Konfigurieren Microsoft Defender Application Guard Richtlinieneinstellungen
Hinweis
- Microsoft Defender Application Guard, einschließlich der Startprogramm-APIs für isolierte Windows-Apps, ist für Microsoft Edge for Business veraltet und wird nicht mehr aktualisiert. Weitere Informationen zu den Sicherheitsfunktionen von Microsoft Edge finden Sie unter Microsoft Edge For Business Security.
- Ab Windows 11 Version 24H2 ist Microsoft Defender Application Guard, einschließlich der Startprogramm-APIs für isolierte Windows-Apps, nicht mehr verfügbar.
- Da Application Guard veraltet ist, wird keine Migration zum Edgemanifest V3 durchgeführt. Die entsprechenden Browsererweiterungen und die zugehörige Windows Store-App sind nicht mehr verfügbar. Wenn Sie nicht geschützte Browser blockieren möchten, bis Sie bereit sind, die MDAG-Nutzung in Ihrem Unternehmen außer Kraft zu setzen, empfehlen wir die Verwendung von AppLocker-Richtlinien oder des Microsoft Edge-Verwaltungsdiensts. Weitere Informationen finden Sie unter Microsoft Edge und Microsoft Defender Application Guard.
Microsoft Defender Application Guard (Application Guard) arbeitet mit Gruppenrichtlinie zusammen, um Die Computereinstellungen Ihrer organization zu verwalten. Mithilfe von „Gruppenrichtlinie“ können Sie eine Einstellung einmal einrichten und dann auf viele Computer kopieren. Sie können beispielsweise mehrere Sicherheitseinstellungen in einem Gruppenrichtlinie Object einrichten, das mit einer Domäne verknüpft ist, und dann alle diese Einstellungen auf jeden Endpunkt in der Domäne anwenden.
Application Guard verwendet Netzwerkisolations- und App-spezifische Einstellungen.
Windows-Edition und Lizenzierungsanforderungen
In der folgenden Tabelle sind die Windows-Editionen aufgeführt, die Microsoft Defender Application Guard (MDAG) für den Edge-Unternehmensmodus und die Unternehmensverwaltung unterstützen:
Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
---|---|---|---|
Nein | Ja | Nein | Ja |
Microsoft Defender Application Guard (MDAG) für Den Edge-Unternehmensmodus und die Unternehmensverwaltungslizenzberechtigungen werden durch die folgenden Lizenzen gewährt:
Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
---|---|---|---|---|
Nein | Ja | Ja | Ja | Ja |
Weitere Informationen zur Windows-Lizenzierung finden Sie unter Übersicht über die Windows-Lizenzierung.
Weitere Informationen zu Microsoft Defender Application Guard (MDAG) für Microsoft Edge im eigenständigen Modus finden Sie unter Microsoft Defender Application Guard Übersicht.
Netzwerkisolationseinstellungen
Mithilfe dieser Einstellungen unter Computer Configuration\Administrative Templates\Network\Network Isolation
können Sie die Netzwerkgrenzen Ihrer organization definieren und verwalten. Application Guard verwendet diese Informationen, um alle Anforderungen für den Zugriff auf die ressourcenfremden Ressourcen automatisch in den Application Guard-Container zu übertragen.
Hinweis
Für Windows 10 müssen Sie keine Netzwerkisolationsrichtlinie konfigurieren, wenn Sie KB5014666 installiert haben, und für Windows 11, wenn sie KB5014668 installiert haben, keine Netzwerkisolationsrichtlinie konfigurieren, um Application Guard für Microsoft Edge im verwalteten Modus zu aktivieren.
Hinweis
Zum erfolgreichen Aktivieren von Application Guard mithilfe des Unternehmensmodus müssen Sie die in der Cloud gehosteten Unternehmensressourcendomänen oder die privaten Netzwerkbereiche für die App-Einstellungen auf den Mitarbeitergeräten konfigurieren. Proxyserver müssen eine neutrale Ressource sein, die in den Domänen aufgeführt ist, die sowohl als geschäftliche als auch persönliche Richtlinie kategorisiert sind.
