Application Guard Testszenarien

Hinweis

Microsoft Defender Application Guard, einschließlich der Startprogramm-APIs für isolierte Windows-Apps, sind für Microsoft Edge for Business veraltet und werden nicht mehr aktualisiert. Laden Sie das Whitepaper zur Microsoft Edge For Business-Sicherheit herunter, um mehr über die Sicherheitsfunktionen von Edge for Business zu erfahren.

Wir haben eine Liste von Szenarien erstellt, die Sie zum Testen der hardwarebasierten Isolation in Ihrem organization verwenden können.

Application Guard im eigenständigen Modus

Sie können sehen, wie ein Mitarbeiter den eigenständigen Modus mit Application Guard verwenden würde.

So testen Sie Application Guard im eigenständigen Modus

  1. Installieren Sie Application Guard.

  2. Starten Sie das Gerät neu, starten Sie Microsoft Edge, und klicken Sie dann im Menü auf Neues Application Guard Fenster.

    Neue Application Guard Einstellungsoption für Fenster.

  3. Warten Sie, bis Application Guard die isolierte Umgebung eingerichtet hat.

    Hinweis

    Wenn Application Guard zu schnell gestartet wird, nachdem das Gerät neu gestartet wurde, kann dies zu längeren Geräteladezeiten führen. Nachfolgende Startvorgänge sollten jedoch ohne wahrnehmbare Verzögerungen erfolgen.

  4. Rufen Sie eine nicht vertrauenswürdige, aber sichere URL (in diesem Beispiel wurde „msn.com“ verwendet) auf, und zeigen Sie das neue Microsoft Edge-Fenster an. Stellen Sie dabei sicher, dass Sie die visuellen Application Guard-Hinweise sehen.

    Nicht vertrauenswürdige Website, die in Application Guard ausgeführt wird.

Application Guard im unternehmensverwalteten Modus

Anleitungen zum Installieren, Einrichten, Aktivieren und Konfigurieren von Application Guard für den unternehmensverwalteten Modus.

Installieren, Einrichten und Aktivieren von Application Guard

Bevor Sie Application Guard im verwalteten Modus verwenden können, müssen Sie Windows 10 Enterprise Edition, Version 1709, und Windows 11 installieren, die die Funktionalität enthält. Anschließend müssen Sie Gruppenrichtlinie verwenden, um die erforderlichen Einstellungen festzulegen.

  1. Installieren Sie Application Guard.

  2. Starten Sie das Gerät neu, und starten Sie dann Microsoft Edge.

  3. Richten Sie die Netzwerkisolationseinstellungen in „Gruppenrichtlinie“ ein:

    a. Wählen Sie das Windows-Symbol aus, geben Sie einGroup Policy, und wählen Sie dann Gruppenrichtlinie bearbeiten aus.

    b. Wechseln Sie zur Einstellung Administrative Vorlagen\Netzwerk\Netzwerkisolation\In der Cloud gehostete Unternehmensressourcendomänen.

    c. Geben Sie .microsoft.com für dieses Szenario in das Feld Enterprise-Cloudressourcen ein.

    Gruppenrichtlinie-Editor mit der Einstellung Enterprise-Cloudressourcen.

    d. Wechseln Sie zur Einstellung Administrative Vorlagen\Netzwerk\Netzwerkisolation\Sowohl als Arbeits- als auch als persönliche Ressourcen kategorisierte Domänen.

    e. Geben Sie bing.com für dieses Szenario in das Feld Neutrale Ressourcen ein.

    Gruppenrichtlinie-Editor mit der Einstellung Neutrale Ressourcen.

  4. Wechseln Sie zur Einstellung Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Microsoft Defender Application Guard\Microsoft Defender Application Guard im verwalteten Modus aktivieren.

  5. Wählen Sie Aktiviert aus, wählen Sie Option 1 und dann OK aus.

    Gruppenrichtlinie Editor mit der Einstellung Ein/Aus aktivieren.

    Hinweis

    Durch die Aktivierung dieser Einstellung wird überprüft, ob alle erforderlichen Einstellungen auf den Geräten Ihrer Mitarbeiter ordnungsgemäß konfiguriert sind. Dazu zählen auch die Netzwerkisolationseinstellungen, die zuvor in diesem Szenario festgelegt wurden.

  6. Starten Sie Microsoft Edge, und geben Sie ein https://www.microsoft.com.

    Nachdem Sie die URL übermittelt haben, stellt Application Guard fest, dass die URL vertrauenswürdig ist, da sie die Domäne verwendet, die Sie als vertrauenswürdig markiert haben, und die Website direkt auf dem Host-PC statt in Application Guard anzeigt.

    Vertrauenswürdige Website, die unter Microsoft Edge ausgeführt wird.

  7. Geben Sie im selben Microsoft Edge-Browser eine beliebige URL ein, die nicht Teil Ihrer vertrauenswürdigen oder neutralen Websitelisten ist.

    Nachdem Sie die URL gesendet haben, ermittelt Application Guard, dass die URL nicht vertrauenswürdig ist und leitet die Anforderung an die hardwareisolierte Umgebung um.

