De functie "Windows Defender Application Guard" van Windows 10 voert de Microsoft Edge-browser uit in een geïsoleerde, gevirtualiseerd container. Zelfs als een kwaadwillende website misbruik maakt van een fout in Edge, kan dit uw pc niet in gevaar brengen. Application Guard is standaard uitgeschakeld.
Te beginnen met de April 2018 Update , iedereen die Windows 10 Professional kan nu Application Guard inschakelen. Voorheen was deze functie alleen beschikbaar in Windows 10 Enterprise. Als u Windows 10 Home heeft en Application Guard wilt, moet u dat doen upgraden naar Pro .
systeem vereisten
Windows Defender Application Guard, ook wel Application Guard of WDAG genoemd, werkt alleen met de Microsoft Edge-browser. Wanneer u deze functie inschakelt, kan Windows Edge uitvoeren in een beschermde, geïsoleerde container.
In het bijzonder gebruikt Windows Microsoft's Hyper-V-virtualisatietechnologie . Daarom vereist Application Guard dat je een pc hebt met een van beide Intel VT-X of AMD-V virtualisatiehardware . Microsoft noemt ook andere systeem vereisten , inclusief een 64-bits CPU met minimaal 4 cores, 8 GB RAM en 5 GB vrije ruimte.
Windows Defender Application Guard inschakelen
Om deze functie in te schakelen, gaat u naar Configuratiescherm> Programma's> Windows-onderdelen in- of uitschakelen.
Controleer de optie "Windows Defender Application Guard" in de lijst hier en klik vervolgens op de knop "OK".
Als je de optie niet in deze lijst ziet, gebruik je een Home-versie van Windows 10 of heb je nog geen upgrade naar de update van april 2018 uitgevoerd.
Als u de optie ziet, maar deze is uitgegrijsd, ondersteunt uw pc deze functie niet. Mogelijk hebt u geen pc met Intel VT-x- of AMD-V-hardware, of misschien moet u dat wel doen schakel Intel VT-X in het BIOS van uw computer in . De optie wordt ook grijs weergegeven als u minder dan 8 GB RAM heeft.
Windows installeert de functie Windows Defender Application Guard. Als het klaar is, wordt u gevraagd uw pc opnieuw op te starten. U moet uw pc opnieuw opstarten voordat u deze functie kunt gebruiken.
Edge starten in Application Guard
Edge werkt standaard nog steeds in de normale browsemodus, maar u kunt nu een beveiligd browservenster openen dat wordt beschermd met de functie Application Guard.
Start hiervoor eerst Microsoft Edge normaal. Klik in Edge op Menu> Nieuw Application Guard-venster.
Er wordt een nieuw, apart Microsoft Edge-browservenster geopend. De oranje "Application Guard" -tekst in de linkerbovenhoek van het venster geeft aan dat het browservenster is beveiligd met Application Guard.
U kunt vanaf hier extra browservensters openen - zelfs extra InPrivate-vensters voor privé browsen - en ze zullen ook de oranje 'Application Guard'-tekst hebben.
Het Application Guard-venster heeft ook een apart taakbalkpictogram van het normale Microsoft Edge-browserpictogram. Het heeft een blauw Edge "e" -logo met een grijs schildpictogram eroverheen.
Wanneer u bepaalde soorten bestanden downloadt en opent, kan Edge documentviewers of andere soorten toepassingen starten in de modus Application Guard. Als een applicatie in de Application Guard-modus wordt uitgevoerd, ziet u hetzelfde grijze schildpictogram boven het taakbalkpictogram.
In de Application Guard-modus kunt u de functies van Edge's favorieten of leeslijst niet gebruiken. Elke browsergeschiedenis die u aanmaakt, wordt ook verwijderd wanneer u zich afmeldt bij uw pc. Alle cookies van de huidige sessie wordt gewist als je ook uit je pc zingt. Dit betekent dat u elke keer dat u de Application Guard-modus gaat gebruiken, opnieuw moet inloggen op uw websites.
Downloads zijn ook beperkt. De geïsoleerde Edge-browser heeft geen toegang tot uw normale bestandssysteem, dus u kunt geen bestanden downloaden naar uw systeem of bestanden uploaden vanuit uw normale mappen naar websites in de modus Application Guard. U kunt de meeste soorten bestanden niet downloaden en openen in de Application Guard-modus, inclusief .exe-bestanden, hoewel u pdf's en andere soorten documenten wel kunt bekijken. Bestanden die u downloadt, worden opgeslagen in een speciaal Application Guard-bestandssysteem en worden gewist nadat u zich afmeldt bij uw pc.
