Edge, auf Sicherheit getrimmt

Eine der populärsten Folgen der digitalen Patentrezepte war die zum sichersten Browser der Welt, hier im Blog unter dem Titel Das Gegenteil vom Internet Explorer veröffentlicht. Der Browser schützt sich, indem er in einer abgekapselten Umgebung läuft. Die Hürden, um aufs Betriebssystem überzuspringen, werden für Schadprogramme massiv erhöht.

181004-wdag.png
So stellt sich Microsoft eine böse Website vor, die vom System isoliert werden muss.

Microsoft hat eine ähnliche Funktion im Betriebssystem eingebaut – allerdings auf typisch microsoftsche Weise: Sie trägt einen kryptischen Namen, ist standardmässig deaktiviert und so gut versteckt, dass man sie nur dann findet, wenn man genau weiss, wonach man suchen muss.

Die Funktion heisst Windows Defender Application Guard (WDAG). Mittels der Virtualisierungstechnik Hyper-V wird der Browser (Edge oder, falls es denn wirklich sein muss, der Internet Explorer) in einen Container versetzt, der vom übrigen System abgeschottet läuft. Die Funktion stammt aus der Enterprise-Ausgabe von Windows, was auch die dürftige Benutzerfreundlichkeit erklärt. Aber es gibt sie inzwischen auch in der Mainstream-Ausgabe von Windows 10. Um den Windows Defender Application Guard zu nutzen, muss Windows 10 Professional mit Build 17053s oder höher installiert sein. Mit dem April-2018-Update (Build 1803) sollte man auf der sicheren Seite sein.

Um WDAG einzuschalten, öffnet man via Suchfunktion die Systemsteuerung. In der Rubrik Programme klickt man auf Windows Features aktivieren oder deaktivieren und setzt ein Häkchen bei Windows Defender Application Guard. Falls diese Option ausgegraut ist, dann erscheint eine Begründung, wenn man den Mauszeiger auf der Option platziert. Da heisst es dann: «Die Virtualisierungsunterstützung ist in der Firmware deaktiviert.» Man muss dann im BIOS bzw. UEFI die Funktion einschalten, die Virtualization Technology oder etwas in der Art genannt wird – und bei einer systematischen Suche vermutlich im letzten Menü steckt, das man aufmacht.

181004-windows-features.png
Der «Windows Defender Application Guard» muss erst installiert werden.

Ist der PC richtig konfiguriert und die Windows-Funktion installiert, dann stellt der Edge-Browser über den Menü-Knopf rechts oben den Befehl Neues Application-Guard-Fenster zur Verfügung. Zumindest theoretisch: Bei einem Computer habe ich es nicht geschafft, den Befehl zum Vorschein zu bringen – ohne herauszufinden, woran es gehapert hat.

Das hat zur Folge, dass dieser eigentlich hervorragende Windows-Tipp einige Vorbehalte hat: Ich kann nicht garantieren, dass er funktioniert. Aber trotzdem lohnt es sich, die Sache auszuprobieren: Denn eine isolierte Browserumgebung erhöht die Sicherheit. Und wenn man dazu die Standardmöglichkeiten des Betriebssystems nutzen kann, ist das umso besser.

Wie Microsoft hier erklärt, stehen die Favoriten in der WDAG-Session nicht zur Verfügung. Und leider ist es auch nicht möglich, andere Programme in die geschützte Umgebung zu versetzen.

Autor: Matthias

Diese Website gibt es seit 1999. Gebloggt wird hier seit 2007.

Kommentar verfassen