Microsoft hat in Windows 10 (Professional, Education und Enterprise) eine Schutzfunktion eingebaut, die potenziell mit Schadsoftware verseuchte Websites automatisch in einem Hyper-V-Container (auf einem virtuellen System) öffnet.
Der Microsoft Defender Application Guard (MDAG) ist ein Tool, das den Browser Edge in eine Sandbox packt und so das restliche System vor allen besuchten Websites abschirmt. Der Einsatz des Tools lohnt sich für Ausflüge auf weniger vertrauenswürdigen Websites oder zum Aufruf von Links zu unbekannten Seiten.
Die Virtualisierungsschutzfunktion Microsoft Defender Application Guard (MDAG) ist in der Home-Version von Windows 10 nicht enthalten.
Über die Suchfunktion (bzw. Windowstase) und Eingabe von "Windows-Features aktivieren oder deaktivieren“ öffnet sich ein Fenster um Windows Funktionen zu aktivieren, welches Sie auch in den Systemsteuerung unter Programme finden. Im folgenden Fenster setzen Sie einen Haken vor Microsoft Defender Application Guard und bestätigen mit 'OK'.
Alternativ kann diese auch über PowerShell (als Administrator) mit folgendem Kommando aktiviert werden.
Geschützten Browser nutzen: Um den Edge Browser von MDAG schützen zu lassen, starten Sie zunächst den Browser Microsoft-Edge wie gewohnt. Oben rechts über das Menüsymbol - Neues Application Guard-Fenster (bzw. durch die Tastenkombination STRG+UMSCHALTTASTE+A) öffnet sich eine neue, durch MDAG geschütztes Edge-Fenster. Sie erkennen den MDAG-Modus an einem Schutzschildsymbol oben links im Browserfenster sowie im Edge-Icon unten in der Taskleiste.
Andere Browser (basierend auf Chromium oder Firefox): Wer einen anderen Browser nutzt, kann sich über den Windows-Store eine Erweiterung ("Microsoft Defender Application Guard Companion") für den MDAG-Schutz installieren. Damit erhalten Sie ein Icon in der Browserleiste, über das Sie ein MDAG-geschütztes Browser-Fenster starten können.
Konfiguration des MDAG:
Standardmäßig ist in der MDAG-Sitzung von Edge weder die Zwischenablage noch die Druckfunktion aktiviert. Auch weitere Optionen, etwa der Zugriff auf das Mikrofon und die Kamera, sind deaktiviert. Über den Gruppenrichtlinieneditor (Tastenkombination "Windows+R" und der Eingabe "gpedit.msc") kann unter Richtlinien für Lokaler Computer › Computerkonfiguration › Administrative Vorlagen › Windows-Komponenten › Microsoft Defender Application Guard die Optionen für den Guard (wie etwa 'Zwischenablageeinstellungen für den Microsoft Defender Application Guard konfigurieren') eingestellt werden.
Über die Einstellung 'Datenpersistenz für Microsoft Defender Application Guard zulassen' bleiben Favoriten oder Cookies nach dem Schließen des geschützten Browsers erhalten.
Achtung
Nur die wirklich benötigten Funktionen aktivieren, den jede erteilte Erlaubnis zum kopieren und speichern, lockert den Schutz der Funktion