Andere functies, waaronder kopiëren en plakken en afdrukken, zijn ook uitgeschakeld voor Application Guard-vensters.
Microsoft heeft enkele opties toegevoegd om deze beperkingen te verwijderen, als u dat wilt, maar dit zijn de standaardinstellingen.
Hoe Windows Defender Application Guard te configureren
U kunt Windows Defender Application Guard en zijn beperkingen configureren via Groepsbeleid. Als u Application Guard op uw eigen zelfstandige Windows 10 Professional-pc gebruikt, kunt u het Editor voor lokaal groepsbeleid door op Start te drukken, "gpedit.msc" te typen en vervolgens op Enter te drukken.
(De Groepsbeleid-editor is niet beschikbaar in Home-edities van Windows 10, maar de functie Windows Defender Application Guard ook niet.)
Navigeer naar Computerconfiguratie> Beheersjablonen> Windows-componenten> Windows Defender Application Guard.
Om "data persistence" in te schakelen en Application Guard uw favorieten, browsergeschiedenis en cookies te laten opslaan, dubbelklikt u hier op de "Allow data persistence for Windows Defender Application Guard" instelling, selecteert u "Enabled" en klikt u op "OK". Application Guard wist de gegevens niet nadat u zich heeft afgemeld bij uw pc.
Om Edge bestanden naar uw normale systeemmappen te laten downloaden, dubbelklikt u op de instelling "Sta bestanden toe om te downloaden en op te slaan op het hostbesturingssysteem van Windows Defender Application Guard", stelt u deze in op "Ingeschakeld" en klikt u op "OK".
Bestanden die u downloadt in de modus Application Guard, worden opgeslagen in de map "Niet-vertrouwde bestanden" in de normale map Downloads van uw Windows-gebruikersaccount.
Om Edge toegang te geven tot uw normale systeemklembord, dubbelklikt u op de optie "Configureer Windows Defender Application Guard klembordinstellingen". Klik op "Ingeschakeld" en pas uw klembordinstellingen aan met behulp van de instructies hier. U kunt bijvoorbeeld klembordbewerkingen inschakelen vanuit de Application Guard-browser naar het normale besturingssysteem, van het normale besturingssysteem naar de Application Guard-browser, of op beide manieren. U kunt ook kiezen of u het kopiëren van tekst, het kopiëren van afbeeldingen of beide wilt toestaan. Klik op "OK" als u klaar bent.
Microsoft raadt u aan om het kopiëren van uw hostbesturingssysteem naar de Application Guard-sessie niet toe te staan. Als u dat wel doet, kan een gecompromitteerde Application Guard-browsersessie gegevens van het klembord van uw computer lezen.
Dubbelklik op de optie "Configureer Windows Defender Application Guard-afdrukinstellingen" om afdrukken in te schakelen. Klik op "Ingeschakeld" en pas uw printerinstellingen aan met de opties hier. U kunt bijvoorbeeld "4" invoeren om alleen naar lokale printers te kunnen afdrukken, "2" om alleen naar PDF-bestanden af te drukken, of "6" om alleen naar lokale printers en PDF-bestanden te kunnen afdrukken. Klik op "OK" als u klaar bent.
Als u afdrukken naar pdf of XPS-bestanden Met Application Guard kunt u die bestanden opslaan op het normale bestandssysteem van het hostbesturingssysteem.
U moet uw pc opnieuw opstarten nadat u deze instellingen hebt gewijzigd. Ze worden pas van kracht als u dat doet.
Ondanks dat de Groepsbeleid-editor zegt dat deze instellingen Windows 10 Enterprise vereisen, ontdekten we dat ze prima werkten op Windows 10 Professional met de update van april 2018. Iemand bij Microsoft is waarschijnlijk vergeten de documentatie bij te werken.
Als u meer informatie nodig heeft over wat deze instellingen voor groepsbeleid doen, raadpleegt u Microsoft's Documentatie over groepsbeleid van Windows Defender Application Guard .
En als u geïnteresseerd bent in beveiligingsfuncties van Windows 10, neem dan zeker een kijkje Gecontroleerde maptoegang , waarmee u uw bestanden tegen ransomware kunt beschermen. Deze functie is ook standaard uitgeschakeld.
