Extraschutz für Windows
Microsoft hat in Windows 10 drei sehr gute Extraschutzfunktionen eingebaut. So aktivieren und konfigurieren Sie diese
Virtuelle Maschinen bieten einen sehr zuverlässigen Schutz gegen Angriffe aus dem Internet. Sollten Sie beim Surfen auf eine virenverseuchte Webseite geraten, bleibt der Virus innerhalb der virtuellen Maschine gefangen und kann Ihr eigentliches System (Hostsystem) nicht infizieren.
Das hat natürlich auch Microsoft erkannt und letztes Jahr die „Windows Sandbox“in Windows 10 Professional integriert. Schon etwas länger gibt es in der Professionalversion außerdem den Windows Defender Application Guard (WDAG), der den Browser Edge ebenfalls mit einer Sandbox schützen kann. Wir erklären, wie die beiden Tools funktionieren und wie Sie sie am besten einsetzen.
Neben diesen beiden Schutztools hat Microsoft noch eine weitere, fortgeschrittene Sicherheitsfunktion in Windows 10 eingebaut. Es ist der „Exploit-schutz“, der als Nachfolger des einst beliebten Tools Emet (Enhanced Mitigation Experience Toolkit) gilt. Auch diese Funktion erklären wir und sagen, für welche Zwecke sie sinnvoll ist.
Sicher Surfen mit dem Windows Defender Application Guard
Der Windows Defender Application Guard (WDAG) ist ein Microsoft-tool, das den Browser Edge in eine Sandbox packt und so das restliche System vor allen besuchten Websites abschirmt. Der Einsatz des Tools lohnt sich für Ausflüge auf weniger vertrauenswürdigen Websites oder zum Aufruf von Links zu unbekannten Seiten. So installieren Sie den Application Guard: Wählen Sie „Windows-logo –› Windowssystem –› Systemsteuerung –› Programme –› Windows-features aktivieren oder deaktivieren“. Im folgenden Fenster setzen Sie einen Haken vor „Windows Defender Application Guard“und bestätigen mit „OK“. Anschließend muss der Rechner meist neu gestartet werden. Bitte beachten Sie die Hard- und Software-voraussetzungen für diese Funktion im Kasten auf Seite 30. Geschützten Browser nutzen: Um den Browser Edge von WDAG schützen zu lassen, starten Sie zunächst „Microsoft Edge“wie gewohnt. Dann klicken Sie rechts oben auf „Menüsymbol –› Neues Application
Guard-fenster“. Es öffnet sich eine neues, durch WDAG geschütztes Edge-fenster. Sie erkennen den WDAG-MODUS an einem Schutzschildsymbol oben links im Browserfenster sowie im Edge-icon unten in der Taskleiste.
Chrome und Firefox: Wer einen dieser beiden Browser nutzt, kann sich eine Erweiterung für den Wdag-schutz installieren. Damit erhalten Sie ein Icon in der Browserleiste, über das Sie den Wdag-geschützten Browser Edge starten können. Zunächst benötigen Sie aber das Tool „Windows Defender Application Guard Companion“aus dem Windows-store. Starten Sie dafür über „Windows-logo –› Microsoft Store“den Store für Windows-10-apps. Dort suchen und laden Sie das Tool. Nun installieren Sie die entsprechende Erweiterung für Chrome oder Firefox (siehe Tooltabelle auf Seite 29). Konfiguration des WDAG: Standardmäßig ist in der Wdag-sitzung von Edge weder die Zwischenablage noch die Druckfunktion aktiviert. Auch weitere Optionen, etwa der Zugriff auf das Mikrofon und die Kamera, sind deaktiviert. Wir halten diese strengen Einstellungen für äußerst sinnvoll. Dennoch bietet Microsoft die Möglichkeit, diese Einstellungen per Gruppenrichtlinien aufzuweichen. Wenn Sie etwa Webadressen per Copy & Paste in den geschützten Browser kopieren möchten, gehen Sie so vor:
„Die Windows Sandbox ist ideal, um Dateien und
Links aus zweifelhafter Quelle gefahrlos zu testen.“
Starten Sie zunächst den Gruppenrichtlinieneditor über die Tastenkombination Windows-r und geben gpedit.msc in die Öffnen-leiste ein. Gehen Sie zu „Richtlinien für Lokaler Computer –› Computerkonfiguration –› Administrative Vorlagen –› Windows Komponenten –› Windows Defender Application Guard“. Darunter finden zwölf Optionen für den Guard, etwa „Zwischenablageeinstellungen für den Windows Defender Application Guard konfigurieren“. Eine empfehlenswerte Einstellung ist „Zwischenablagevorgänge von einem Host zur isolierten Sitzung aktivieren“.
