInGB – Standardwert beträgt 5GB.


F: Können Mitarbeiter Dokumente aus der Application Guard Edge-Sitzung auf Hostgeräte herunterladen?
A: In Windows 10 Enterprise-Edition 1803 können Benutzer Dokumente aus dem isolierten Application Guard-Container auf dem Host-PC herunterladen wird. Dies wird durch eine Richtlinie verwaltet.

In Windows 10 Enterprise Edition 1709 oder Windows 10 Professional Edition 1803 ist es nicht möglich, Dateien aus dem isolierten Application Guard-Container auf dem Host-PC herunterzuladen. Mitarbeiter können jedoch die Option Als PDF drucken oder Als XPS drucken verwenden und die jeweiligen Dateien auf dem Hostgerät speichern.


F: Können Mitarbeiter Kopieren-und-Einfügen-Vorgänge zwischen dem Hostgerät und der Application Guard Edge-Sitzung vornehmen?
A: Je nach den Einstellungen Ihrer Organisation können Mitarbeiter kopieren und Einfügen Bilder (BMP) und Text in und aus dem isolierten Container.


F: Warum werden Mitarbeitern ihre Favoriten nicht in der Application Guard Edge-Sitzung angezeigt?
A: Damit die Application Guard Edge-Sitzung sicher und vom Hostgerät isoliert bleibt, werden die in der Application Guard Edge-Sitzung gespeicherten Favoriten nicht zurück auf das Hostgerät gespeichert.


F: Warum können Mitarbeiter ihre Erweiterungen in der Application Guard Edge-Sitzung nicht anzeigen?
A: Erweiterungen werden von der Application Guard Edge-Sitzung derzeit nicht unterstützt. Ihr Feedback dazu wird jedoch von uns engmaschig überwacht.


F: Wie konfiguriere ich WDAG Arbeit mit Mein Netzwerk-Proxy (IP-Literal Adressen)?
A: WDAG erfordert Proxys einen symbolischen Namen, nicht nur eine IP-Adresse haben. IP-Literal Proxyeinstellungen, z. B. "192.168.1.4:81" als "Itproxy:81" gekennzeichnet werden können oder einen Datensatz z. B. "P19216810010" für einen Proxy mit einer IP-Adresse 192.168.100.10. Dies gilt für Windows 10 Enterprise Edition, 1709 oder höher.


F: Ich aktiviert die Hardware-Beschleunigung-Richtlinie auf Meine Windows 10 Enterprise, Version 1803 Bereitstellung. Warum sind meine Benutzer weiterhin nur beim Abrufen des CPU-Rendering?
A: Dieses Feature ist derzeit experimentelle nur und funktioniert nicht ohne eine zusätzliche Regkey von Microsoft bereitgestellt. Wenn Sie, um zu bewerten, dieses Feature auf einer Bereitstellung von Windows 10 Enterprise, Version 1803 möchten, wenden Sie sich an Microsoft, und wir gemeinsam mit Ihnen das Feature aktivieren.


F: Was ist das lokale WDAGUtilityAccount-Konto?
A: Dieses Konto ist Teil der Application Guard beginnend mit Windows 10, Version 1709 (Fall Creators Update). Dieses Konto bleibt deaktiviert, bis Application Guard auf Ihrem Gerät aktiviert ist. Dieser Artikel ist für das Betriebssystem integriert und gilt nicht als eine Bedrohung/Virus/Schadsoftware.


Verwandte Themen

Thema Beschreibung
Systemanforderungen für Windows Defender Application Guard Gibt die zum Installieren und Verwenden von Application Guard erforderlichen Anforderungen an.
Vorbereiten und Installieren von Windows Defender Application Guard Enthält Anweisungen zum Bestimmen des zu verwendenden Modus, entweder eigenständig oder unternehmensverwaltet, und Informationen zum Installieren von Application Guard in Ihrer Organisation.
Konfigurieren der Gruppenrichtlinieneinstellungen für Windows Defender Application Guard Enthält Informationen über die verfügbaren Gruppenrichtlinien- und MDM-Einstellungen.
Testszenarien für die Verwendung von Windows Defender Application Guard in Ihrem Unternehmen oder in Ihrer Organisation Enthält eine Liste mit Vorschlägen für Testszenarien, die Sie verwenden können, um Windows Defender Application Guard (Application Guard) in Ihrer Organisation zu testen.