    Nicht vertrauenswürdige Website, die in Application Guard ausgeführt wird.

Anpassen von Application Guard

Mit Application Guard können Sie Ihre Konfiguration angeben, wodurch Sie ein entsprechendes Gleichgewicht zwischen isolationsbasierter Sicherheit und Produktivität für Ihre Mitarbeiter erschaffen können.

Application Guard bietet das folgende Standardverhalten für Ihre Mitarbeiter:

  • Kein Copy-and-Paste zwischen dem Host-PC und dem isolierten Container.

  • Kein Drucken aus dem isolierten Container.

  • Keine Datenpersistenz von einem isolierten Container zu einem anderen isolierten Container.

Sie können jede einzelne dieser Einstellungen in „Gruppenrichtlinie“ für die Arbeit mit Ihrem Unternehmen ändern.

Gilt für:

  • Windows 10 Enterprise- oder Pro-Edition, Version 1803 oder höher
  • Windows 11 Enterprise- oder Pro-Editionen

Kopier- und Einfügeoptionen

  1. Wechseln Sie zu Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Microsoft Defender Application Guard\Microsoft Defender Application Guard Zwischenablage konfigurieren.

  2. Wählen Sie Aktiviert und dann OK aus.

    Gruppenrichtlinie Editor-Zwischenablageoptionen.

  3. Wählen Sie die Funktionsweise der Zwischenablage aus:

    • Kopieren von Inhalten aus der isolierten Sitzung und Einfügen auf dem Host-PC

    • Kopieren von Inhalten vom Host-PC und Einfügen in der isolierten Sitzung

    • Bidirektionales Kopieren und Einfügen

  4. Wählen Sie aus, was kopiert werden kann:

    • Zwischen dem Host-PC und dem isolierten Container kann nur Text kopiert werden.

    • Nur Images können zwischen dem Host-PC und dem isolierten Container kopiert werden.

    • Sowohl Text als auch Bilder können zwischen dem Host-PC und dem isolierten Container kopiert werden.

  5. Wählen Sie OK aus.

  1. Wechseln Sie zu Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Microsoft Defender Application Guard\Microsoft Defender Application Guard Druckeinstellungen konfigurieren.

  2. Wählen Sie Aktiviert und dann OK aus.

    Gruppenrichtlinie Editor Druckoptionen.

  3. Wählen Sie auf Grundlage der in der Einstellung bereitgestellten Liste die Nummer aus, die am besten repräsentiert, welcher Drucktyp für Ihre Mitarbeiter verfügbar sein sollte. Sie können jede Kombination aus lokalem, Netzwerk-, PDF- und XPS-Druck zulassen.

  4. Wählen Sie OK aus.

Datenpersistenzoptionen

  1. Wechseln Sie zur Einstellung Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Microsoft Defender Application Guard\Datenpersistenz für Microsoft Defender Application Guard zulassen.

  2. Wählen Sie Aktiviert und dann OK aus.

    Gruppenrichtlinie Datenpersistenzoptionen im Editor.

  3. Öffnen Sie Microsoft Edge, und navigieren Sie zu einer nicht vertrauenswürdigen, aber sicheren URL.

    Die Website wird in der isolierten Sitzung geöffnet.

  4. Fügen Sie der Liste Favoriten die Site hinzu, und schließen Sie dann die isolierte Sitzung.

  5. Melden Sie sich ab und wieder bei Ihrem Gerät an, und öffnen Sie Microsoft Edge in Application Guard erneut.

    Die zuvor hinzugefügte Site sollte weiterhin in der Liste Favoriten angezeigt werden.

    Hinweis

    Ab Windows 11 Version 22H2 ist die Datenpersistenz standardmäßig deaktiviert. Wenn Sie die Datenpersistenz nicht zulassen oder deaktivieren, wird beim Neustart eines Geräts oder beim Anmelden und Abmelden des isolierten Containers ein Wiederverwendungsereignis ausgelöst. Diese Aktion verwirft alle generierten Daten, z. B. Sitzungscookies und Favoriten, und entfernt die Daten aus Application Guard. Wenn Sie die Datenpersistenz aktivieren, werden alle von Mitarbeitern generierten Artefakte Containerwiederverwendungsereignis-übergreifend beibehalten. Diese Artefakte sind jedoch nur im isolierten Container vorhanden und werden nicht für den Host-PC freigegeben. Diese Daten werden nach Neustarts und sogar durch Build-zu-Build-Upgrades von Windows 10 und Windows 11 beibehalten.

    Wenn Sie sich entscheiden, die Datenpersistenz für Ihre Mitarbeiter zu aktivieren, sie aber später ggf. beenden möchten, können Sie unser Windows-Hilfsprogramm verwenden, um den Container zurückzusetzen und um persönliche Daten zu verwerfen.

    Führen Sie die folgenden Schritte aus, um den Container zurückzusetzen:
    1. Öffnen Sie ein Befehlszeilenprogramm, und navigieren Sie zu Windows/System32.
    2. Geben Sie ein wdagtool.exe cleanup. Die Containerumgebung wird zurückgesetzt. Es werden nur die vom Mitarbeiter generierten Daten beibehalten.
    3. Geben Sie ein wdagtool.exe cleanup RESET_PERSISTENCE_LAYER. Die Containerumgebung, einschließlich aller vom Mitarbeiter generierten Daten, wird zurückgesetzt.