Über die Einstellung „Datenpersistenz für Windows Defender Application Guard zulassen“bleiben Favoriten oder Cookies nach dem Schließen des geschützten Browser Edge erhalten. Aber die Datenpersistenz kann auch von feindlichem Code genutzt werden, der sich unter Umständen so im geschützten Edge festsetzen kann.
Ausblick: WDAG auch für Microsoft Office
Insider berichten, dass Microsoft den Windows Defender Application Guard auch für Microsoft Office nutzbar machen wird. Tatsächlich finden sich dazu schon Einträge in den Gruppenrichtlinien. Die Informationen stammen aus dem Blog von Rob Lefferts, Corporate Vice President bei Microsoft Security (http://www.pcwelt.de/stjm__). Demnach wird man künftig auch Word oder Excel in einer durch WDAG geschützten Umgebung starten können. Das empfiehlt sich für alle Dokumente aus zweifelhaften Quellen. Wenn das Dokument virenverseucht ist, bleiben alle Änderungen in der geschützten Anwendung und verschwinden nach ihrem Beenden. Ab wann die Funktion für Privatanwender bereitsteht, ist noch nicht bekannt.
Windows Sandbox: Sichere und schnelle Testumgebung
Wenn Sie eine EXE-, PDF- oder anderen Datei aus zweifelhafter Quelle haben, dann können Sie diese Datei in der geschützten Sandbox von Windows starten. Alle Änderungen, die die Datei vornimmt, bleiben in dieser Sandbox. Und nach dem Beenden der Sandbox sind die Änderungen komplett verschwunden. Die neue Windows Sandbox hat gegenüber einem System in einem Virtualisierungsprogramm wie Virtualbox (auf DVD) oder Hyper-v einen großen Vorteil: Der Speicherplatzbedarf ist deutlich geringer, denn die Sandbox nutzt etliche Dateien des installierten Windows. So sind statt ein paar GB nur ein paar hundert MB für das Windows 10 in der Sandbox fällig.
So installieren Sie die Sandbox: Starten Sie „Windows-logo –› Windows-system –› Systemsteuerung“und wählen dann „Programme –› Windows-features aktivieren oder deaktivieren“. Im folgenden Fenster setzen Sie einen Haken vor „Windows Sandbox“und bestätigen mit „OK“. Anschließend muss der Rechner meist neu gestartet werden. Bitte beachten Sie die Hard- und Software-voraussetzungen für diese Funktion (siehe Kasten auf dieser Seite).
Windows Sandbox nutzen: Starten Sie die Sandbox über „Windows-logo –› Windows Sandbox“. Je nach Rechnerausstattung dauert das ein paar Sekunden. Copy und Paste zwischen der Sandbox und Ihrem Hostsystem ist aktiviert. Sie können also von Ihrem eigentlichen System eine verdächtige Datei kopieren und in die Sandbox per Strg-v oder per rechter Maustaste einfügen. Sie können auch Software in der Sandbox installieren und testen. Verlangt diese allerdings einen Windows-neustart, scheitert die Installation, da nach dem Neustart alle Änderungen verschwunden sind.
