Essential Eight-Anwendungssteuerung
In diesem Artikel werden Die Methoden zum Erreichen des Australian Cyber Security Center (ACSC) Essential Eight Maturity Model for Application Control mit Microsoft App Locker und Windows Defender Application Control beschrieben.
Die Anwendungssteuerung ist ein Sicherheitsansatz, der vor schadhaftem Code, der auf Systemen ausgeführt wird, schützt. Wenn dieser Sicherheitsansatz implementiert wird, wird sichergestellt, dass nur genehmigter Code wie ausführbare Dateien, Softwarebibliotheken, Skripts, Installationsprogramme und Treiber zur Ausführung autorisiert ist. Aufgrund ihrer Effektivität ist die Anwendungssteuerung eine der wichtigsten Acht der ACSC-Strategien zur Entschärfung von Cybersicherheitsvorfällen.
Die Anwendungssteuerung ist ein Sicherheitsansatz, der vor schadhaftem Code, der auf Systemen ausgeführt wird, schützt. Wenn dieser Sicherheitsansatz implementiert wird, wird sichergestellt, dass nur genehmigter Code wie ausführbare Dateien, Softwarebibliotheken, Skripts, Installationsprogramme und Treiber zur Ausführung autorisiert ist.
Die Anwendungssteuerung ist zwar in erster Linie darauf ausgelegt, die Ausführung und Verbreitung von schadhaftem Code auf einem System zu verhindern, kann aber auch die Installation und Verwendung nicht genehmigter Anwendungen verhindern.
- Reifegrad 1 (ML1): kann mithilfe von Microsoft AppLocker erreicht werden
- Reifegrade 2 und 3 (ML2 & ML3): kann mithilfe der Microsoft Windows Defender-Anwendungssteuerung erreicht werden
Die Implementierung der Anwendungssteuerung umfasst die folgenden allgemeinen Schritte für eine organization:
- Identifizieren genehmigter Anwendungen
- Entwickeln von Anwendungskontrollesregeln, um sicherzustellen, dass nur genehmigte Anwendungen ausgeführt werden können
- Verwalten der Anwendungskontrollesregeln mithilfe eines Änderungsverwaltungsprozesses
- Häufiges Überprüfen von Anwendungskontrollesregeln
Bei der Entscheidung, wie die Anwendungsautorisierung in Ihrem organization erzwungen werden soll, hält das Australia Cyber Security Center die folgenden Methoden für geeignet, wenn sie richtig implementiert werden:
- Kryptografische Hashregeln
- Zertifizierungsregeln für Herausgeber
- Pfadregeln (wenn Dateisystemberechtigungen konfiguriert sind, um die nicht autorisierte Änderung von Ordner- und Dateiberechtigungen, Ordnerinhalten und einzelnen Dateien zu verhindern)
Die Anwendungssteuerung kann die nicht autorisierte Ausführung nicht genehmigter Anwendungen verhindern. Die Anwendungssteuerung kann auch zur Identifizierung von Versuchen eines Bedrohungsakteurs beitragen, schädlichen Code auf einem System auszuführen. Das Konfigurieren von WDAC zum Generieren von Ereignisprotokollen für autorisierte und nicht autorisierte Ausführungen kann wertvolle Informationen für das Security Operations Center eines organization bereitstellen.
Es ist wichtig zu beachten, dass eine Anwendungssteuerungslösung antiviren- und andere Sicherheitssoftwarelösungen, die bereits vorhanden sind, nicht ersetzt. WDAC arbeitet immer mit Antivirenlösungen wie Defender Antivirus zusammen. Die gemeinsame Verwendung von Microsoft-Sicherheitslösungen trägt zu einem effektiven Verteidigungsansatz bei, um die Kompromittierung von Systemen zu verhindern.
Das Australia Cyber Security Center verfügt über drei Reifegrade für seine Risikominderungsstrategien, die die wesentlichen Acht bilden. Die Reifegrade basieren auf der Minimierung der zunehmenden Anzahl von Handwerksbetrieben, die von einem Bedrohungsakteur verwendet werden. Im Rahmen der Anwendungssteuerung bestimmt das Australia Cyber Security Center, was erforderlich ist, um ML 1, 2 und 3 zu erfüllen.
