Hinweis
- Microsoft Defender Application Guard, einschließlich der Startprogramm-APIs für isolierte Windows-Apps, ist für Microsoft Edge for Business veraltet und wird nicht mehr aktualisiert. Weitere Informationen zu den Sicherheitsfunktionen von Microsoft Edge finden Sie unter Microsoft Edge For Business Security.
- Ab Windows 11 Version 24H2 ist Microsoft Defender Application Guard, einschließlich der Startprogramm-APIs für isolierte Windows-Apps, nicht mehr verfügbar.
- Da Application Guard veraltet ist, wird keine Migration zum Edgemanifest V3 durchgeführt. Die entsprechenden Browsererweiterungen und die zugehörige Windows Store-App sind nicht mehr verfügbar. Wenn Sie nicht geschützte Browser blockieren möchten, bis Sie bereit sind, die MDAG-Nutzung in Ihrem Unternehmen außer Kraft zu setzen, empfehlen wir die Verwendung von AppLocker-Richtlinien oder des Microsoft Edge-Verwaltungsdiensts. Weitere Informationen finden Sie unter Microsoft Edge und Microsoft Defender Application Guard.
In diesem Artikel werden häufig gestellte Fragen mit Antworten für Microsoft Defender Application Guard (Application Guard) aufgelistet. Die Fragen umfassen Features, integration in das Windows-Betriebssystem und allgemeine Konfiguration.
Häufig gestellte Fragen
Kann ich Application Guard auf Computern aktivieren, die mit 4 GB RAM ausgestattet sind?
Wir empfehlen 8 GB RAM für eine optimale Leistung, aber Sie können die folgenden Registrierungs-DWORD-Werte verwenden, um Application Guard auf Computern zu aktivieren, die die empfohlene Hardwarekonfiguration nicht erfüllen.
HKLM\software\Microsoft\Hvsi\SpecRequiredProcessorCount
(Der Standardwert sind vier Kerne.)
HKLM\software\Microsoft\Hvsi\SpecRequiredMemoryInGB
(Der Standardwert ist 8 GB.)
HKLM\software\Microsoft\Hvsi\SpecRequiredFreeDiskSpaceInGB
(Der Standardwert ist 5 GB.)
Für meine Netzwerkkonfiguration wird ein Proxy verwendet, und es wird ein "Externe URLs vom MDAG-Browser können nicht aufgelöst werden: Fehler: err_connection_refused". Gewusst wie das beheben?
Der manuelle server oder PAC-Server muss ein Hostname (keine IP-Adresse) sein, der in der Siteliste neutral ist. Wenn das PAC-Skript außerdem einen Proxy zurückgibt, muss es dieselben Anforderungen erfüllen.
Um sicherzustellen, dass die FQDNs (vollqualifizierte Domänennamen) für die PAC-Datei und die Proxyserver, an die die PAC-Datei umgeleitet wird, in den von Application Guard verwendeten Netzwerkisolationsrichtlinien als neutrale Ressourcen hinzugefügt werden, haben Sie folgende Möglichkeiten:
- Überprüfen Sie diesen Zusatz, indem Sie zu edge://application-guard-internals/#utilities wechseln und den FQDN für den Pac/Proxy in das Feld "URL-Vertrauensstellung überprüfen" eingeben und überprüfen, ob "Neutral" steht.
- Es muss sich um einen FQDN handelt. Eine einfache IP-Adresse funktioniert nicht.
- Optional sollten die IP-Adressen, die dem Server zugeordnet sind, der den oben genannten Host hosten, aus den Enterprise-IP-Bereichen in den Von Application Guard verwendeten Netzwerkisolationsrichtlinien entfernt werden.
Gewusst wie konfigurieren Microsoft Defender Application Guard für die Arbeit mit meinem Netzwerkproxy (IP-Literaladressen)?
Application Guard erfordert, dass Proxys einen symbolischen Namen haben, nicht nur eine IP-Adresse. IP-Literal Proxyeinstellungen wie 192.168.1.4:81
können als itproxy:81
oder mit einem Datensatz versehen werden, z P19216810010
. B. für einen Proxy mit der IP-Adresse 192.168.100.10
. Diese Anmerkung gilt für Windows 10 Enterprise Edition, Version 1709 oder höher. Diese Anmerkungen gelten für die Proxyrichtlinien unter Netzwerkisolation in Gruppenrichtlinie oder Intune.
