Wichtig: Microsoft Defender Application Guard für Office ist veraltet und wird nicht mehr aktualisiert. Diese Einstellung umfasst auch die Windows.Security.Isolation-APIs, die für Microsoft Defender Application Guard für Office verwendet werden. Es wird empfohlen, zu Microsoft Defender for Endpoint Angriffs-Oberflächenreduzierungsregeln zusammen mit der geschützten Ansicht und der Windows Defender-Anwendungssteuerung zu wechseln. Ab Windows 11 Version 24H2 ist Microsoft Defender Application Guard nicht mehr verfügbar.
Dateien aus dem Internet und von anderen potenziell unsicheren Speicherorten können Viren, Würmer oder andere Arten von Schadsoftware enthalten, die auf Ihrem Computer Schaden anrichten können. Um Sie zu schützen, öffnet Microsoft 365 Dateien von potenziell unsicheren Speicherorten in Application Guard, einem sicheren Container, der durch hardwarebasierte Virtualisierung von den restlichen Daten isoliert ist. Im Gegensatz zur geschützten Ansicht können Sie, wenn Microsoft 365 Dateien in Application Guard öffnet, diese Dateien sicher lesen, bearbeiten, drucken und speichern, ohne Dateien außerhalb des Containers erneut öffnen zu müssen.
Wenn Sie sicher sind, dass die Datei sicher ist und Sie etwas tun müssen, das von Application Guard blockiert wird, können Sie den Schutz aus dieser Datei entfernen.
Hinweis: Wenn Ihr Administrator Tresor Dokumente aktiviert hat, wird die Datei anhand der Microsoft Defender für den Endpunktdienst überprüft, um festzustellen, ob sie bösartig ist, bevor sie außerhalb von Application Guard geöffnet wird.
Die geschützte Ansicht ist ein schreibgeschützter Modus, in dem die meisten Bearbeitungsfunktionen aus Sicherheitsgründen deaktiviert sind. Dateien von potenziell unsicheren Speicherorten werden als schreibgeschützte Dateien oder in der geschützten Ansicht geöffnet. Unter Verwendung der geschützten Ansicht können Dateien ohne allzu großes Risiko gelesen, ihre Inhalte angezeigt und die Bearbeitung ermöglicht werden.
Application Guard ist ein eingeschränkter Modus, mit dem Sie die eingeschränkte Bearbeitung und das Drucken von nicht vertrauenswürdigen Dokumenten ausführen und gleichzeitig das Risiko für Ihren Computer minimieren können. Office öffnet Dateien von potenziell unsicheren Speicherorten in Application Guard, einem sicheren Container, der durch hardwarebasierte Virtualisierung vom Gerät isoliert ist. Wenn Office Dateien in Application Guard öffnet, können Sie diese Dateien sicher lesen, bearbeiten, drucken und speichern, ohne Dateien außerhalb des Containers erneut öffnen zu müssen.
Im Vergleich zur geschützten Ansicht bietet Application Guard sowohl erhöhte Sicherheit als auch höhere Produktivität für Benutzer.
Sicherheit
Application Guard ist eine auf Virtualisierung basierende Sandbox, die verwendet wird, um nicht vertrauenswürdige Dokumente zu isolieren, die möglicherweise auftreten. Es bietet die gleiche Technologie, die Azure auf Ihrem Desktop unterstützt.
Nicht vertrauenswürdige Dokumente werden in einem isolierten Hyper-V-fähigen Container geöffnet, der vom Hostbetriebssystem getrennt ist. Diese Containerisolation bedeutet, dass der Host-PC geschützt ist und der Angreifer nicht auf Ihre Unternehmensdaten zugreifen kann, wenn ein Dokument böswillig ist. Beispielsweise macht dieser Ansatz den isolierten Container anonym, sodass ein Angreifer nicht auf die Unternehmensanmeldeinformationen Ihres Mitarbeiters zugreifen kann.
Produktivität
Zusätzlich zum Lesen von Dokumenten im sicheren Container können Sie jetzt Features wie Drucken, Kommentieren und Überprüfen, einfaches Bearbeiten und Speichern verwenden, während Sie ein nicht vertrauenswürdiges Dokument im Application Guard-Container beibehalten.
Wenn Sie auf Dokumente aus nicht vertrauenswürdigen Quellen stoßen, die nicht bösartig sind, können Sie weiterhin produktiv sein, ohne sich Gedanken darüber machen zu müssen, dass Ihr Gerät gefährdet wird.