Richtlinienname | Unterstützte Versionen | Beschreibung |
---|---|---|
Adressbereich des privaten Netzwerks für Apps | Mindestens Windows Server 2012, Windows 8 oder Windows RT | Eine kommagetrennte Liste der IP-Adressbereiche, die sich in Ihrem Unternehmensnetzwerk befinden. Enthaltene Endpunkte oder Endpunkte, die sich innerhalb eines angegebenen IP-Adressbereichs befinden, werden mithilfe von Microsoft Edge gerendert. Der Zugriff auf diese ist über die Application Guard-Umgebung nicht möglich. |
In der Cloud gehostete Unternehmensressourcendomänen | Mindestens Windows Server 2012, Windows 8 oder Windows RT | Eine durch Pipe getrennte Liste (| ) Ihrer Domänencloudressourcen. Enthaltene Endpunkte werden mithilfe von Microsoft Edge gerendert. Der Zugriff darauf ist über die Application Guard-Umgebung nicht möglich. Diese Liste unterstützt die in der Tabelle "Netzwerkisolationseinstellungen" aufgeführten Wildcards . |
Sowohl als Arbeits- als auch als persönliche Ressourcen kategorisierte Domänen | Mindestens Windows Server 2012, Windows 8 oder Windows RT | Eine kommagetrennte Liste der Domänennamen, die als geschäftliche oder persönliche Ressourcen verwendet werden. Eingeschlossene Endpunkte werden mithilfe von Microsoft Edge gerendert und sind über die Application Guard und die reguläre Microsoft Edge-Umgebung zugänglich. Diese Liste unterstützt die in der Tabelle "Netzwerkisolationseinstellungen" aufgeführten Wildcards . |
Netzwerkisolationseinstellungen: Wildcards
Wert | Anzahl der Punkte auf der linken Seite | Bedeutung |
---|---|---|
contoso.com |
0 | Vertrauen Sie nur dem Literalwert von contoso.com . |
www.contoso.com |
0 | Vertrauen Sie nur dem Literalwert von www.contoso.com . |
.contoso.com |
1 | Vertrauen Sie jeder Domäne, die mit dem Text contoso.com endet. Übereinstimmende Websites sind , spearphishingcontoso.com contoso.com und www.contoso.com . |
..contoso.com |
2 | Vertrauen Sie allen Ebenen der Domänenhierarchie, die sich links vom Punkt befinden. Übereinstimmende Websites sind , shop.contoso.com us.shop.contoso.com , www.us.shop.contoso.com , aber NICHT contoso.com selbst. |
Anwendungsspezifische Einstellungen
Diese Einstellungen unter Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application Guard
können Ihnen helfen, die Implementierung der Application Guard ihrer organization zu verwalten.
Name | Unterstützte Versionen | Beschreibung | Optionen |
---|---|---|---|
Konfigurieren Microsoft Defender Application Guard Einstellungen für die Zwischenablage | Windows 10 Enterprise, 1709 oder höher Windows 10 Education, 1809 oder höher Windows 11 Enterprise und Bildung |
Bestimmt, ob Application Guard die Zwischenablagefunktion verwenden kann. | Aktiviert. Dies ist nur im verwalteten Modus wirksam. Aktiviert die Funktionalität der Zwischenablage, und Sie können auswählen, ob sie zusätzlich verwendet werden sollen: – Deaktivieren Sie die Funktionalität der Zwischenablage vollständig, wenn Virtualization Security aktiviert ist. – Ermöglicht das Kopieren bestimmter Inhalte aus Application Guard in Microsoft Edge. – Ermöglicht das Kopieren bestimmter Inhalte aus Microsoft Edge in Application Guard. Wichtig: Zuzulassen, dass kopierte Inhalte von Microsoft Edge in Application Guard können potenzielle Sicherheitsrisiken verursachen und werden nicht empfohlen. Deaktiviert oder nicht konfiguriert. Deaktiviert die Funktionalität der Zwischenablage für Application Guard vollständig. |
Konfigurieren von Microsoft Defender Application Guard Druckeinstellungen | Windows 10 Enterprise, 1709 oder höher Windows 10 Education, 1809 oder höher Windows 11 Enterprise und Bildung |
Bestimmt, ob Application Guard die Druckfunktion verwenden kann. | Aktiviert. Dies ist nur im verwalteten Modus wirksam. Aktiviert die Druckfunktion, und Sie können auswählen, ob sie zusätzlich: – Aktivieren sie Application Guard, um im XPS-Format zu drucken. – Aktivieren sie Application Guard, um im PDF-Format zu drucken. – Aktivieren sie Application Guard, um auf lokal angeschlossenen Druckern zu drucken. – Aktivieren sie Application Guard, um von zuvor verbundenen Netzwerkdruckern zu drucken. Mitarbeiter können nicht nach anderen Druckern suchen. Deaktiviert oder nicht konfiguriert. Deaktiviert die Druckfunktion für Application Guard vollständig. |