Welche Eingabemethoden-Editoren (IME) in 19H1 werden nicht unterstützt?
Die folgenden Eingabemethoden-Editoren (IME), die in Windows 10 Version 1903 eingeführt wurden, werden derzeit in Microsoft Defender Application Guard nicht unterstützt:
- Vietnam Telex-Tastatur
- Vietnam-Zahlentasten-basierte Tastatur
- Phonetische Hindi-Tastatur
- Bangla phonetische Tastatur
- Marathi phonetische Tastatur
- Phonetische Telugu-Tastatur
- Tamilische phonetische Tastatur
- Phonetische Kannada-Tastatur
- Phonetische Malayalam-Tastatur
- Phonetische Tastatur in Gujarati
- Odia phonetische Tastatur
- Punjabi phonetische Tastatur
Ich habe die Hardwarebeschleunigungsrichtlinie für meine Windows 10 Enterprise, Version 1803-Bereitstellung aktiviert. Warum erhalten meine Benutzer immer noch nur CPU-Rendering?
Dieses Feature ist derzeit nur experimentell und funktioniert nicht ohne einen zusätzlichen Registrierungsschlüssel, der von Microsoft bereitgestellt wird. Wenn Sie dieses Feature bei einer Bereitstellung von Windows 10 Enterprise Version 1803 auswerten möchten, wenden Sie sich an Microsoft, und wir arbeiten mit Ihnen zusammen, um das Feature zu aktivieren.
Was ist das lokale WDAGUtilityAccount-Konto?
WDAGUtilityAccount ist Teil von Application Guard, beginnend mit Windows 10 Version 1709 (Fall Creators Update). Sie bleibt standardmäßig deaktiviert, es sei denn, Application Guard ist auf Ihrem Gerät aktiviert. WDAGUtilityAccount wird verwendet, um sich beim Application Guard Container als Standardbenutzer mit einem zufälligen Kennwort anzumelden. Es handelt sich nicht um ein böswilliges Konto. Es sind Anmeldeberechtigungen erforderlich , um ordnungsgemäß funktionieren zu können. Wenn diese Berechtigung verweigert wird, wird möglicherweise der folgende Fehler angezeigt:
Fehler: 0x80070569, Ext-Fehler: 0x00000001; RDP: Fehler: 0x00000000, Ext-Fehler: 0x00000000 Speicherort: 0x00000000
Gewusst wie einer Unterdomäne in meiner Websiteliste vertrauen?
Um einer Unterdomäne zu vertrauen, müssen Sie Ihrer Domäne zwei Punkte (..) vorangestellt haben. Beispiel: ..contoso.com
Stellt sicher, dass mail.contoso.com
oder news.contoso.com
vertrauenswürdig sind. Der erste Punkt stellt die Zeichenfolgen für den Unterdomänennamen (Mail oder News) dar, und der zweite Punkt erkennt den Anfang des Domänennamens (contoso.com
). Diese beiden Punkte verhindern, dass Websites wie fakesitecontoso.com
als vertrauenswürdig eingestuft werden.
Gibt es Unterschiede zwischen der Verwendung von Application Guard unter Windows Pro und Windows Enterprise?
Wenn Sie Windows Pro oder Windows Enterprise verwenden, haben Sie Zugriff auf Application Guard im eigenständigen Modus. Bei Verwendung von Enterprise haben Sie jedoch Zugriff auf Application Guard im Enterprise-Managed Modus. Dieser Modus verfügt über einige zusätzliche Features, die der eigenständige Modus nicht bietet. Weitere Informationen finden Sie unter Vorbereiten der Installation Microsoft Defender Application Guard.
Gibt es eine Größenbeschränkung für die Domänenlisten, die ich konfigurieren muss?
Ja, sowohl für die in der Cloud gehosteten Enterprise-Ressourcendomänen als auch für die Domänen, die sowohl als arbeits- als auch privat kategorisiert sind, gilt ein Grenzwert von 1.6383 Byte.
Warum unterbricht mein Verschlüsselungstreiber Microsoft Defender Application Guard?