Konfiguration der Sandbox: Es gibt nur wenige Einstellmöglichkeiten für die Windows Sandbox. Allesamt müssen Sie über eine Konfigurationsdatei vornehmen. Die interessanteste Option für die Sandbox ist ein geteilter Ordner, über den Sie Dateien zwischen dem Hostsystem und der Sandbox austauschen können. Auf HEFT-DVD finden Sie die Datei „Sandbox mit Download-ordner.wsb“. Ein Doppelklick auf die Datei startet die Windows Sandbox und legt als geteilten Ordner „N:\downloads“fest. Passen Sie diesen Pfad an Ihre Verhältnisse an. Dafür klicken Sie mit der rechten Maus
taste auf die Datei und wählen „Öffnen mit –› Editor“. Der Pfad taucht in der Datei an zwei Stellen auf: einmal für die Freigabe und einmal für eine Verknüpfung auf dem Desktop der Sandbox. Eine englischsprachige Erklärung der Konfigurationsdatei finden Sie über www.pcwelt.de/rv6f2i.
Exploit-schutz: Spezialfunktionen für einzelne Anwendungen
Früher war das Tool Emet bei fortgeschrittenen Anwendern beliebt. Durch seine Installation wurden typische Einfallstore für Schadcode geschlossen (www.pcwelt.de/ 2005006). Mitte 2018 hat Microsoft das Tool Emet eingestellt. Die meisten seiner Funktionen hat Microsoft aber in Windows 10 übernommen. Sie finden diesen Spezialschutz unter „Windows-logo –› WindowsSicherheit –› App & Browsersteuerung –› Exploit-schutz –› Einstellungen für ExploitSchutz“). Die wichtigsten Einstellungen des Exploit-schutzes finden Sie im Beitrag zu Emet unter www.pcwelt.de/1745827 erklärt.
Für wen sich der Exploit-schutz eignet: Wenn Sie ein Tool vom Exploit-schutz abschirmen lassen, dann behandelt Windows sowohl den Programmcode des Tools als auch alle Daten, die das Tool bearbeitet, auf besondere Weise. Das soll die typischen Angriffe von Schadcode, etwa per Buffer Overflow, verhindern. Doch gleichzeitig führt das bei einigen der so geschützten Programme zu Programmabstürzen. Es ist also nicht sinnvoll, jedes Programm in den Exploit-schutz aufzunehmen. Eigentlich ist es die Aufgabe der Toolprogrammierer, die Funktionen des Exploit-schutzes für sich zu reklamieren. Sie selber sollten aber dann ein Tool in den Exploit-schutz aufnehmen, wenn dieses nicht mehr weiterentwickelt wird. Oder wenn es sich um ein Programm handelt, mit dem Sie Dateien aus unsicheren Quellen öffnen müssen.
Ein Programm in den Exploit-schutz aufnehmen: Gehen Sie zu „Windows-logo –› Windows-sicherheit –› App & Browsersteuerung –› Exploit-schutz –› Einstellungen für Exploit-schutz“, und nehmen Sie ein Tool über „Programmeinstellungen –› Programm zum Anpassen hinzufügen“in den Schutz mit auf. Es öffnet sich eine Liste mit 21 Optionen des Exploit-schutzes. Allesamt sind noch deaktiviert. Wir empfehlen, nur die Optionen zu aktivieren, die bereits grundsätzlich auf „Ein“eingestellt sind. Sie erkennen das am Schalter unter der jeweiligen
Option, die zunächst noch ausgegraut ist. Aktivieren Sie diese Optionen, indem Sie den Haken vor die Option setzen. Die Punkte, die mit „Aus“voreingestellt sind, sollten nur von fortgeschrittenen Anwendern aktiviert werden, denn damit kann man ein Tool schnell zum Absturz bringen.
Tipp: Wer es einfacher mag, nutzt statt des Exploit-schutzes von Windows das Tool
Malwarebytes Anti-exploit (auf HEFT-DVD). Es schirmt ohne eigene Konfiguration Programme ab, die besonders häufig von Viren angegriffen werden. Dazu zählen etwa die gängigen Internetbrowser, aber auch Adobe Reader, Java oder Microsoft Office. Die Software soll Viren daran hindern, Sicherheitslücken in den genannten Programmen auszunutzen.