Persistenz zulassen | Windows 10 Enterprise, 1709 oder höher Windows 10 Education, 1809 oder höher Windows 11 Enterprise und Bildung |
Bestimmt, ob Daten in verschiedenen Sitzungen in Microsoft Defender Application Guard beibehalten werden. | Aktiviert. Dies ist nur im verwalteten Modus wirksam. Application Guard speichert vom Benutzer heruntergeladene Dateien und andere Elemente (beispielsweise Cookies oder Favoriten) für die künftige Verwendung in Application Guard-Sitzungen. Deaktiviert oder nicht konfiguriert. Alle Benutzerdaten in Application Guard werden zwischen den Sitzungen zurückgesetzt. HINWEIS: Wenn Sie sich später entscheiden, die Unterstützung der Datenpersistenz für Ihre Mitarbeiter einzustellen, können Sie unser von Windows bereitgestelltes Hilfsprogramm verwenden, um den Container zurückzusetzen und alle personenbezogenen Daten zu verwerfen.
So setzen Sie den Container zurück |
Aktivieren von Microsoft Defender Application Guard im verwalteten Modus | Windows 10 Enterprise, 1709 oder höher Windows 10 Education, 1809 oder höher Windows 11 Enterprise und Bildung |
Bestimmt, ob Application Guard für Microsoft Edge und Microsoft Office aktiviert werden soll. | Aktiviert. Aktiviert Application Guard für Microsoft Edge und/oder Microsoft Office unter Berücksichtigung der Netzwerkisolationseinstellungen und rendert nicht vertrauenswürdige Inhalte im Application Guard Container. Application Guard werden nur aktiviert, wenn die erforderlichen Voraussetzungen und Netzwerkisolationseinstellungen bereits auf dem Gerät festgelegt sind. Verfügbare Optionen: – Aktivieren von Microsoft Defender Application Guard nur für Microsoft Edge – Aktivieren von Microsoft Defender Application Guard nur für Microsoft Office – Aktivieren von Microsoft Defender Application Guard für Microsoft Edge und Microsoft Office Deaktiviert. Deaktiviert Application Guard, sodass alle Apps in Microsoft Edge und Microsoft Office ausgeführt werden können. Anmerkung: Wenn sie KB5014666 für Windows 10 und für Windows 11 KB5014668 installiert haben, müssen Sie keine Netzwerkisolationsrichtlinie mehr konfigurieren, um Application Guard für Microsoft Edge zu aktivieren. |
Herunterladen von Dateien auf das Hostbetriebssystem zulassen | Windows 10 Enterprise oder Pro, 1803 oder höher Windows 10 Education, 1809 oder höher Windows 11 Enterprise oder Pro oder Education |
Bestimmt, ob heruntergeladene Dateien aus dem Microsoft Defender Application Guard Container auf dem Hostbetriebssystem gespeichert werden sollen. | Aktiviert. Ermöglicht Benutzern das Speichern heruntergeladener Dateien aus dem Microsoft Defender Application Guard Container im Hostbetriebssystem. Mit dieser Aktion wird eine Freigabe zwischen Host und Container erstellt, die auch Uploads vom Host in den Application Guard-Container ermöglicht. Deaktiviert oder nicht konfiguriert. Benutzer können heruntergeladene Dateien aus Application Guard nicht auf dem Hostbetriebssystem speichern. |
Hardwarebeschleunigtes Rendering für Microsoft Defender Application Guard zulassen | Windows 10 Enterprise, 1709 oder höher Windows 10 Education, 1809 oder höher Windows 11 Enterprise und Bildung |
Bestimmt, ob Microsoft Defender Application Guard Grafiken mithilfe der Hardware- oder Softwarebeschleunigung rendert. | Aktiviert. Dies ist nur im verwalteten Modus wirksam. Microsoft Defender Application Guard verwendet Hyper-V, um auf unterstützte Grafikhardware (GPUs) mit hoher Sicherheit zuzugreifen. Diese GPUs verbessern die Renderingleistung und Akkulaufzeit bei verwendung von Microsoft Defender Application Guard, insbesondere für die Videowiedergabe und andere grafikintensive Anwendungsfälle. Wenn diese Einstellung aktiviert ist, ohne eine Verbindung mit hochsicherer Renderinggrafikhardware herzustellen, Microsoft Defender Application Guard automatisch rückgängig machen zum softwarebasierten Rendering (CPU).