    Microsoft Edge Version 90 oder höher unterstützt RESET_PERSISTENCE_LAYERnicht mehr.

Gilt für:

  • Windows 10 Enterprise- oder Pro-Editionen, Version 1803
  • Windows 11 Enterprise- oder Pro-Edition, Version 21H2. Die Datenpersistenz ist in Windows 11, Version 22H2 und höher, standardmäßig deaktiviert.

Downloadoptionen

  1. Wechseln Sie zur Einstellung Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Microsoft Defender Application Guard\Dateien herunterladen und auf dem Hostbetriebssystem speichern aus Microsoft Defender Application Guard.

  2. Wählen Sie Aktiviert und dann OK aus.

    Gruppenrichtlinie Editor Downloadoptionen.

  3. Melden Sie sich ab und wieder bei Ihrem Gerät an, und öffnen Sie Microsoft Edge in Application Guard erneut.

  4. Laden Sie eine Datei aus Microsoft Defender Application Guard herunter.

  5. Überprüfen Sie, ob die Datei in Dieser PC > heruntergeladen wurde Nicht > vertrauenswürdige Dateien.

Hardwarebeschleunigungsoptionen

  1. Wechseln Sie zur Einstellung Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Microsoft Defender Application Guard\Hardwarebeschleunigtes Rendering für Microsoft Defender Application Guard zulassen.

  2. Wählen Sie Aktiviert und dann OK aus.

    Gruppenrichtlinie Optionen für die Hardwarebeschleunigung des Editors.

  3. Nachdem Sie dieses Feature aktiviert haben, öffnen Sie Microsoft Edge, und navigieren Sie zu einer nicht vertrauenswürdigen, aber sicheren URL mit Video-, 3D- oder anderen grafikintensiven Inhalten. Die Website wird in einer isolierten Sitzung geöffnet.

  4. Bewerten Sie die visuelle Benutzererfahrung und die Akkuleistung.

Kamera- und Mikrofonoptionen

  1. Wechseln Sie zur Einstellung Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Microsoft Defender Application Guard\Kamera- und Mikrofonzugriff in Microsoft Defender Application Guard zulassen.

  2. Wählen Sie Aktiviert und dann OK aus.

    Gruppenrichtlinie-Editor Kamera- und Mikrofonoptionen.

  3. Melden Sie sich ab und wieder bei Ihrem Gerät an, und öffnen Sie Microsoft Edge in Application Guard erneut.

  4. Öffnen Sie eine Anwendung mit Video- oder Audiofunktion in Edge.

  5. Überprüfen Sie, ob Kamera und Mikrofon wie erwartet funktionieren.

Optionen für die Freigabe von Stammzertifikaten

  1. Wechseln Sie in der Geräteeinstellung des Benutzers zu Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Microsoft Defender Application Guard\Microsoft Defender Application Guard die Verwendung von Stammzertifizierungsstellen erlauben.

  2. Wählen Sie Aktiviert aus, kopieren Sie den Fingerabdruck jedes zertifikats zu teilenden Zertifikats, getrennt durch ein Komma, und wählen Sie OK aus.

    Gruppenrichtlinie Editor Optionen für Stammzertifikate.

  3. Melden Sie sich ab und wieder bei Ihrem Gerät an, und öffnen Sie Microsoft Edge in Application Guard erneut.

Application Guard-Erweiterung für Webbrowser von Drittanbietern

Die für Chrome und Firefox verfügbare Application Guard-Erweiterung ermöglicht es Application Guard, Benutzer auch dann zu schützen, wenn sie einen anderen Webbrowser als Microsoft Edge oder Internet Explorer verwenden.

Sobald ein Benutzer die Erweiterung und die zugehörige Begleit-App auf seinem Unternehmensgerät installiert hat, können Sie die folgenden Szenarien durchlaufen.

  1. Öffnen Sie entweder Firefox oder Chrome, unabhängig davon, auf welchem Browser Sie die Erweiterung installiert haben.

  2. Navigieren Sie zu einer Organisationswebsite. Mit anderen Worten, eine interne Website, die von Ihrem organization verwaltet wird. Möglicherweise wird diese Auswertungsseite für einen Moment angezeigt, bevor die Website vollständig geladen ist. Die Auswertungsseite, die angezeigt wird, während die Seite geladen wird, und erklärt, dass der Benutzer warten muss.

  3. Navigieren Sie zu einer externen Website außerhalb des Unternehmens, z. B. www.bing.com. Die Website sollte an Microsoft Defender Application Guard Edge umgeleitet werden. Eine Nicht-Unternehmenswebsite, die an einen Application Guard Container umgeleitet wird. Der angezeigte Text erklärt, dass die Seite in Application Guard für Microsoft Edge geöffnet wird.

  4. Öffnen Sie ein neues Application Guard Fenster, indem Sie das symbol Microsoft Defender Application Guard und dann Neues Application Guard Fenster auswählen. Die Option .