[English]Microsoft hat Erweiterungen für den Windows Defender Application Guard für die Browser Google Chrome und Firefox freigegeben. Diese sollen Anwender in Unternehmensumgebungen unter Windows 10 vor unsicheren Webseiten schützen.
Anzeige
Ich habe die Info bereits zum Freitag bei Tero Alhonen und hier gesehen, konnte es aber nicht wirklich einordnen.
Windows Defender Application Guard Companion https://t.co/gaTYIAM8gg pic.twitter.com/h9QMZKwxup
— Tero Alhonen (@teroalhonen) 15. März 2019
Erst nach ein wenig Recherche wurde die Geschichte klarer – hier ein paar Informationen, was sich dahinter verbirgt.
Der Windows Defender Application Guard
Zur ersten Einordnung: Der Windows Defender Application Guard ist für Windows 10 und Microsoft Edge in Unternehmensumgebungen konzipiert. Unternehmensadministratoren können definieren, was zu den vertrauenswürdigen Websites, Cloud-Ressourcen und internen Netzwerken gehört. Alles, was nicht in der Liste enthalten ist, wird als nicht vertrauenswürdig eingestuft. Der Application Guard hilft Administratoren in Unternehmen beim Isolieren von als nicht vertrauenswürdig definierten Websites. Dies stellt sicher, dass das Unternehmen geschützt ist, wenn Mitarbeiter im Internet auf nicht vertrauenswürdigen Webseiten surfen.
Anzeige
Ruft ein Mitarbeiter über Microsoft Edge oder Internet Explorer eine nicht vertrauenswürdige Website auf, wird die Website durch Microsoft Edge in einem isolierten Hyper-V-fähigen Container, der vom Hostbetriebssystem getrennt ist, geöffnet. Der Host-PC ist aufgrund der Containerisolierung geschützt, wenn sich die nicht vertrauenswürdige Website als schadhaft herausstellt. Ein Angreifer kann nicht an die Unternehmensdaten gelangen. Beispielsweise wird der isolierte Container durch diesen Ansatz anonym. Demzufolge kann der Angreifer nicht auf die Unternehmensanmeldeinformationen eines Mitarbeiters zugreifen. Details zu dieser Thematik lassen sich z.B. auf dieser Microsoft Webseite nachlesen.
Extensions auch für Chrome und Firefox
Mit den entsprechenden Erweiterungen (Extensions) steht diese Schutzfunktion auch in den Browsern Google Chrome und Firefox in Unternehmensumgebungen bereit. Die Ankündigung erfolgte im Windows Blog bei der Vorstellung der Windows 10 Insider Preview Build 18358. Microsoft schreibt dazu:
Um unsere Containertechnologie auf andere Browser auszudehnen und unseren Kunden eine umfassende Lösung zur Isolierung potenzieller browserbasierter Angriffe zu bieten, haben wir Windows Defender Application Guard-Erweiterungen für Google Chrome und Mozilla Firefox konzipiert und entwickelt.
So funktioniert das Ganze
Die Erweiterungen für Google Chrome und Mozilla Firefox leiten den Nutzer bei der Eingabe oder Anwahl einer nicht vertrauenswürdige Webseite automatisch an Windows Defender Application Guard for Microsoft Edge weiter. Die Erweiterung basiert auf einer nativen Anwendung, die Microsoft entwickelt hat, um die Kommunikation zwischen dem Browser und den Einstellungen des Application Guard, des Geräts, auf dem der Browser läuft, zu unterstützen.
Navigieren Benutzer zu einer Website, überprüft die Erweiterung die URL anhand einer Liste vertrauenswürdiger Websites, die von Unternehmensadministratoren definiert wurden. Wird festgestellt, dass die Website nicht vertrauenswürdig ist, wird der Benutzer zu einer isolierten Microsoft Edge-Sitzung weitergeleitet. Das heißt, die Sitzung läuft in einem Edge-Container (unter Windows 10). In der isolierten Microsoft Edge-Sitzung kann der Benutzer frei zu jeder Website navigieren, die nicht explizit als von seinem Unternehmen als vertrauenswürdig definiert wurde, ohne Risiko für den Rest des Systems. Mit der von Microsoft geplanten, dynamischen Umschaltfunktion wird der Benutzer, wenn er versucht, während einer isolierten Microsoft Edge-Sitzung zu einer vertrauenswürdigen Website zu gelangen, zum Standardbrowser zurückgebracht.