Microsoft Defender Application Guard greift von einer auf dem Host bereitgestellten VHD auf Dateien zu, die während des Setups geschrieben werden müssen. Wenn ein Verschlüsselungstreiber verhindert, dass eine VHD eingebunden oder in diese geschrieben wird, funktioniert Application Guard nicht und führt zu einer Fehlermeldung (0x80070013 ERROR_WRITE_PROTECT).
Warum sehen die Netzwerkisolationsrichtlinien in Gruppenrichtlinie und CSP anders aus?
Es gibt keine 1:1-Zuordnung zwischen allen Netzwerkisolationsrichtlinien zwischen CSP und GP. Obligatorische Netzwerkisolationsrichtlinien zum Bereitstellen Application Guard unterscheiden sich zwischen CSP und GP.
Obligatorische GP-Richtlinie für die Netzwerkisolation zum Bereitstellen von Application Guard: DomainSubnets oder CloudResources
Obligatorische Netzwerkisolations-CSP-Richtlinie zum Bereitstellen Application Guard: EnterpriseCloudResources oder (EnterpriseIpRange und EnterpriseNetworkDomainNames)
Für EnterpriseNetworkDomainNames gibt es keine zugeordnete CSP-Richtlinie.
Application Guard greift von einer auf dem Host bereitgestellten VHD auf Dateien zu, die während des Setups geschrieben werden müssen. Wenn ein Verschlüsselungstreiber verhindert, dass eine VHD eingebunden oder in diese geschrieben wird, funktioniert Application Guard nicht und führt zu einer Fehlermeldung (0x80070013 ERROR_WRITE_PROTECT).
Warum funktionierte Application Guard nicht mehr, nachdem ich Hyperthreading deaktiviert habe?
Wenn Hyperthreading deaktiviert ist (aufgrund eines Updates, das über einen KB-Artikel oder über BIOS-Einstellungen angewendet wird), besteht die Möglichkeit Application Guard die Mindestanforderungen nicht mehr erfüllt.
Warum erhalte ich die Fehlermeldung "ERROR_VIRTUAL_DISK_LIMITATION"?
Application Guard funktionieren auf komprimierten NTFS-Volumes möglicherweise nicht ordnungsgemäß. Wenn dieses Problem weiterhin besteht, versuchen Sie, das Volume zu dekomprimieren.
Warum erhalte ich die Fehlermeldung "ERR_NAME_NOT_RESOLVED", nachdem ich die PAC-Datei nicht erreichen konnte?
Dieses Problem ist bekannt. Um dieses Problem zu beheben, müssen Sie zwei Firewallregeln erstellen. Informationen zum Erstellen einer Firewallregel mit Gruppenrichtlinie finden Sie unter Konfigurieren von Windows-Firewallregeln mit Gruppenrichtlinien.
Erste Regel (DHCP-Server)
Programmpfad:
%SystemRoot%\System32\svchost.exe
Lokaler Dienst:
Sid: S-1-5-80-2009329905-444645132-2728249442-922493431-93864177 (Internet Connection Service (SharedAccess))
Protokoll UDP
Port 67
Zweite Regel (DHCP-Client)
Diese Regel entspricht der ersten Regel, ist aber auf den lokalen Port 68 festgelegt. Führen Sie auf der Benutzeroberfläche der Microsoft Defender Firewall die folgenden Schritte aus:
Klicken Sie mit der rechten Maustaste auf Eingangsregeln, und erstellen Sie dann eine neue Regel.
Wählen Sie benutzerdefinierte Regel aus.
Geben Sie den folgenden Programmpfad an:
%SystemRoot%\System32\svchost.exe
.Geben Sie die folgenden Einstellungen an:
- Protokolltyp: UDP
- Bestimmte Ports: 67
- Remoteport: beliebig
Geben Sie alle IP-Adressen an.
Lassen Sie die Verbindung zu.
Geben Sie an, dass alle Profile verwendet werden sollen.
Die neue Regel sollte auf der Benutzeroberfläche angezeigt werden. Klicken Sie mit der rechten Maustaste auf die Regeleigenschaften>.
Wählen Sie auf der Registerkarte Programme und Dienste im Abschnitt Dienste die Option Einstellungen aus.
Wählen Sie Auf diesen Dienst anwenden und dann Gemeinsam genutzter Zugriff für die Internetverbindung (ICS) aus.
Wie kann ich Teile des Internet Connection Service (ICS) deaktivieren, ohne Application Guard zu unterbrechen?
