Windows Defender Application Guard inschakelen

Abraham54

Beheer
Team lid
Lid geworden
2 aug 2016
Berichten
27.998
Oplossingen
2
Leeftijd
68
OS
Windows 10 Professional
AV
F-Secure Antivirus (Ziggo)
FW
Windows Firewal
Wat is de Windows Defender Application Guard?
De Windows Defender Application Guard is een nieuwe beveiligingsfunctie van het Windows 10-besturingssysteem,
dat Microsoft al in 2016 onthulde.

Het bedrijf onthulde toen, dat het de functie zou integreren in een toekomstige Windows Insider-build voordat het
de Windows Defender Application Guard zal integreren in de toenmalige Windows 10 Creators Update.

Het bleek uiteindelijk, dat de functie werd opgenomen in Microsoft Edge en Internet Explorer van Windows 10 Enterprise-systemen.

Actueel kan nu de Windows Defender Application Guard geactiveerd worden in Windows 10/11 Professional, Windows 10/11 Enterprise.
Gebruikers van Office 365 in de vermelde Windows-versies kunnen Windows Defender Application Guard ook voor Office 365 inschakelen.

Hieronder vindt u de drie kernfuncties van Windows Defender Application Guard:
  • Geïsoleerd browsen -- Windows Defender Application Guard maakt gebruik van de nieuwste
    virtualisatietechnologie om uw besturingssysteem te helpen beschermen door een geïsoleerde omgeving
    te creëren voor uw Microsoft Edge-sessie.
  • Helpt uw pc te beveiligen -- Windows Defender Application Guard wordt telkens gestart wanneer u een
    niet-werkgerelateerde site bezoekt om mogelijk schadelijke aanvallen van uw pc weg te houden.
  • Verwijdering van malware -- alle websites die u bezoekt, bestanden die u downloadt of instellingen die u wijzigt,
    terwijl u zich in deze geïsoleerde omgeving bevindt, worden verwijderd wanneer u zich afmeldt van Windows,
    waardoor alle mogelijke malware wordt verwijderd.

De introductie van de functie door Microsoft in 2016, onthulde de onderliggende technologie die wordt gebruikt,
om de functie aan te drijven: het maakt gebruik van Microsofts Hyper-V virtualisatietechnologie om een nieuwe
verdedigingslaag rond Microsoft Edge te creëren.

Dit is min of meer een sandbox waar Edge processen in draaien als ze niet in de lijst van vertrouwde sites staan.
Vertrouwde sites werken precies zoals ze nu doen in de huidige stabiele versie van Edge. Sites en diensten hebben
toegang tot lokale opslag, mogen cookies lezen en schrijven, en alle andere dingen doen waar ze toestemming voor hebben,
automatisch of op verzoek van de gebruiker.

Het volgende gebeurt als een site of service niet in de lijst met vertrouwde sites staat.

De werking vande Application Guard omvat het volledig blokkeren van toegang tot geheugen, lokale opslag, andere
geïnstalleerde toepassingen, eindpunten van bedrijfsnetwerken of andere bronnen die van belang zijn voor de aanvaller.

Microsoft merkt op, dat deze sandboxed kopie geen toegang heeft tot credentials, inclusief domein credentials.
Strikte "no access to anything"-regels zouden sites of diensten die afhankelijk zijn van deze functies ondermijnen.
De Application Guard biedt wel toegang tot "essentiële functies" en sommige kunnen worden geconfigureerd via
het Groepsbeleid of andere beheertools.

Systeemvereisten

De Windows Defender Application Guard heeft de volgende systeemvereisten:
  • 64-bit processor met minimaal 4 cores.
  • Ondersteuning voor uitgebreide paginatabellen en VT-x (Intel) of AMD-V (AMD).
  • 8 Gigabyte werkgeheugen aanbevolen.
  • 5 Gigabyte vrije schijfruimte. SSD aanbevolen.
  • Windows 10 Enterprise versie 1709 of nieuwer, of Windows 10 Professional versie 1803 of nieuwer.
  • Werkt alleen in Microsoft Edge of Internet Explorer.

Het beheer van de Application Guard

Om Groepsbeleid op te roepen doe je het volgende:

  1. druk tegelijk op de volgende toetsencombinatie: Microsoft toets en de R-toets;
  2. de toetscombinatie zorgt ervoor dat het venster Uitvoeren opengaat;
  3. kopieer en plak of type in de opdrachtregel het commando gpedit.msc om Groepsbeleid op te roepen.

61b8819d21645-Groepsbeleid_Microsoft_Defender_Application_Guard.jpg


Als u de Groepsbeleideditor opent, vindt u tien toepassingsbewakingsspecifieke vermeldingen onder
Computerconfiguratie > Administratieve sjablonen >Windows-componenten > Windows Defender Application Guard:
  • Microsoft Defender Application Guard in beheerde modus inschakelen
  • Toegang tot camera en microfoon toestaan in Microsoft Defender Application Guard
  • Datapersistentie voor Microsoft Defender Application Guard *
  • Rendering met hardwareversnelling toestaan voor Microsoft Defender Application Guard *
  • Controlegebeurtenissen in Microsoft Defender Application Guard toestaan
  • Voorkomen dat Enterprise-websites niet Enterprise-inhoud laden in Microsoft Edge en Internet Explorer
  • Toestaan dat Microsoft Defender Application Guard gebruik maakt van basiscertificeringsinstanties van het apparaat van de gebruiker
  • Klembordinstellingen voor Microsoft Defender Application Guard configureren
  • Afdrukinstellingen voor Microsoft Defender Application Guard configureren
  • Toestaan dat bestanden worden gedownload en opgeslagen op het hostbesturingssysteem via Microsoft Defender Application Guard
De regels die van een sterretje (*) zijn voorzien, zijn in mijn Windows geactiveerd voor Microsoft Defender Application Guard,
deze tweer regels kan u zondermeer ook toepassen.

U kunt de functie ook inschakelen via het dialoogvenster Windows-eigenschappen.
Via Configuratiescherm » Programma's en onderdelen » Windows-onderdelen in- of uitschakelen
kunt u Microsoft Defender Application Guard activeren door een vinkje ervoor te activeren en dan op de knop OK
te klikken - daarna zal computer opnieuw opgetart te dienen te worden om de Microsoft Defender Application Guard
geactiveerd te krijgen in Windows.

61b88569c428a-Microsoft_Defender_Application_Guard_activeren.jpg



Zie ook:
 
Bovenaan Onderaan