Application Guard Testszenarien

• Gilt für::

  ✅ Windows 11, ✅ Windows 10

Hinweis

• Microsoft Defender Application Guard, einschließlich der Startprogramm-APIs für isolierte Windows-Apps, ist für Microsoft Edge for Business veraltet und wird nicht mehr aktualisiert. Weitere Informationen zu den Sicherheitsfunktionen von Microsoft Edge finden Sie unter Microsoft Edge For Business Security.
• Ab Windows 11 Version 24H2 ist Microsoft Defender Application Guard, einschließlich der Startprogramm-APIs für isolierte Windows-Apps, nicht mehr verfügbar.
• Da Application Guard veraltet ist, wird keine Migration zum Edgemanifest V3 durchgeführt. Die entsprechenden Browsererweiterungen und die zugehörige Windows Store-App sind nicht mehr verfügbar. Wenn Sie nicht geschützte Browser blockieren möchten, bis Sie bereit sind, die MDAG-Nutzung in Ihrem Unternehmen außer Kraft zu setzen, empfehlen wir die Verwendung von AppLocker-Richtlinien oder des Microsoft Edge-Verwaltungsdiensts. Weitere Informationen finden Sie unter Microsoft Edge und Microsoft Defender Application Guard.

Wir haben eine Liste von Szenarien erstellt, die Sie zum Testen der hardwarebasierten Isolation in Ihrem organization verwenden können.

Application Guard im eigenständigen Modus

Sie können sehen, wie ein Mitarbeiter den eigenständigen Modus mit Application Guard verwenden würde.

So testen Sie Application Guard im eigenständigen Modus

1. Installieren Sie Application Guard.

2. Starten Sie das Gerät neu, starten Sie Microsoft Edge, und klicken Sie dann im Menü auf Neues Application Guard Fenster.

   

3. Warten Sie, bis Application Guard die isolierte Umgebung eingerichtet hat.

   Hinweis

   Wenn Application Guard zu schnell gestartet wird, nachdem das Gerät neu gestartet wurde, kann dies zu längeren Geräteladezeiten führen. Nachfolgende Startvorgänge sollten jedoch ohne wahrnehmbare Verzögerungen erfolgen.

4. Rufen Sie eine nicht vertrauenswürdige, aber sichere URL (in diesem Beispiel wurde „msn.com“ verwendet) auf, und zeigen Sie das neue Microsoft Edge-Fenster an. Stellen Sie dabei sicher, dass Sie die visuellen Application Guard-Hinweise sehen.

   

Application Guard im unternehmensverwalteten Modus

Anleitungen zum Installieren, Einrichten, Aktivieren und Konfigurieren von Application Guard für den unternehmensverwalteten Modus.

Installieren, Einrichten und Aktivieren von Application Guard

Bevor Sie Application Guard im verwalteten Modus verwenden können, müssen Sie Windows 10 Enterprise Edition, Version 1709, und Windows 11 installieren, die die Funktionalität enthält. Anschließend müssen Sie Gruppenrichtlinie verwenden, um die erforderlichen Einstellungen festzulegen.

1. Installieren Sie Application Guard.

2. Starten Sie das Gerät neu, und starten Sie dann Microsoft Edge.

3. Richten Sie die Netzwerkisolationseinstellungen in „Gruppenrichtlinie“ ein:

   1. Wählen Sie das Windows-Symbol aus, geben Sie einGroup Policy, und wählen Sie dann Gruppenrichtlinie bearbeiten aus.

   2. Wechseln Sie zur Einstellung Administrative Vorlagen\Netzwerk\Netzwerkisolation\In der Cloud gehostete Unternehmensressourcendomänen.

   3. Geben Sie .microsoft.com für dieses Szenario in das Feld Enterprise-Cloudressourcen ein.

      

   4. Wechseln Sie zur Einstellung Administrative Vorlagen\Netzwerk\Netzwerkisolation\Sowohl als Arbeits- als auch als persönliche Ressourcen kategorisierte Domänen.

   5. Geben Sie bing.com für dieses Szenario in das Feld Neutrale Ressourcen ein.

      

4. Wechseln Sie zur Einstellung Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Microsoft Defender Application Guard\Microsoft Defender Application Guard im verwalteten Modus aktivieren.

5. Wählen Sie Aktiviert aus, wählen Sie Option 1 und dann OK aus.

   

   Hinweis

   Durch die Aktivierung dieser Einstellung wird überprüft, ob alle erforderlichen Einstellungen auf den Geräten Ihrer Mitarbeiter ordnungsgemäß konfiguriert sind. Dazu zählen auch die Netzwerkisolationseinstellungen, die zuvor in diesem Szenario festgelegt wurden.

6. Starten Sie Microsoft Edge, und geben Sie ein https://www.microsoft.com.

   Nachdem Sie die URL übermittelt haben, stellt Application Guard fest, dass die URL vertrauenswürdig ist, da sie die Domäne verwendet, die Sie als vertrauenswürdig markiert haben, und die Website direkt auf dem Host-PC statt in Application Guard anzeigt.