Wenn Sie auf ein bösartiges Dokument stoßen, ist es in Application Guard sicher isoliert, sodass der Rest Ihres Systems sicher bleibt.
Application Guard steht Organisationen zur Verfügung, die über Microsoft 365 E5- oder Microsoft 365 E5 Mobility + Security-Lizenzen verfügen. Benutzer in diesen Organisationen müssen Microsoft 365 Apps für Unternehmen im aktuellen Kanal oder im monatlichen Enterprise-Kanal verwenden.
Weitere Informationen zum Einrichten von Application Guard für Office.
Wann wird eine Datei in Application Guard geöffnet?
Dateien, die derzeit in der geschützten Ansicht geöffnet sind, werden in Application Guard geöffnet, wenn Application Guard aktiviert ist. Dazu gehört Folgendes:
-
Dateien, die aus dem Internet stammen: Dies bezieht sich auf Dateien, die von Domänen heruntergeladen werden, die nicht Teil des lokalen Intranets oder einer Domäne mit vertrauenswürdigen Websites auf Ihrem Gerät sind, Dateien, die als E-Mail-Anlagen von Absendern außerhalb Ihrer Organisation empfangen wurden, Dateien, die von anderen Arten von Internetnachrichten- oder Freigabediensten empfangen wurden, oder Dateien, die von einem OneDrive oder SharePoint Speicherort außerhalb Ihrer Organisation geöffnet wurden.
-
Dateien an potenziell unsicheren Speicherorten: Diese Option gilt für Ordner auf dem Computer oder im Netzwerk, die als unsicher eingestuft werden, z. B. für den Ordner "Temporäre Internetdateien" oder andere Ordner, die von Ihrem Administrator zugeordnet werden.
Hinweis: Dateien, die von einem Netzwerkspeicherort geöffnet werden, einschließlich der OneDrive Ihrer Organisation, öffnen Read-Only in Application Guard. Sie können eine Kopie dieser Dateien speichern, um weiterhin mit ihnen zu arbeiten, oder wenn Sie der Quelle der Datei vertrauen, können Sie den Schutz wie unten beschrieben entfernen.
-
Dateien, die durch den Dateiblock blockiert werden: Der Dateiblock verhindert, dass veraltete Dateitypen geöffnet werden, und bewirkt, dass Ihre Datei in der geschützten Ansicht geöffnet wird, und deaktiviert die Features "Speichern" und "Öffnen". Weitere Informationen zum Dateiblock.
Gewusst wie den Schutz einer Datei entfernen oder wiederherstellen?
Achtung: Tun Sie dies nur, wenn Sie sehr sicher sind, dass die Datei und ihre Quelle vertrauenswürdig sind.
Wenn Sie Aktionen ausführen möchten, die von Application Guard nicht zulässig sind, können Sie den Application Guard-Schutz aus einer Datei entfernen. Nachdem Sie den Schutz entfernt haben, wird die Datei zu einem vertrauenswürdigen Dokument.
Zum Entfernen des Application Guard-Schutzes wechseln Sie zu "Datei > Informationen ", und wählen Sie " Schutz entfernen" aus.
Wenn dies nicht möglich ist, ist es wahrscheinlich, dass In Ihrer Organisation Richtlinien bereitgestellt wurden, die das Entfernen des Application Guard-Schutzes aus einer Datei verhindern.
So stellen Sie den Schutz wieder her
Wechseln Sie zu "Datei > Optionen "> Trust Center > Trust Center Einstellungen > vertrauenswürdige Dokumente, und wählen Sie "Alle vertrauenswürdigen Dokumente löschen" aus, damit sie nicht mehr vertrauenswürdig sind.
Beachten Sie, dass dadurch der Schutz ALLER Dokumente wiederhergestellt wird, aus denen Sie ihn auf diesem Gerät entfernt haben.
Wichtig: Diese Option ist nur außerhalb der Application Guard-Umgebung verfügbar. Öffnen Sie eine neue instance der Office-App, um diese Änderung vorzunehmen.
Gewusst wie meine Application Guard-Einstellungen ändern
Wichtig:
-
Diese Option ist nur außerhalb der Application Guard-Umgebung verfügbar. Öffnen Sie eine neue instance der Office-App, um diese Änderung vorzunehmen.
-
Wir empfehlen, mit Ihrem IT-Administrator zu sprechen, bevor Sie Änderungen an den Einstellungen von Application Guard vornehmen.
