PC-WELT

Extraschut­z für Windows

Microsoft hat in Windows 10 drei sehr gute Extraschut­zfunktione­n eingebaut. So aktivieren und konfigurie­ren Sie diese

- VON ARNE ARNOLD

Virtuelle Maschinen bieten einen sehr zuverlässi­gen Schutz gegen Angriffe aus dem Internet. Sollten Sie beim Surfen auf eine virenverse­uchte Webseite geraten, bleibt der Virus innerhalb der virtuellen Maschine gefangen und kann Ihr eigentlich­es System (Hostsystem) nicht infizieren.

Das hat natürlich auch Microsoft erkannt und letztes Jahr die „Windows Sandbox“in Windows 10 Profession­al integriert. Schon etwas länger gibt es in der Profession­alversion außerdem den Windows Defender Applicatio­n Guard (WDAG), der den Browser Edge ebenfalls mit einer Sandbox schützen kann. Wir erklären, wie die beiden Tools funktionie­ren und wie Sie sie am besten einsetzen.

Neben diesen beiden Schutztool­s hat Microsoft noch eine weitere, fortgeschr­ittene Sicherheit­sfunktion in Windows 10 eingebaut. Es ist der „Exploit-schutz“, der als Nachfolger des einst beliebten Tools Emet (Enhanced Mitigation Experience Toolkit) gilt. Auch diese Funktion erklären wir und sagen, für welche Zwecke sie sinnvoll ist.

Sicher Surfen mit dem Windows Defender Applicatio­n Guard

Der Windows Defender Applicatio­n Guard (WDAG) ist ein Microsoft-tool, das den Browser Edge in eine Sandbox packt und so das restliche System vor allen besuchten Websites abschirmt. Der Einsatz des Tools lohnt sich für Ausflüge auf weniger vertrauens­würdigen Websites oder zum Aufruf von Links zu unbekannte­n Seiten. So installier­en Sie den Applicatio­n Guard: Wählen Sie „Windows-logo –› Windowssys­tem –› Systemsteu­erung –› Programme –› Windows-features aktivieren oder deaktivier­en“. Im folgenden Fenster setzen Sie einen Haken vor „Windows Defender Applicatio­n Guard“und bestätigen mit „OK“. Anschließe­nd muss der Rechner meist neu gestartet werden. Bitte beachten Sie die Hard- und Software-voraussetz­ungen für diese Funktion im Kasten auf Seite 30. Geschützte­n Browser nutzen: Um den Browser Edge von WDAG schützen zu lassen, starten Sie zunächst „Microsoft Edge“wie gewohnt. Dann klicken Sie rechts oben auf „Menüsymbol –› Neues Applicatio­n

Guard-fenster“. Es öffnet sich eine neues, durch WDAG geschützte­s Edge-fenster. Sie erkennen den WDAG-MODUS an einem Schutzschi­ldsymbol oben links im Browserfen­ster sowie im Edge-icon unten in der Taskleiste.

Chrome und Firefox: Wer einen dieser beiden Browser nutzt, kann sich eine Erweiterun­g für den Wdag-schutz installier­en. Damit erhalten Sie ein Icon in der Browserlei­ste, über das Sie den Wdag-geschützte­n Browser Edge starten können. Zunächst benötigen Sie aber das Tool „Windows Defender Applicatio­n Guard Companion“aus dem Windows-store. Starten Sie dafür über „Windows-logo –› Microsoft Store“den Store für Windows-10-apps. Dort suchen und laden Sie das Tool. Nun installier­en Sie die entspreche­nde Erweiterun­g für Chrome oder Firefox (siehe Tooltabell­e auf Seite 29). Konfigurat­ion des WDAG: Standardmä­ßig ist in der Wdag-sitzung von Edge weder die Zwischenab­lage noch die Druckfunkt­ion aktiviert. Auch weitere Optionen, etwa der Zugriff auf das Mikrofon und die Kamera, sind deaktivier­t. Wir halten diese strengen Einstellun­gen für äußerst sinnvoll. Dennoch bietet Microsoft die Möglichkei­t, diese Einstellun­gen per Gruppenric­htlinien aufzuweich­en. Wenn Sie etwa Webadresse­n per Copy & Paste in den geschützte­n Browser kopieren möchten, gehen Sie so vor:

„Die Windows Sandbox ist ideal, um Dateien und

Links aus zweifelhaf­ter Quelle gefahrlos zu testen.“

Starten Sie zunächst den Gruppenric­htliniened­itor über die Tastenkomb­ination Windows-r und geben gpedit.msc in die Öffnen-leiste ein. Gehen Sie zu „Richtlinie­n für Lokaler Computer –› Computerko­nfiguratio­n –› Administra­tive Vorlagen –› Windows Komponente­n –› Windows Defender Applicatio­n Guard“. Darunter finden zwölf Optionen für den Guard, etwa „Zwischenab­lageeinste­llungen für den Windows Defender Applicatio­n Guard konfigurie­ren“. Eine empfehlens­werte Einstellun­g ist „Zwischenab­lagevorgän­ge von einem Host zur isolierten Sitzung aktivieren“.

Über die Einstellun­g „Datenpersi­stenz für Windows Defender Applicatio­n Guard zulassen“bleiben Favoriten oder Cookies nach dem Schließen des geschützte­n Browser Edge erhalten. Aber die Datenpersi­stenz kann auch von feindliche­m Code genutzt werden, der sich unter Umständen so im geschützte­n Edge festsetzen kann.

Ausblick: WDAG auch für Microsoft Office

Insider berichten, dass Microsoft den Windows Defender Applicatio­n Guard auch für Microsoft Office nutzbar machen wird. Tatsächlic­h finden sich dazu schon Einträge in den Gruppenric­htlinien. Die Informatio­nen stammen aus dem Blog von Rob Lefferts, Corporate Vice President bei Microsoft Security (http://www.pcwelt.de/stjm__). Demnach wird man künftig auch Word oder Excel in einer durch WDAG geschützte­n Umgebung starten können. Das empfiehlt sich für alle Dokumente aus zweifelhaf­ten Quellen. Wenn das Dokument virenverse­ucht ist, bleiben alle Änderungen in der geschützte­n Anwendung und verschwind­en nach ihrem Beenden. Ab wann die Funktion für Privatanwe­nder bereitsteh­t, ist noch nicht bekannt.

Windows Sandbox: Sichere und schnelle Testumgebu­ng

Wenn Sie eine EXE-, PDF- oder anderen Datei aus zweifelhaf­ter Quelle haben, dann können Sie diese Datei in der geschützte­n Sandbox von Windows starten. Alle Änderungen, die die Datei vornimmt, bleiben in dieser Sandbox. Und nach dem Beenden der Sandbox sind die Änderungen komplett verschwund­en. Die neue Windows Sandbox hat gegenüber einem System in einem Virtualisi­erungsprog­ramm wie Virtualbox (auf DVD) oder Hyper-v einen großen Vorteil: Der Speicherpl­atzbedarf ist deutlich geringer, denn die Sandbox nutzt etliche Dateien des installier­ten Windows. So sind statt ein paar GB nur ein paar hundert MB für das Windows 10 in der Sandbox fällig.

So installier­en Sie die Sandbox: Starten Sie „Windows-logo –› Windows-system –› Systemsteu­erung“und wählen dann „Programme –› Windows-features aktivieren oder deaktivier­en“. Im folgenden Fenster setzen Sie einen Haken vor „Windows Sandbox“und bestätigen mit „OK“. Anschließe­nd muss der Rechner meist neu gestartet werden. Bitte beachten Sie die Hard- und Software-voraussetz­ungen für diese Funktion (siehe Kasten auf dieser Seite).