Wichtig: Das Aktivieren dieser Einstellung mit potenziell kompromittierten Grafikgeräten oder Treibern kann ein Risiko für das Hostgerät darstellen. Deaktiviert oder nicht konfiguriert. Microsoft Defender Application Guard verwendet softwarebasiertes Rendering (CPU) und lädt keine Grafiktreiber von Drittanbietern und interagiert nicht mit angeschlossener Grafikhardware. |
Zulassen des Kamera- und Mikrofonzugriffs in Microsoft Defender Application Guard | Windows 10 Enterprise, 1709 oder höher Windows 10 Education, 1809 oder höher Windows 11 Enterprise und Bildung |
Bestimmt, ob der Kamera- und Mikrofonzugriff innerhalb Microsoft Defender Application Guard zugelassen werden soll. | Aktiviert. Dies ist nur im verwalteten Modus wirksam. Anwendungen in Microsoft Defender Application Guard können auf die Kamera und das Mikrofon auf dem Gerät des Benutzers zugreifen.
Wichtig: Das Aktivieren dieser Richtlinie mit einem potenziell gefährdeten Container könnte Kamera- und Mikrofonberechtigungen umgehen und ohne Wissen des Benutzers auf die Kamera und das Mikrofon zugreifen. Deaktiviert oder nicht konfiguriert. Anwendungen in Microsoft Defender Application Guard können nicht auf die Kamera und das Mikrofon auf dem Gerät des Benutzers zugreifen. |
Zulassen, dass Microsoft Defender Application Guard Stammzertifizierungsstellen vom Gerät eines Benutzers verwenden | Windows 10 Enterprise oder Pro, 1809 oder höher Windows 10 Education, 1809 oder höher Windows 11 Enterprise oder Pro |
Bestimmt, ob Stammzertifikate für Microsoft Defender Application Guard freigegeben werden. | Aktiviert. Zertifikate, die dem angegebenen Fingerabdruck entsprechen, werden in den Container übertragen. Verwenden Sie ein Komma, um mehrere Zertifikate zu trennen. Deaktiviert oder nicht konfiguriert. Zertifikate werden nicht für Microsoft Defender Application Guard freigegeben. |
Überwachungsereignisse in Microsoft Defender Application Guard zulassen | Windows 10 Enterprise, 1709 oder höher Windows 10 Education, 1809 oder höher Windows 11 Enterprise und Bildung |
Mit dieser Richtlinieneinstellung können Sie entscheiden, ob Überwachungsereignisse von Microsoft Defender Application Guard erfasst werden können. | Aktiviert. Dies ist nur im verwalteten Modus wirksam. Application Guard erbt Überwachungsrichtlinien von Ihrem Gerät und protokolliert Systemereignisse vom Application Guard Container auf Ihrem Host. Deaktiviert oder nicht konfiguriert. Ereignisprotokolle werden nicht aus Ihrem Application Guard Container gesammelt. |
einstellungen für Application Guard support dialog
Diese Einstellungen befinden sich unter Administrative Templates\Windows Components\Windows Security\Enterprise Customization
. Wenn ein Fehler auftritt, wird ein Dialogfeld angezeigt. Standardmäßig enthält dieses Dialogfeld nur die Fehlerinformationen und eine Schaltfläche zum Melden an Microsoft über den Feedback-Hub. Es ist jedoch möglich, zusätzliche Informationen im Dialogfeld anzugeben.
Verwenden Sie Gruppenrichtlinie, um Kontaktinformationen zu aktivieren und anzupassen.