Absicherung von Unternehmensumgebungen
Die Funktion steht nur in Unternehmensumgebungen zur Verfügung, wo der Administrator den Application Guard eingerichtet hat. Wenn Benutzer nach der Bereitstellung und Konfiguration der Erweiterung Google Chrome oder Mozilla Firefox öffnen, sehen sie eine Zielseite von Windows Defender Application Guard.
Wenn es Probleme mit der Konfiguration gibt, erhalten die Benutzer Anweisungen zur Behebung von Konfigurationsfehlern.
Benutzer können eine Application Guard-Sitzung initiieren, ohne eine URL einzugeben oder auf einen Link zu klicken, indem sie auf das Erweiterungssymbol in der Menüleiste des Browsers klicken.
Verfügbarkeit der Application Guard-Erweiterungen
Die Windows Defender Application Guard Erweiterung für Google Chrome und Mozilla Firefox wurde am 15. März 2019 für Windows Insider eingeführt. Microsoft plant, diese Erweiterung in Kürze allgemein verfügbar zu machen. Die Funktion soll für Benutzer von Windows 10 Enterprise und Pro ab der Version 1803 oder höher verfügbar werden.
Die obigen Links funktionieren teilweise nur unter Windows 10 (z.B. Store-Zugriff). Und die Erweiterungen sind z.Z. nur funktional in der aktuellen Windows 10 Insider Preview, wenn der Application Guard eingerichtet ist. Details zum Einrichten finden sich im Windows Blog im Artikel zur Vorstellung der Windows 10 Insider Preview Build 18358.
Anzeige
Microsoft sollte erst mal seine bestehenden System fehlerfrei bekommen!!
Das Update der Definition vom 19.03 bringt die Endpoint Protection zum Crash.
Betroffen sind alle unsere W7 Clients und auch Windows 2012 R2 Server.
Bei 2016 Servern oder 2019 ist mir das Problem noch nicht aufgefallen.
Faulting application name: MsMpEng.exe, version: 4.10.209.0, time stamp: 0x582a94a1
Faulting module name: mpengine.dll, version: 1.1.15700.9, time stamp: 0x5c6dce74
Exception code: 0xc0000005
Fault offset: 0x0000000000391480
Faulting process id: 0x2a8
Faulting application start time: 0x01d4da52404fb28f
Faulting application path: C:\Program Files\Microsoft Security Client\MsMpEng.exe
Faulting module path: C:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{751DBFEF-5EA2-4E60-B37D-69873ECE5C4E}\mpengine.dll
Report Id: 6cbb73c2-4a1e-11e9-8109-005056872cbf
Faulting package full name:
Faulting package-relative application ID:
ich habe Günter per E-Mail was geschickt.
Irgendwie spinnt der MSE seit heute Morgen (ca. ab 4 Uhr). Der MSE schaltet automatisch den Echtzeitschutz ab und sagt, dass seine Virendefininition alt sei. Bei meinem Arbeits-PC ist das zum Glück noch nicht.
Im MS-Community Forum hat das auch schon Jemand eingestellt.
Ich dachte heute Morgen schon, dass es nur bei mir ist. Schön, dass ich mein Leid teilen kann.
Ich kann z.Z. nur eingeschränkt reagieren. Bin seit gestern wieder in Sachen Familie unterwegs und hatte zu allem Überfluss noch eine Autopanne. Musste wegen eines Platten per Abschleppdienst in der Pampa abgeholt und mit den Fahrzeug in eine Vertragswerkstatt. Hab jetzt einen Leihwagen und wenn es schlecht läuft, wird das Fahrzeug erst morgen fertig.
Oh, das geht natürlich vor Günter. Gutes Gelingen!
Vielleicht ist das schon behoben durch eine neue AV-Definition.
Bei meinem Arbeits-PC ist das noch nicht aufgetreten und bei den anderen habe ich Defender Offline auf CD installiert und der läuft gerade komplett durch.
Bei Deskmodder.de wird berichtet, dass es Win 7, 8 und 8.1 betrifft, nicht Win 10.
Deskmodder.de schreibt korrekt, dass man nicht basteln soll! Also nicht deinstallieren und wieder installieren. Auch dort wird verwiesen, dass man eine neue Virendefinition abwarten sollte.
Ich glaube es liegt an der Definition Version 1.289.1521.0.
Diese wurde von MS gestern veröffentlicht. Damit haben die Abstürze bei den W7 W2k12 begonnen. Es gibt auch momentan keine neueren Definitionen.
https://www.microsoft.com/en-us/wdsi/definitions/antimalware-definition-release-notes
W10 oder auch Server 2016/2019 sind nicht betroffen.