ICS ist in Windows standardmäßig aktiviert, und ICS muss aktiviert sein, damit Application Guard ordnungsgemäß funktioniert. Es wird nicht empfohlen, ICS zu deaktivieren. Sie können ICS jedoch teilweise deaktivieren, indem Sie eine Gruppenrichtlinie verwenden und Registrierungsschlüssel bearbeiten.
Legen Sie in der Gruppenrichtlinie Einstellung Die Verwendung der Internetverbindungsfreigabe in Ihrem DNS-Domänennetzwerk verbieten auf Deaktiviert fest.
Deaktivieren Sie IpNat.sys aus dem ICS-Laden wie folgt:
System\CurrentControlSet\Services\SharedAccess\Parameters\DisableIpNat = 1
Konfigurieren Sie ICS (SharedAccess) wie folgt für die Aktivierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Start = 3
(Dieser Schritt ist optional) Deaktivieren Sie IPNAT wie folgt:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPNat\Start = 4
Starten Sie das Gerät neu.
Warum wird der Container nicht vollständig geladen, wenn Gerätesteuerungsrichtlinien aktiviert sind?
Zugelassene Elemente müssen im Gruppenrichtlinie Object als "zulässig" konfiguriert werden, um sicherzustellen, dass AppGuard ordnungsgemäß funktioniert.
Richtlinie: Lassen Sie die Installation von Geräten zu, die mit einer der folgenden Geräte-IDs übereinstimmen:
SCSI\DiskMsft____Virtual_Disk____
{8e7bd593-6e6c-4c52-86a6-77175494dd8e}\msvhdhba
VMS_VSF
root\Vpcivsp
root\VMBus
vms_mp
VMS_VSP
ROOT\VKRNLINTVSP
ROOT\VID
root\storvsp
vms_vsmp
VMS_PP
Richtlinie: Zulassen der Installation von Geräten mit Treibern, die diesen Gerätesetupklassen entsprechen
{71a27cdd-812a-11d0-bec7-08002be2092f}
Ich habe Probleme mit der TCP-Fragmentierung und kann meine VPN-Verbindung nicht aktivieren. Gewusst wie dieses Problem beheben?
WinNAT löscht ICMP-/UDP-Nachrichten mit Paketen, die größer als die MTU sind, wenn Standardswitch oder Docker NAT-Netzwerk verwendet wird. Unterstützung für diese Lösung wurde in KB4571744 hinzugefügt. Um das Problem zu beheben, installieren Sie das Update, und aktivieren Sie den Fix, indem Sie die folgenden Schritte ausführen:
Stellen Sie sicher, dass fragmentAware DWORD in dieser Registrierungseinstellung auf 1 festgelegt ist:
\Registry\Machine\SYSTEM\CurrentControlSet\Services\Winnat
.Starten Sie das Gerät neu.
Was bewirkt die _Allow Benutzern, dateien zu vertrauen, die in Microsoft Defender Option Application Guard_ in der Gruppenrichtlinie geöffnet werden?
Diese Richtlinie war in Windows 10 vor Version 2004 vorhanden. Es wurde aus späteren Versionen von Windows entfernt, da es weder für Microsoft Edge noch für Office etwas erzwingt.
Gewusst wie ein Supportticket für Microsoft Defender Application Guard öffnen?
- Besuchen Sie Erstellen einer neuen Supportanfrage.
- Wählen Sie unter Produktfamilie die Option Windows aus. Wählen Sie das Produkt und die Produktversion aus, bei der Sie Hilfe benötigen. Wählen Sie für die Kategorie, die das Problem am besten beschreibt, Windows-Sicherheit Technologies aus. Wählen Sie in der letzten Option Windows Defender Application Guard aus.
Gibt es eine Möglichkeit, das Verhalten zu aktivieren oder zu deaktivieren, bei dem die Microsoft Edge-Hostregisterkarte beim Navigieren zu einer nicht vertrauenswürdigen Website automatisch geschlossen wird?
Ja. Verwenden Sie dieses Microsoft Edge-Flag, um dieses Verhalten zu aktivieren oder zu deaktivieren: --disable-features="msWdagAutoCloseNavigatedTabs"
Weitere Informationen
Konfigurieren Microsoft Defender Application Guard Richtlinieneinstellungen