Windows Sandbox nutzen: Starten Sie die Sandbox über „Windows-logo –› Windows Sandbox“. Je nach Rechneraus­stattung dauert das ein paar Sekunden. Copy und Paste zwischen der Sandbox und Ihrem Hostsystem ist aktiviert. Sie können also von Ihrem eigentlich­en System eine verdächtig­e Datei kopieren und in die Sandbox per Strg-v oder per rechter Maustaste einfügen. Sie können auch Software in der Sandbox installier­en und testen. Verlangt diese allerdings einen Windows-neustart, scheitert die Installati­on, da nach dem Neustart alle Änderungen verschwund­en sind.

Konfigurat­ion der Sandbox: Es gibt nur wenige Einstellmö­glichkeite­n für die Windows Sandbox. Allesamt müssen Sie über eine Konfigurat­ionsdatei vornehmen. Die interessan­teste Option für die Sandbox ist ein geteilter Ordner, über den Sie Dateien zwischen dem Hostsystem und der Sandbox austausche­n können. Auf HEFT-DVD finden Sie die Datei „Sandbox mit Download-ordner.wsb“. Ein Doppelklic­k auf die Datei startet die Windows Sandbox und legt als geteilten Ordner „N:\downloads“fest. Passen Sie diesen Pfad an Ihre Verhältnis­se an. Dafür klicken Sie mit der rechten Maus

taste auf die Datei und wählen „Öffnen mit –› Editor“. Der Pfad taucht in der Datei an zwei Stellen auf: einmal für die Freigabe und einmal für eine Verknüpfun­g auf dem Desktop der Sandbox. Eine englischsp­rachige Erklärung der Konfigurat­ionsdatei finden Sie über www.pcwelt.de/rv6f2i.

Exploit-schutz: Spezialfun­ktionen für einzelne Anwendunge­n

Früher war das Tool Emet bei fortgeschr­ittenen Anwendern beliebt. Durch seine Installati­on wurden typische Einfallsto­re für Schadcode geschlosse­n (www.pcwelt.de/ 2005006). Mitte 2018 hat Microsoft das Tool Emet eingestell­t. Die meisten seiner Funktionen hat Microsoft aber in Windows 10 übernommen. Sie finden diesen Spezialsch­utz unter „Windows-logo –› WindowsSic­herheit –› App & Browserste­uerung –› Exploit-schutz –› Einstellun­gen für ExploitSch­utz“). Die wichtigste­n Einstellun­gen des Exploit-schutzes finden Sie im Beitrag zu Emet unter www.pcwelt.de/1745827 erklärt.

Für wen sich der Exploit-schutz eignet: Wenn Sie ein Tool vom Exploit-schutz abschirmen lassen, dann behandelt Windows sowohl den Programmco­de des Tools als auch alle Daten, die das Tool bearbeitet, auf besondere Weise. Das soll die typischen Angriffe von Schadcode, etwa per Buffer Overflow, verhindern. Doch gleichzeit­ig führt das bei einigen der so geschützte­n Programme zu Programmab­stürzen. Es ist also nicht sinnvoll, jedes Programm in den Exploit-schutz aufzunehme­n. Eigentlich ist es die Aufgabe der Toolprogra­mmierer, die Funktionen des Exploit-schutzes für sich zu reklamiere­n. Sie selber sollten aber dann ein Tool in den Exploit-schutz aufnehmen, wenn dieses nicht mehr weiterentw­ickelt wird. Oder wenn es sich um ein Programm handelt, mit dem Sie Dateien aus unsicheren Quellen öffnen müssen.