-
Wechseln Sie zu Datei > Optionen
-
Wählen Sie Trust Center > Trust Center Einstellungen > Application Guard aus.
-
Treffen Sie Ihre Auswahl, und wählen Sie dann OK aus, um Ihre Änderungen zu speichern und das Trust Center Einstellungen zu beenden.
Application Guard-Einstellungen
-
Aktivieren Sie Application Guard für Dateien, die aus dem Internet stammen - Das Internet gilt als unsicherer Speicherort, da es die häufigste Quelle für schädliche Dateien ist.
-
Geschützte Ansicht für Dateien an potenziell unsicheren Speicherorten aktivieren - Diese Option gilt für Ordner auf dem Computer oder im Netzwerk, die als unsicher eingestuft werden, z. B. für den Ordner "Temporäre Internetdateien" oder andere Ordner, die von Ihrem Administrator zugeordnet werden.
-
Aktivieren von Application Guard für Outlook-Anlagen - Anlagen in E-Mails sind eine weitere häufige Quelle bösartiger Dateien.
Excel verfügt über zwei zusätzliche Einstellungen:
-
Öffnen Sie in Application Guard immer nicht vertrauenswürdige Text-Based Dateien (.csv, .dif und .sylk) - Wenn diese Option aktiviert ist, werden textbasierte Dateien, die von einem nicht vertrauenswürdigen Speicherort geöffnet werden, immer in Application Guard geöffnet. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden textbasierte Dateien, die von einem nicht vertrauenswürdigen Speicherort geöffnet werden, normal geöffnet.
-
Öffnen Sie immer nicht vertrauenswürdige Datenbankdateien (DBF) in Application Guard - Wenn diese Option aktiviert ist, werden Datenbankdateien, die von einem nicht vertrauenswürdigen Speicherort aus geöffnet werden, immer in Application Guard geöffnet. Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, werden Datenbankdateien, die von einem nicht vertrauenswürdigen Speicherort aus geöffnet werden, normal geöffnet.
Alle diese Einstellungen können auch von einem Administrator über Gruppenrichtlinie oder den Office Cloudrichtliniendienst konfiguriert werden.
Was kann ich in Application Guard nicht tun?
Aus Sicherheitsgründen sind bestimmte Funktionen für Office Anwendungen während der Ausführung in Application Guard nicht verfügbar. Dazu gehört Folgendes:
-
Zugriff auf die Identität des Benutzers.
-
Zugriff auf beliebige Speicherorte in Ihrem Dateisystem.
-
Zugriff auf Netzwerkstandorte, die gemäß den Netzwerkisolationsrichtlinien als innerhalb der Unternehmenssicherheitsgrenze klassifiziert sind (z. B. Unternehmensintranet oder als "Enterprise" klassifizierte Domänen).
-
CSV, HTML und Dateien, die durch Information Rights Management (IRM) geschützt sind, können nicht in Application Guard geöffnet werden. Wenn Ihr Administrator die Richtlinieneinstellung für nicht unterstützte Dateitypen für Ihre Organisation konfiguriert, können Sie diese Dateien in der geschützten Ansicht öffnen. Weitere Informationen zum Konfigurieren von Application Guard für Office-Richtlinien.
-
Das Einfügen von RTF-Inhalten (Rich Text Format) oder Bildern in Office mit Application Guard geöffneten Dokumenten wird derzeit nicht unterstützt.
Features in Office, die möglicherweise von diesen Funktionen abhängig sind, sind nicht verfügbar. Einige Beispiele umfassen das Freigeben einer Datei, das Aufzeichnen eines Screenshots, das Einfügen eines Bilds von einem Speicherort im Dateisystem, das Hinzufügen einer Verbindung zu einer Datenquelle usw.
Was ist mit Add-Ins und Makros?
Zusätzlich zu den integrierten Funktionen, die deaktiviert sind, werden alle Funktionen, die die Funktionen von Office erweitern, einschließlich COM, VSTO, Web-Add-Ins und Makros, in Application Guard deaktiviert.
Kann ich Application Guard mit einer Sprachausgabe verwenden?
Auf Dateien, die in Application Guard geöffnet werden, kann über Barrierefreiheitstools zugegriffen werden, die das Microsoft Benutzeroberflächenautomatisierung (UIA)-Framework verwenden, z. B. Microsoft Sprachausgabe.
Siehe auch
Was ist die geschützte Ansicht?
Schützen Sie sich vor Phishing