   

7. Geben Sie im selben Microsoft Edge-Browser eine beliebige URL ein, die nicht Teil Ihrer vertrauenswürdigen oder neutralen Websitelisten ist.

   Nachdem Sie die URL gesendet haben, ermittelt Application Guard, dass die URL nicht vertrauenswürdig ist und leitet die Anforderung an die hardwareisolierte Umgebung um.

   

Anpassen von Application Guard

Mit Application Guard können Sie Ihre Konfiguration angeben, wodurch Sie ein entsprechendes Gleichgewicht zwischen isolationsbasierter Sicherheit und Produktivität für Ihre Mitarbeiter erschaffen können.

Application Guard bietet das folgende Standardverhalten für Ihre Mitarbeiter:

• Kein Copy-and-Paste zwischen dem Host-PC und dem isolierten Container.

• Kein Drucken aus dem isolierten Container.

• Keine Datenpersistenz von einem isolierten Container zu einem anderen isolierten Container.

Sie können jede einzelne dieser Einstellungen in „Gruppenrichtlinie“ für die Arbeit mit Ihrem Unternehmen ändern.

Gilt für:

• Windows 10 Enterprise- oder Pro-Edition, Version 1803 oder höher
• Windows 11 Enterprise- oder Pro-Editionen

Kopier- und Einfügeoptionen

1. Wechseln Sie zu Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Microsoft Defender Application Guard\Microsoft Defender Application Guard Zwischenablage konfigurieren.

2. Wählen Sie Aktiviert und dann OK aus.

   

3. Wählen Sie die Funktionsweise der Zwischenablage aus:

   • Kopieren von Inhalten aus der isolierten Sitzung und Einfügen auf dem Host-PC

   • Kopieren von Inhalten vom Host-PC und Einfügen in der isolierten Sitzung

   • Bidirektionales Kopieren und Einfügen

4. Wählen Sie aus, was kopiert werden kann:

   • Zwischen dem Host-PC und dem isolierten Container kann nur Text kopiert werden.

   • Nur Images können zwischen dem Host-PC und dem isolierten Container kopiert werden.

   • Sowohl Text als auch Bilder können zwischen dem Host-PC und dem isolierten Container kopiert werden.

5. Wählen Sie OK aus.

Druckoptionen

1. Wechseln Sie zu Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Microsoft Defender Application Guard\Microsoft Defender Application Guard Druckeinstellungen konfigurieren.

2. Wählen Sie Aktiviert und dann OK aus.

   

3. Wählen Sie auf Grundlage der in der Einstellung bereitgestellten Liste die Nummer aus, die am besten repräsentiert, welcher Drucktyp für Ihre Mitarbeiter verfügbar sein sollte. Sie können jede Kombination aus lokalem, Netzwerk-, PDF- und XPS-Druck zulassen.

4. Wählen Sie OK aus.

Datenpersistenzoptionen

1. Wechseln Sie zur Einstellung Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Microsoft Defender Application Guard\Datenpersistenz für Microsoft Defender Application Guard zulassen.

2. Wählen Sie Aktiviert und dann OK aus.

   

3. Öffnen Sie Microsoft Edge, und navigieren Sie zu einer nicht vertrauenswürdigen, aber sicheren URL.

   Die Website wird in der isolierten Sitzung geöffnet.

4. Fügen Sie der Liste Favoriten die Site hinzu, und schließen Sie dann die isolierte Sitzung.

5. Melden Sie sich ab und wieder bei Ihrem Gerät an, und öffnen Sie Microsoft Edge in Application Guard erneut.

   Die zuvor hinzugefügte Site sollte weiterhin in der Liste Favoriten angezeigt werden.

   Hinweis

   Ab Windows 11 Version 22H2 ist die Datenpersistenz standardmäßig deaktiviert. Wenn Sie die Datenpersistenz nicht zulassen oder deaktivieren, wird beim Neustart eines Geräts oder beim Anmelden und Abmelden des isolierten Containers ein Wiederverwendungsereignis ausgelöst. Diese Aktion verwirft alle generierten Daten, z. B. Sitzungscookies und Favoriten, und entfernt die Daten aus Application Guard. Wenn Sie die Datenpersistenz aktivieren, werden alle von Mitarbeitern generierten Artefakte Containerwiederverwendungsereignis-übergreifend beibehalten. Diese Artefakte sind jedoch nur im isolierten Container vorhanden und werden nicht für den Host-PC freigegeben. Diese Daten werden nach Neustarts und sogar durch Build-zu-Build-Upgrades von Windows 10 und Windows 11 beibehalten.

   Wenn Sie sich entscheiden, die Datenpersistenz für Ihre Mitarbeiter zu aktivieren, sie aber später ggf. beenden möchten, können Sie unser Windows-Hilfsprogramm verwenden, um den Container zurückzusetzen und um persönliche Daten zu verwerfen.

