≡ Menu

Windows Defender Application Guard: Installation und Konfiguration über GPO

Als Windows 10 Enterprise Feature gestartet, kann Application Guard nach dem neusten Windows 10 Update 1802 auch auf Windows 10 Pro und EDU-Versionen aktiviert werden.

Vorausgesetzt man hat die passende Hardware dazu:

https://docs.microsoft.com/de-de/windows/security/threat-protection/windows-defender-application-guard/reqs-wd-app-guard

Kurzbeschreibung:  Durch Application Guard werden Webseiten in einem isolierten Hyper-V fähigen Container geöffnet, der vom Hostbetriebssystem getrennt ist. Nachdem das Application Guard Fenster geschlossen wird, löscht sich der temporäre Container und sämtlich Daten in ihm. Außer es werden Konfiguration zur persistenten Speicherung vorgenommen per GPO.

Achtung: Solltet ihr einen weiteren Hypervisor wie z.B. VirtualBox oder VMware Player auf eurem System einsetzen wird dieser im Zusammenspiel mit Hyper-V/Application Guard nicht mehr funktionieren.

Beispiel VirtualBox:

Raw-mode is unavailable courtesy of Hyper-V. (VERR_SUPDRV_NO_RAW_MODE_HYPER_V_ROOT).

In diesem Forum gibt es eine Lösung, indem man Hyper-V beim Start deaktivieren und aktiviert, was natürlich für die Funktion des Application Guard nicht sinnvoll ist: https://discuss.erpnext.com/t/virtualbox-wont-run-raw-mode-unavailable-courtesy-of-hyper-v/34541/12

Windows Defender Application Guard aktivieren

Über Programs and Features die Funktion aktivieren. Sollte das System nicht die Voraussetzung dafür mitbringen in diese Funktion ausgeraut.

Alternativ schnell über PS:

Enable-WindowsOptionalFeature -online -FeatureName Windows-Defender-ApplicationGuard

Edge Browser öffnen und den neuen Tab “New Application Guard windows” auswählen.

Erkennbar ist der Edge im Application Guard Mode, wenn das Fenster orange hinterlegt ist und ein VM-Symbol unten zu sehen ist.

Konfiguration über GPO

Gpedit.msc mit Administratorrechten ausführen.

Pfad: Computer Configuration -> Windows Components -> Windows Defender Application Guard

Anbei eine Empfehlung von Settings die nach meiner Ansicht Aktiviert bzw. Deaktiviert gehören:

  1. Copy & Paste von der VM zum Host und umgekehrt sollten immer deaktiviert werden. Sollte eine Application Guard Browser Session kompromittiert worden sein, kann diese den Inhalt vom Clipboard auslesen. Im schlimmsten Fall wäre das ein Passwort oder vertraulicher Text.
  2. Print Settings hier reicht die Option 2 PDFs zu drucken. Wenn das Feature aktiviert ist, erlaubt Application Guard die PDFs in das lokale Filesystem vom User zu schreiben.
    3. Browserdaten wie Favoriten und Cookies werden nach dem schließen automatisch standardmäßig gelöscht. User brauchen aber meistens ihre Favoriten und Cookies 😉
    4. Herunterladen von Dateien ist wohl unabdingbar je nachdem im welchem Bereich gearbeitet wird. Die Dateien werden dann im lokalen Filesystem in einem Folder mit den Namen ““Untrusted Files” gespeichert. Das Ausführen von .exe-Dateien sollte in keinem Enterprise Umfeld möglich sein und per Applocker Richtlinie unterbunden werden.
    Nachdem die Settings konfiguriert sind, reicht kein gpupdate sondern nur ein Neustart des Systems um die Settings anzuwenden.

Comments on this entry are closed.