Windows 10: So aktivieren Sie den Application Guard

Die Professional-Versionen von Windows 10 sind nicht ausschliesslich in Unternehmen anzutreffen. Viele Privatanwender kaufen sich ebenfalls Geräte für den Profi-Einsatz und erwerben damit ein Windows 10 Pro. Wenn Sie im Besitz eines Windows 10 Pro sind, dann haben Sie den Windows Defender Application Guard (kurz WDAG) an Bord.
Dies ist eine Art zusätzliche virtuelle «Schutzhülle» um die sicherheitskritischste Anwendung herum, nämlich um den Webbrowser. Allfällige Schädlinge können aus einem so abgesicherten Browserfenster nicht ausbrechen oder auf andere Prozesse zugreifen.
Microsoft hat diese Funktion vor gut zweieinhalb Jahren (Herbst 2016) erstmals an die Windows-Insider verteilt. In den Genuss der Funktion kamen erst die Enterprise-Versionen, danach auch die Pro-Versionen von Windows 10.
Nebst der «Pro»-Version von Windows werden als Systemvoraussetzung ausserdem 8 Gigabyte RAM verlangt. Ob Ihr System diese beiden Kriterien erfüllt, finden Sie wie folgt heraus: Öffnen Sie z.B. mit Windowstaste+E ein Explorer-Fenster. Klicken Sie darin mit rechts auf Dieser PC und öffnen Sie die Eigenschaften. Steht unter «Windows-Edition» die Ausgabe «Windows 10 Pro» und gibts beim «installierten Arbeitsspeicher» mindestens 8.00 GB, lässt sich der Application Guard aktivieren. Diese Mindestanforderung ist vernünftig; in der Tat braucht eine solche Virtualisierungsfunktion ordentlich Arbeitsspeicher.

Die Funktion tauchte zudem erst in der Build-Version 17053 (sowie neuer) auf. Welche Build-Version Sie haben, ermitteln Sie so: Drücken Sie Windowstaste+R, tippen Sie Winver ein und drücken Sie Enter. Hier steht hinter «Version 1809» die Build-Nummer in Klammern.
So aktivieren Sie die Funktion: Öffnen Sie über eine Suche im Startmenü die Systemsteuerung. Gehen Sie dort zu Programme und klicken Sie bei Programme und Features auf Windows-Features aktivieren oder deaktivieren. In der Liste der Funktionen finden Sie unter anderem den Windows Defender Application Guard. Aktivieren Sie ihn und klicken Sie auf OK. Nach rund einer Minute ist das Tool aktiviert, worauf Windows um einen Neustart bittet. Genehmigen Sie ihm diesen.

Nach dem Start öffnen Sie den Edge-Webbrowser. Übers Drei-Punkte-Menü können Sie nun ein Neues Application Guard-Fenster öffnen. Benutzen Sie diesen Modus, wenn Sie Webseiten öffnen, bei denen Sie noch nicht sicher sind, ob sich diese als vertrauenswürdig und schädlingsfrei herausstellen.

Danach finden Sie sich in einem neuen Edge-Fenster wieder. Oben links zeigt sich per Klick aufs schwarze Icon der Hinweis drauf, dass Sie in einem Application-Guard-Fenster stecken. Über Weitere öffnet sich ein neues Tab, in dem Sie weitere Seiten in diesem Modus öffnen könnten.

Die Funktion lässt sich auch für die zwei meistgenutzten Webbrowser Mozilla Firefox und Google Chrome aktivieren. Hierfür benötigen Sie jedoch zunächst die Windows-Store-App namens Windows Defender Application Guard Companion sowie das jeweilige Add-on für Ihren Browser. Hier finden Sie die Erweiterung für Firefox und hier für Chrome.

Nach der Installation der Companion-App und der Browser-Erweiterung muss Chrome bzw. Firefox einmal neu gestartet werden. Danach steht in den jeweiligen Browsern ein neues Icon parat: Klicken Sie drauf und gehen Sie zu Neues Application Guard-Fenster. Es öffnet sich ein durch Application Guard geschütztes Edge-Fenster. In diesem können Sie eine unbekannte Webseite öffnen.

Braucht man das wirklich? Die Erweiterung ist primär fürs Firmennetzwerk gedacht. Dort kann der Netzwerkadministrator den Umgang damit streckenweise automatisieren. So kann er zentral festlegen, welche Websites als vertrauenswürdig gelten. Jene werden im Standardbrowser geöffnet. Ruft der Nutzer in seinem Lieblingsbrowser eine andere Seite auf, erkennt der WDAG dies und öffnet diese im WDAG-Modus in Edge. Eine solche automatische «Gute Seiten/Unbekannte Seiten»-Verwaltung fehlt beim Privatanwender. Er muss selbst daran denken, für unbekannte Seiten zum Application Guard zu greifen. Insofern ist der Nutzen für Privatanwender beschränkt.
Wer ohnehin mit MS Edge surft, kann beim Besuch unbekannter Seiten durchaus noch etwas an Sicherheit gewinnen. Andererseits bedeutet diese Funktion nicht, dass man darin nun sämtliche von Spammern und anderen Onlinekriminellen beworbenen Webseiten besuchen sollte. Zu gross ist die Gefahr, dass eine Seite nicht als schädlich erkannt wird und dass schädliche Inhalte dennoch einen Weg aus dem Browser findet.

Für Chrome- und Firefox-Nutzer ist die Nutzung umständlich, weshalb man punkto unbekannte Webseiten lieber auf seine fünf Sinne bzw. eine gesunde Portion Skepsis setzt.