   Führen Sie die folgenden Schritte aus, um den Container zurückzusetzen:
   1. Öffnen Sie ein Befehlszeilenprogramm, und navigieren Sie zu Windows/System32.
   2. Geben Sie ein wdagtool.exe cleanup. Die Containerumgebung wird zurückgesetzt. Es werden nur die vom Mitarbeiter generierten Daten beibehalten.
   3. Geben Sie ein wdagtool.exe cleanup RESET_PERSISTENCE_LAYER. Die Containerumgebung, einschließlich aller vom Mitarbeiter generierten Daten, wird zurückgesetzt.

   Microsoft Edge Version 90 oder höher unterstützt RESET_PERSISTENCE_LAYERnicht mehr.

Gilt für:

• Windows 10 Enterprise- oder Pro-Editionen, Version 1803
• Windows 11 Enterprise- oder Pro-Edition, Version 21H2. Die Datenpersistenz ist in Windows 11, Version 22H2 und höher, standardmäßig deaktiviert.

Downloadoptionen

1. Wechseln Sie zur Einstellung Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Microsoft Defender Application Guard\Dateien herunterladen und auf dem Hostbetriebssystem speichern aus Microsoft Defender Application Guard.

2. Wählen Sie Aktiviert und dann OK aus.

   

3. Melden Sie sich ab und wieder bei Ihrem Gerät an, und öffnen Sie Microsoft Edge in Application Guard erneut.

4. Laden Sie eine Datei aus Microsoft Defender Application Guard herunter.

5. Überprüfen Sie, ob die Datei in Dieser PC > heruntergeladen wurde Nicht > vertrauenswürdige Dateien.

Hardwarebeschleunigungsoptionen

1. Wechseln Sie zur Einstellung Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Microsoft Defender Application Guard\Hardwarebeschleunigtes Rendering für Microsoft Defender Application Guard zulassen.

2. Wählen Sie Aktiviert und dann OK aus.

   

3. Nachdem Sie dieses Feature aktiviert haben, öffnen Sie Microsoft Edge, und navigieren Sie zu einer nicht vertrauenswürdigen, aber sicheren URL mit Video-, 3D- oder anderen grafikintensiven Inhalten. Die Website wird in einer isolierten Sitzung geöffnet.

4. Bewerten Sie die visuelle Benutzererfahrung und die Akkuleistung.

Kamera- und Mikrofonoptionen

1. Wechseln Sie zur Einstellung Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Microsoft Defender Application Guard\Kamera- und Mikrofonzugriff in Microsoft Defender Application Guard zulassen.

2. Wählen Sie Aktiviert und dann OK aus.

   

3. Melden Sie sich ab und wieder bei Ihrem Gerät an, und öffnen Sie Microsoft Edge in Application Guard erneut.

4. Öffnen Sie eine Anwendung mit Video- oder Audiofunktion in Microsoft Edge.

5. Überprüfen Sie, ob Kamera und Mikrofon wie erwartet funktionieren.

Optionen für die Freigabe von Stammzertifikaten

1. Wechseln Sie in der Geräteeinstellung des Benutzers zu Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Microsoft Defender Application Guard\Microsoft Defender Application Guard die Verwendung von Stammzertifizierungsstellen erlauben.

2. Wählen Sie Aktiviert aus, kopieren Sie den Fingerabdruck jedes zertifikats zu teilenden Zertifikats, getrennt durch ein Komma, und wählen Sie OK aus.

   

3. Melden Sie sich ab und wieder bei Ihrem Gerät an, und öffnen Sie Microsoft Edge in Application Guard erneut.

Application Guard-Erweiterung für Webbrowser von Drittanbietern

Die für Chrome und Firefox verfügbare Application Guard-Erweiterung ermöglicht es Application Guard, Benutzer auch dann zu schützen, wenn sie einen anderen Webbrowser als Microsoft Edge oder Internet Explorer verwenden.

Sobald ein Benutzer die Erweiterung und die zugehörige Begleit-App auf seinem Unternehmensgerät installiert hat, können Sie die folgenden Szenarien durchlaufen.

1. Öffnen Sie entweder Firefox oder Chrome, unabhängig davon, auf welchem Browser Sie die Erweiterung installiert haben.

2. Navigieren Sie zu einer Organisationswebsite. Mit anderen Worten, eine interne Website, die von Ihrem organization verwaltet wird. Möglicherweise wird diese Auswertungsseite für einen Moment angezeigt, bevor die Website vollständig geladen ist.

   

3. Navigieren Sie zu einer externen Website außerhalb des Unternehmens, z. B. www.bing.com. Die Website sollte an Microsoft Defender Application Guard Edge umgeleitet werden.

   

4. Öffnen Sie ein neues Application Guard-Fenster, indem Sie auf das symbol Microsoft Defender Application Guard und dann auf Neu Application Guard Fenster klicken.