Windows Defender Application Guard (WDAG)

Windows Defender Application Guard (WDAG) lautet der sperrige Name von Microsofts Security-Funktion zur Absicherung von Browser-Sitzungen. Diese nutzt den in Windows integrierten Virtualisierer Hyper-V, um den Webbrowser in einer separaten Sandbox auszuführen. Bisher konnten ausschließlich Kunden der Enterprise-Version von Windows 10 auf die Sicherheitsfunktion zurückgreifen. Künftig soll dies aber auch für Nutzer von Windows 10 Pro möglich sein, wie Microsoft in einem Blogpost mitteilt.

WDAG ist eine für den Edge-Browser konzipierte Sicherheitsfunktion, die potentiell gefährliche Webseiten automatisch in einer virtualisierten Umgebung öffnet. Letztere umfasst separate Kopien des Kernels und der minimalen Windows Platform Services, die zur Ausführung von Edge benötigt werden. Die zugrundeliegende Hardware erzwingt dabei, dass diese separate Kopie von Windows keinen Zugriff auf die normale Betriebsumgebung des Benutzers hat. Hierdurch schützt das Feature den Client und das verbundene Netzwerk vor Malware, Viren, Sicherheitslücken und Zero-Day-Attacken. Welche Webseiten als gefährlich eingestuft sind und welche als harmlos gelten, kann frei vom Administrator konfiguriert werden. Unbekannte Webseiten werden standardmäßig über eine WDAG-Instanz geöffnet.

In der Praxis hat die Funktion keinen Einfluss auf das Arbeiten mit dem Webbrowser. Auch in Sitzungen mit WDAG-Absicherung kann ganz normal mit der Windows-Zwischenablage gearbeitet werden. Das Drucken von Web-Inhalten ist ebenso möglich.

Microsoft will WDAG im Rahmen des großen Frühjahrs-Updates für Windows 10 an Nutzer der Pro-Version verteilen. Über das Insider-Programm ist die neue Funktion aber schon jetzt verfügbar. Voraussetzung ist Build 17053 oder neuer, eine US-amerikanische Lokalisierung (en-us) und Hardware-Support für Hyper-V. Standardmäßig ist die Funktion deaktiviert, über den Windows-Features-Dialog lässt sie sich freischalten. Starten Sie hierfür eine Windows-Suche über die Windows-Taste und geben Sie dort den Suchbegriff "Features" ein. Wählen Sie anschließend den Eintrag "Windows-Features aktivieren oder deaktivieren". Nun wählen Sie die Checkbox von "Windows Defender Application Guard" aus und markieren diese mit einem Häkchen. Nach einem Klick auf "OK" nimmt Windows die notwendigen Konfigurationen vor. Abschließend ist ein Neustart erforderlich. In Windows-Edge lässt sich nun eine neue WDAG-Instanz über die Einstellungen öffnen und nutzen.