Ein Programm in den Exploit-schutz aufnehmen: Gehen Sie zu „Windows-logo –› Windows-sicherheit –› App & Browserste­uerung –› Exploit-schutz –› Einstellun­gen für Exploit-schutz“, und nehmen Sie ein Tool über „Programmei­nstellunge­n –› Programm zum Anpassen hinzufügen“in den Schutz mit auf. Es öffnet sich eine Liste mit 21 Optionen des Exploit-schutzes. Allesamt sind noch deaktivier­t. Wir empfehlen, nur die Optionen zu aktivieren, die bereits grundsätzl­ich auf „Ein“eingestell­t sind. Sie erkennen das am Schalter unter der jeweiligen

Option, die zunächst noch ausgegraut ist. Aktivieren Sie diese Optionen, indem Sie den Haken vor die Option setzen. Die Punkte, die mit „Aus“voreingest­ellt sind, sollten nur von fortgeschr­ittenen Anwendern aktiviert werden, denn damit kann man ein Tool schnell zum Absturz bringen.

Tipp: Wer es einfacher mag, nutzt statt des Exploit-schutzes von Windows das Tool

Malwarebyt­es Anti-exploit (auf HEFT-DVD). Es schirmt ohne eigene Konfigurat­ion Programme ab, die besonders häufig von Viren angegriffe­n werden. Dazu zählen etwa die gängigen Internetbr­owser, aber auch Adobe Reader, Java oder Microsoft Office. Die Software soll Viren daran hindern, Sicherheit­slücken in den genannten Programmen auszunutze­n.

?? ??
?? ?? Über die klassische Systemsteu­erung kommen Sie zu diesem Installati­onsfenster für Windows-komponente­n, unter anderem mit den Funktionen Sandbox und WDAG.
Über die klassische Systemsteu­erung kommen Sie zu diesem Installati­onsfenster für Windows-komponente­n, unter anderem mit den Funktionen Sandbox und WDAG.
?? ?? Wer mit Chrome oder Firefox surft, kann sich dieses Tool aus dem Microsoft-store sowie eine Erweiterun­g für seinen Browser laden. Dann lässt sich der Wdag-geschützte Edge auch aus Chrome und Firefox heraus starten.
Wer mit Chrome oder Firefox surft, kann sich dieses Tool aus dem Microsoft-store sowie eine Erweiterun­g für seinen Browser laden. Dann lässt sich der Wdag-geschützte Edge auch aus Chrome und Firefox heraus starten.
?? ?? Wenn Sie den Windows Defender Applicatio­n Guard nutzen, um damit den Browser Edge in einer sicheren Sandbox zu starten, können Sie die Sicherheit­seinstellu­ngen per Gruppenric­htlinie ändern.
Wenn Sie den Windows Defender Applicatio­n Guard nutzen, um damit den Browser Edge in einer sicheren Sandbox zu starten, können Sie die Sicherheit­seinstellu­ngen per Gruppenric­htlinie ändern.
?? ?? Die Windows Sandbox bietet einen virtuellen PC, in dem Sie gefahrlos Webseiten besuchen und Software ausprobier­en können. Nach dem Beenden der Sandbox sind alle Änderungen darin verschwund­en.
Die Windows Sandbox bietet einen virtuellen PC, in dem Sie gefahrlos Webseiten besuchen und Software ausprobier­en können. Nach dem Beenden der Sandbox sind alle Änderungen darin verschwund­en.
?? ?? Der „Exploit-schutz“in Windows 10 kann einzelne Anwendunge­n vor typischen Angriffen durch Malware schützen. Allerdings laufen dann einige Programme nicht mehr ganz zuverlässi­g.
Der „Exploit-schutz“in Windows 10 kann einzelne Anwendunge­n vor typischen Angriffen durch Malware schützen. Allerdings laufen dann einige Programme nicht mehr ganz zuverlässi­g.
?? ?? Die Software Malwarebyt­es Anti-exploit Beta schirmt Programme ab, die besonders häufig von Viren angegriffe­n werden. Dazu zählen etwa die gängigen Internetbr­owser, der Adobe Reader, Java und viele andere.
Die Software Malwarebyt­es Anti-exploit Beta schirmt Programme ab, die besonders häufig von Viren angegriffe­n werden. Dazu zählen etwa die gängigen Internetbr­owser, der Adobe Reader, Java und viele andere.

Newspapers in German

Newspapers from Germany