Go to english version

Dokumentation zu Virtuellen Maschinen

Als Plattform für Virtuelle-Maschinen nutze ich Hyper-V, wie es in Windows 10 Pro 64 Bit mitgeliefert wird. Ich hatte zuvor VirtualPC unter Windows Vista genutzt.

Ich nutze mehrere Virtuelle-Maschinen:

Windows 10 selbst, um Software in einem "Sandkasten" auszuprobieren
Debian Linux-basierend, um sicher im Web zu surfen
TinyCore Linux-basierend. Diese VM pflege ich aber nicht mehr, seit dem ich die Debian-VM aufgebaut habe.

Seit Version 1803, gibt es in Windows 10 den Edge-Browser in der sicheren "Application Guard"-Umgebung. Auch das nutzt die Technik Virtueller-Maschinen. Um sicher im Web zu surfen nutze ich

Edge im Application Guard, wenn ich den Edge-Browser brauche
- Datenaustausch geht über das spezielle Verzeichnis "Nicht vertrauenswürdige Dateien"
- Klemmbrett-Unterstützung (Clipboard) kann in Application Guard eingeschaltet werden
Firefox in der Debian-VM, wenn ich den Firefox-Browser brauche, z.B. um meine Web-Seiten auch mit Firefox zu testen
- Datenaustausch geht per FTP
- Auch die Debian-VM kann das Klemmbrett nutzen, da das Linux-GUI per XRDP bereitgestellt wird, nicht per X-Org. XRDP fügt sich gut in Windows ein.

Windows Defender Application Guard (WDAG)

Die Application Guard-Technik erscheint in Windows mindestens in zwei Varianten:

"Microsoft Defender Application Guard", mit dem man z.B. den Edge-Browser in einer Gummizelle laufen lassen kann (siehe oben), und
"Windows Sandbox", das ein immer frisches, nacktes Windows bereitstellt.

Beide Varianten verwenden ein virtuelles Laufwerk C: und ein spezielles Konto "WDGAUtilityAccount", dessen Daten auf dem virtuellen Laufwerk gespeichert werden. Das läßt vermuten, dass die selbe unterliegende Technik verwendet wird. Seltsam, dass beiden Varianten unterschiedlich konfiguriert werden.

Microsoft Defender Application Guard

Microsoft Defender Application Guard kann man mit Group Policies verwalten, siehe: https://docs.microsoft.com/de-de/windows/security/threat-protection/microsoft-defender-application-guard/configure-md-app-guard

Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application Guard

Die Dokumentation sagt, dass die Einstelleungen teilweise auch unter Windows Pro greifen. Bei mir, heisst es im Group Policy Editor allerdings bei allen Einstellungen:

Windows 10 Enterprise, Windows 10 Education oder höher

Das Bild zeigt einen Screenshot aus dem GP-Editor, mit Änderungen, die ich gemacht hatte. Die Änderungen schienen in Edge/App.-Guard zunächst keinen Einfluss zu haben.

Ein andere Möglichkeit geht über das normale Windows-Einstellungs-Menu:

Einstellungen
 Update & Sicherheit
  Windows-Sicherheit
   App- & Browsersteuerung
    Isoliertes Browsen
     Application Guard-Einstellungen ändern

Jede Änderung der Einstellungen verlangt Admin-Rechte. Die Dokumentation sagt, dass die Einstellungen sofort wirksam werden und kein Logout/Login oder Neustart brauchen. Ausnahme: Grafik-Beschleunigung brauche Neustart.

Achtung:

Copy/Paste von Text und Bildern über das Clipboard geht, aber Copy/Paste von Dateien von/zu den Ordnern "Nicht vertrauenswürdig" geht nicht
Drucken erlaubt nur PDF-Erzeugung, wobei das PDF in den Ordner "Nicht vertrauenswürdig" geht.

Der Ordner "Nicht vertrauenswürdige Dateien" wird als Unterordner vom eigenen Downloads-Ordner angelegt!

Nachdem ich das Ganze auf einem Rechner zum Laufen gebracht hatte, versuchte ich das gleiche auf einem anderen. Im Ordner Downloads zu speichern gelang mir erst, als ich die entsprechende Group-Policy gesetzt hatte. Es funktionierte nicht alles auf Anhieb. Vielleicht braucht das doch einen Neustart, womöglich sogar einen "richtigen".

Windows Sandbox

Windows Sandbox verwendet demgegenüber XML-Dateien zur Konfiguration, siehe: https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-sandbox/windows-sandbox-configure-using-wsb-file

Vorteile der Sandbox gegen über einer "richtigen" VM:

Startet im Vergleich zu meiner Windows-VM schnell, weil die Sandbox auf dem Systemlaufwerk C: läuft, das bei mir eine SSD ist. Die VHD meiner Windows-VM dagegen liegt auf einer klassischen Festplatte

Nachteile der Sandbox:

Nach einem Neustart ist Alles weg. D.h. ein Neustart ist so, wie Sandbox zerstören und dann wieder neu aufbauen. Möglicherweise wird Microsoft das noch ändern, vielleicht nur in Win11?
Es sind wirklich nur die allernötigsten Apps an Bord. Manchmal braucht man für Tests aber mehr, z.B. Kamera-App, Skype, …
In der Sandbox ist man scheinbar immer als Admin unterwegs. Das kann bei Tests irreführend sein.
In der Sandbox ist die Windows-Sicherheitsmaßname "Potenziell unerwünschte Apps werden blockiert" ausgeschaltet. Das kann einen in falscher Sicherheit wiegen
In der Sandbox scheint der Defender-Viren-Scanner komplett ausgeschaltet zu sein. Das kann einen in falscher Sicherheit wiegen

Links zu Windows Sandbox

Grundlegend: https://learn.microsoft.com/en-us/windows/security/threat-protection/windows-sandbox/windows-sandbox-overview

Microsoft-Doku. zum Configuration-File: https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-sandbox/windows-sandbox-configure-using-wsb-file

Beim Start der Sandbox kann ein Skript ausgeführt werden, z.B. um die Sandbox nach dem Start zu "tunen" bzw. "schnell noch" nötige Apps zu installieren:

Logon command, configuration using Powershell: https://jdhitsolutions.com/blog/powershell/7621/doing-more-with-windows-sandbox/

Einstellungen für Sandbox und Start-Up-Scripts: https://www.windowspro.de/wolfgang-sommergut/einstellungen-fuer-windows-sandbox-netzwerk-scripts-transferordner-konfigurieren