Eine der populärsten Folgen der digitalen Patentrezepte war die zum sichersten Browser der Welt, hier im Blog unter dem Titel Das Gegenteil vom Internet Explorer veröffentlicht. Der Browser schützt sich, indem er in einer abgekapselten Umgebung läuft. Die Hürden, um aufs Betriebssystem überzuspringen, werden für Schadprogramme massiv erhöht.
Microsoft hat eine ähnliche Funktion im Betriebssystem eingebaut – allerdings auf typisch microsoftsche Weise: Sie trägt einen kryptischen Namen, ist standardmässig deaktiviert und so gut versteckt, dass man sie nur dann findet, wenn man genau weiss, wonach man suchen muss.
Hyper-V hilft weiter
Die Funktion heisst Windows Defender Application Guard (WDAG). Mittels der Virtualisierungstechnik Hyper-V wird der Browser (Edge oder, falls es denn wirklich sein muss, der Internet Explorer) in einen Container versetzt, der vom übrigen System abgeschottet läuft. Die Funktion stammt aus der Enterprise-Ausgabe von Windows, was auch die dürftige Benutzerfreundlichkeit erklärt. Aber es gibt sie inzwischen auch in der Mainstream-Ausgabe von Windows 10. Um den Windows Defender Application Guard zu nutzen, muss Windows 10 Professional mit Build 17053s oder höher installiert sein. Mit dem April-2018-Update (Build 1803) sollte man auf der sicheren Seite sein.
Um WDAG einzuschalten, öffnet man via Suchfunktion die Systemsteuerung. In der Rubrik Programme klickt man auf Windows Features aktivieren oder deaktivieren und setzt ein Häkchen bei Windows Defender Application Guard. Falls diese Option ausgegraut ist, dann erscheint eine Begründung, wenn man den Mauszeiger auf der Option platziert.
Ein bisschen im Bios zu grübeln, bleibt einem womöglich nicht erspart
Da heisst es dann: «Die Virtualisierungsunterstützung ist in der Firmware deaktiviert.» Man muss dann im BIOS bzw. UEFI die Funktion einschalten, die Virtualization Technology oder etwas in der Art genannt wird – und bei einer systematischen Suche vermutlich im letzten Menü steckt, das man aufmacht.
Ist der PC richtig konfiguriert und die Windows-Funktion installiert, dann stellt der Edge-Browser über den Menü-Knopf rechts oben den Befehl Neues Application-Guard-Fenster zur Verfügung. Zumindest theoretisch: Bei einem Computer habe ich es nicht geschafft, den Befehl zum Vorschein zu bringen – ohne herauszufinden, woran es gehapert hat.
Das hat zur Folge, dass dieser eigentlich hervorragende Windows-Tipp einige Vorbehalte hat: Ich kann nicht garantieren, dass er funktioniert. Update: Inzwischen konnte ich die Funktionsweise verifizieren: Es klappt wie beschrieben.
Es lohnt sich also, die Sache auszuprobieren: Denn eine isolierte Browserumgebung erhöht die Sicherheit. Und wenn man dazu die Standardmöglichkeiten des Betriebssystems nutzen kann, ist das umso besser.
Warum geht das nicht auch für andere Programme?
Wie Microsoft hier erklärt, stehen die Favoriten in der WDAG-Session nicht zur Verfügung. Und leider ist es auch nicht möglich, andere Programme in die geschützte Umgebung zu versetzen.
https://www.youtube.com/watch?v=McP8ZGAInwI
Nachtrag vom Januar 2020
Im Blogpost New browser extensions for integrating Microsoft’s hardware-based isolation erklärt Microsoft, dass nun Firefox und Chrome analog geschützt werden können. Dafür gibt es zwei Erweiterungen:
Application Guard für Firefox
Application Guard für Chrome
Das funktioniert allerdings nicht so, dass Chrome und Firefox nun selbst in einer geschützten Umgebung laufen würden, so wie das bei der eingangs erwähnten Lösung der Fall ist. Es ist vielmehr so, dass gefährliche Links automatisch an das WDAG-Fenster in Edge weitergeleitet werden. Es braucht dafür auch noch die Windows Defender Application Guard Companion-App. Die Computerworld beschreibt das ausführlich im Artikel Microsoft connects rival browsers to Windows 10’s Application Guard.
Das ist zugegebenermassen ein Taschenspielertrick. Aber wenn es der Sicherheit dient, ist das allemal sinnvoll…