Aus Sicherheitsgründen ist es in Unternehmensumgebungen eventuell erwünscht, den Microsoft Edge-Browser immer isoliert im Microsoft Defender Application Guard (WDAG) zu starten. Mark Heitbrink hat sich mit der Frage auseinander gesetzt und einen Ansatz entwickelt, wie sich der Microsoft Defender Application Guard (WDAG) unter Windows 10 statt des Edge-Browsers aufrufen lässt.
Anzeige
Der Microsoft Defender Application Guard (WDAG)
Microsoft hat für Windows 10 (ab Version 1709) in den Varianten Professional und Enterprise den Microsoft Defender Application Guard (WDAG) entwickelt – die Anforderungen lassen sich hier nachlesen. Der Application Guard ermöglicht es, den Edge-Browser in einer isolierten (Hyper-V) Umgebung ablaufen zu lassen.
Ruft ein Mitarbeiter über Microsoft Edge oder Internet Explorer eine nicht vertrauenswürdige Website auf, bewirkt der WDAG, dass die Website durch Microsoft Edge in einem isolierten Hyper-V-fähigen Container geöffnet wird, der vom Hostbetriebssystem getrennt ist. Der Host-PC ist aufgrund der Containerisolierung geschützt, wenn sich die nicht vertrauenswürdige Website als schadhaft herausstellt. Ein Angreifer kann nicht an Ihre Unternehmensdaten gelangen. Microsoft beschreibt in diesem Dokument die Details.
WDAG statt Edge in Windows 10 aufrufen
Die Idee Microsofts ist es, dass Administratoren festlegen, welche Webseiten in einer Unternehmensumgebung vertrauenswürdig sind und welche nicht. Der Microsoft Defender Application Guard (WDAG) übernimmt dann anhand dieser Liste die Isolierung des Edge beim Aufruf nicht vertrauenswürdiger Seiten.
Aus Sicherheitsgründen könnte es aber erwünscht sein, dass Administratoren und auch normale Benutzer statt mit dem Edge-Browser immer den Edge in einer WDAG-Umgebung ausführen. Quasi ein Browser in einer Sandbox, der keinen Austausch mit dem Host ermöglicht und bei dem nach dem Beenden der Browsersitzung alles verworfen wird.
Mark Heitbrink hat sich Gedanken gemacht, wie man zum Surfen im Web immer den Microsoft Defender Application Guard (WDAG) mit dem isolierten Edge-Browser aufrufen kann. Ein kleines PowerShell-Script und einige Gruppenrichtlinienanpassungen stellen einen Ansatz dar, um das zu realisieren. Wer sich für das Thema interessiert, findet die Details auf Gruppenrichtlinien.de im Beitrag Microsoft Defender Application Guard (MDAG) anstelle von Microsoft Edge starten. Vielleicht ist das für den einen oder anderen Administrator von Interesse.
2015
Moin,
was spricht eigentlich gegen die Verwendung des "Microsoft Defender Application Guard Companion" aus dem Store?
Dass man dafür zusätzlich den Companion installieren muss.
Im Übrigen wird der WDAG nicht "statt Edge" gestartet, wie es der Titel unglücklich unterstellt, denn der WDAG ist kein Browser. Es wird Edge im WDAG gestartet.
Gegen Edge im WDAG spricht, dass MS die Sache vermurkst hat. Es fehlt die Möglichkeit für die normalen User, vertrauenswürdige Seiten definieren zu können, so dass z.B. alle anderen Seiten automatisch im WDAG geöfnnet würden. Insofern würde ich nur ungern Edge gleich komplett im WDAG starten, sondern halt nur bei Bedarf im laufenden normalen Edge und somit auch keine den Schutz mindernden Ausnahmen zulassen wollen. Weiterhin laufen mit Aktivierung des WDAG ne hübsche Menge zusätzlicher Prozesse mit, die ich mir alle erspare, da ich mit dem Webbrowser grundsätzlich keine Malware installiere. Das war mal zu meinen fernen DAU-Zeiten so, danach nie wieder. ;-)
Es war aber gar nicht Marks und Günters Thema, was gegen Edge im Application Guard spricht – ganz im Gegenteil.
Und ansonsten: whaaat? ein Programm installieren? Schröcklich – das Betriebssystem hat rein zu bleiben. Aber zum Glück nur bei Dir.
> Es war aber gar nicht Marks und Günters Thema, was gegen Edge im
> Application Guard spricht – ganz im Gegenteil.
Nun, ich habe mir erlaubt, das Thema zu erweitern und darauf hinzuweisen, dass MS die Sache wenig praxisfreundlich umgesetzt hat – und das spricht gegen Edge im WDAG.
> Und ansonsten: whaaat? ein Programm installieren? Schröcklich – das
> Betriebssystem hat rein zu bleiben. Aber zum Glück nur bei Dir.
Papperlapapp. Zusätzliche Programme installiert man nur da, wo sie sinnvoll sind. Um Edge im WDAG starten zu können, genügt eine Tastenkombi, ein zusätzliches Programm dafür ist hyperfluid.
[System.Windows.Forms.SendKeys]::SendWait("^+a")
Bis dahin OK
# Achtung beendet alle Browser Fenster
# stop-process -Name msedge
Aber auch der WDAG-Edge wird dann doch beendet?
Erst Mal lieben dank für den Beitrag, das Powershell Skript läuft so bei uns nicht. Es wird der Edge geöffnet und gleichzeitig MDAG(WDAG) , es bleiben dennoch alle Browser offen, auch der Edge selbst. Zusätzlich haben wir das Problem mit VPN, stellt man eine VPN Verbindung her und öffnet den MDAG kann man keine Seiten aufrufen. Einen Proxyserver haben wir im Einsatz. Ohne VPN Verbindung funktioniert es.
Kennt wer das Problem?
Beste Grüße