Unser Helpdesk hat gut zu tun. Bei MS arbeiten nur noch Profis!
Siehe auch hier (englischsprachig): https://www.askwoody.com/2019/windows-defender-security-definition-problems/
Und hier (auch englischsprachig): https://social.technet.microsoft.com/Forums/en-US/18ab60a3-3b26-4a07-b68d-84085ce66ce5/scep-crashing-pcs
Mit der Version ja und nein. Ich denke, wenn der über Nacht updated, so ist es so (empirische Vermutung). Mein Arbeits-PC (Start gegen 8 Uhr) hat diese Definition auch seit ca. 8:50 Uhr und da ist alles O.K.
@al Qamar (Karl) schreibt auch auf Twitter dann später, dass es auch bei PCs mit dieser Definition nicht auftritt. Da es von MS immer noch keine neue Definition gibt, so scheinen die gerade zu wirbeln.
So, jetzt konnte ich die Fehlerquelle eingrenzen. Es liegt wohl am scannen!
Der erste PC scannt immer gegen 4 Uhr, vorher holt er sich Updates. Danach ist es aufgetreten. Mein Arbeits-PC soll immer gegen 16 Uhr beginnen. Er hat heute gegen 15:35 Uhr begonnen. Und jetzt taucht der Fehler auch auf!
Ergo – Es hängt mit dem Scannen zusammen.
Na ja, ich habe ja noch Malwarebytes Premium
WSUS Server: 19.03 16:40
Definitionen 1.289.1521.0 zurückgezogen
Danke, dann warten wir mal ab und schalten das terminierte scannen aus. Ich lösche jetzt jedenfalls nicht diese Definition. Das wäre kontraproduktiv.
MS wird wohl was Neues dann bringen, ggf. auch eine komplette neue Antimalware-Version.
Es gibt jetzt eine neue Virendefinition mit 1.289.1587.0.
Das sollte die Lösung sein. @moinmoin hat das auf deskmodder.de schon angekündigt und jetzt ist es da. Damit dürfte es abgegessen sein.
Danke für die Diskussion hier – der Fehler sollte behoben sein. Ich habe es im Blog-Beitrag SCEP/MSE/Defender: Weltweiter Ausfall von Microsofts Virenschutz durch Signatur 1.289.1521.0 (19.3.2019) nochmals aufbereitet.
Wie oben beschrieben, war ich wegen dringender Familienangelegenheiten unterwegs und Montag/Dienstag geerdet (Haus nach Sterbefall ausräumen, Arztermine mit Angehörigen wahrnehmen etc.). Zu allem Überfluss traf mich Montag auf der Fahrt zur Familie eine Reifenpanne. Wäre früher kein Problem gewesen: Reserverad aufgezogen, weiter gefahren und alles ein paar Tage später in der Werkstatt reparieren lassen.
Da es bei neuen Autos kein Reserverad mehr gibt, hat mich ein platter Reifen heftig ausgeknockt. Es passierte direkt an einer Autobahnabfahrt – plötzlich gab es ein merkwürdiges Fahrtgeräusch und dann zeigte das Amaturenbrett eine Störung.
Hab die Ausfahrt von der Autobahn genommen, und wollte den Reifen auf einer Verkehrsinsel mit dem Reparaturset und dem Kompressor reparieren. Funktionierte nicht – Kompressor nach 3 Sekunden tot. Also abschleppen in die nächste Werkstatt (laut den ADAC-Leuten funktioniert der Reparaturset nie, kostet die Leute aber 80 Euro Felgenreinigung).
Da ich Allwetterreifen habe (um mir die Reifenwechsel mit Anlernen der Sensoren zu sparen), gab es keine Schnellreparatur. Also von der Werkstatt, irgendwo in der Pampa, einen Leihwagen bekommen. Am Dienstag habe ich erfahren, dass der Reifen nicht mehr hergestellt wird. Also bekommt das Auto zwei neue Reifen – und ich darf am heutigen Mittwoch (3. Tag), den hoffentlich reparierten Wagen in 120 km Entfernung abholen. Der simple Plattfuß dürfte mich jetzt so ca. 400 – 500 Euro kosten – Fortschritt durch Technik halt – freuen wir uns auf E-Autos, da ist der 'Liegen-bleiben-Faktor' nach Aussage der ADAC-Leute noch höher.
Aber wahrscheinlich habe ich momentan ein Abo auf Pechsträhne, da mich die Familienangelegenheiten die letzten 2 Jahre in schöner Regelmäßigkeit geerdet haben.
Möge die positive Grundhaltung bei all den Rückschlägen erhalten bleiben.