ISM Sep 2024-Steuerung | Reifegrad | Abhilfe |
---|---|---|
ISM-0109 | 3 | Ereignisprotokolle von Arbeitsstationen werden rechtzeitig analysiert, um Cybersicherheitsereignisse zu erkennen. |
ISM-0140 | 2, 3 | Cybersicherheitsvorfälle werden der ASD so bald wie möglich gemeldet, nachdem sie auftreten oder entdeckt wurden. |
ISM-0123 | 2, 3 | Cybersicherheitsvorfälle werden dem Chief Information Security Officer oder einem seiner Stellvertretungen so bald wie möglich gemeldet, nachdem sie auftreten oder entdeckt wurden. |
ISM-0843 | 1, 2, 3 | Die Anwendungssteuerung wird auf Arbeitsstationen implementiert. |
ISM-1490 | 2, 3 | Die Anwendungssteuerung wird auf Servern mit Internetzugriff implementiert. |
ISM-1656 | 3 | Die Anwendungssteuerung wird auf Servern ohne Internetzugriff implementiert. |
ISM-1544 | 2, 3 | Die empfohlene Anwendungsblockliste von Microsoft ist implementiert. |
ISM-1657 | 1, 2, 3 | Die Anwendungssteuerung schränkt die Ausführung von ausführbaren Dateien, Softwarebibliotheken, Skripts, Installationsprogrammen, kompilierten HTML-Anwendungen, HTML-Anwendungen und Systemsteuerungs-Applets auf einen organization genehmigten Satz ein. |
ISM-1658 | 3 | Die Anwendungssteuerung schränkt die Ausführung von Treibern auf einen organization genehmigten Satz ein. |
ISM-1582 | 2, 3 | Regelsätze für die Anwendungssteuerung werden jährlich oder häufiger überprüft. |
ISM-1659 | 3 | Die Sperrliste für anfällige Treiber von Microsoft ist implementiert. |
ISM-1660 | 2, 3 | Zulässige und blockierte Anwendungssteuerungsereignisse werden zentral protokolliert. |
ISM-1815 | 2, 3 | Ereignisprotokolle sind vor nicht autorisierten Änderungen und Löschungen geschützt. |
ISM-1819 | 2, 3 | Nach der Identifizierung eines Cybersicherheitsvorfalls wird der Plan zur Reaktion auf Cyber-Sicherheitsvorfälle in Kraft gesetzt. |
ISM-1870 | 1, 2, 3 | Die Anwendungssteuerung wird auf Benutzerprofile und temporäre Ordner angewendet, die von Betriebssystemen, Webbrowsern und E-Mail-Clients verwendet werden. |
ISM-1871 | 2, 3 | Die Anwendungssteuerung wird auf alle Speicherorte mit Ausnahme von Benutzerprofilen und temporären Ordnern angewendet, die von Betriebssystemen, Webbrowsern und E-Mail-Clients verwendet werden. |
ISM-1228 | 2, 3 | Cybersicherheitsereignisse werden rechtzeitig analysiert, um Cybersicherheitsvorfälle zu identifizieren. |
ISM-1906 | 2, 3 | Ereignisprotokolle von Servern mit Internetzugriff werden rechtzeitig analysiert, um Cybersicherheitsereignisse zu erkennen. |
ISM-1907 | 3 | Ereignisprotokolle von Servern ohne Internetzugriff werden rechtzeitig analysiert, um Cybersicherheitsereignisse zu erkennen. |
ISM Sep 2024-Steuerung | Reifegrad | Control | Measure |
---|---|---|---|
ISM-0109 | 3 | Ereignisprotokolle von Arbeitsstationen werden rechtzeitig analysiert, um Cybersicherheitsereignisse zu erkennen. | Verwenden Sie Defender für Endpunkt P2. Windows-Ereignisprotokolle werden in Microsoft Sentinel erfasst und Microsoft Defender XDR mithilfe von Windows-Sicherheit-Ereignissen über AMA- oder Windows-Lösungen für weitergeleitete Ereignisse. |
ISM-0140 | 2, 3 | Cybersicherheitsvorfälle werden der ASD so bald wie möglich gemeldet, nachdem sie auftreten oder entdeckt wurden. | Nicht im Geltungsbereich dieses Dokuments. Siehe Hinweis nach dieser Tabelle. 3 |
ISM-0123 | 2, 3 | Cybersicherheitsvorfälle werden dem Chief Information Security Officer oder einem seiner Stellvertretungen so bald wie möglich gemeldet, nachdem sie auftreten oder entdeckt wurden. | Nicht im Geltungsbereich dieses Dokuments. Siehe Hinweis nach dieser Tabelle. 3 |
ISM-0843 | 1, 2, 3 | Die Anwendungssteuerung wird auf Arbeitsstationen implementiert. | Konfigurieren und verwenden Sie Die Windows Defender-Anwendungssteuerung/AppLocker abhängig von den Anforderungen der organization. |
ISM-1490 | 2, 3 | Die Anwendungssteuerung wird auf Servern mit Internetzugriff implementiert. | Konfigurieren und Verwenden der Windows Defender-Anwendungssteuerung |
ISM-1656 | 3 | Die Anwendungssteuerung wird auf Servern ohne Internetzugriff implementiert. | Konfigurieren und Verwenden der Windows Defender-Anwendungssteuerung |
ISM-1544 | 2, 3 | Die empfohlene Anwendungsblockliste von Microsoft ist implementiert. | Die "empfohlenen Blockregeln" von Microsoft sind implementiert. |
ISM-1657 | 1, 2, 3 | Die Anwendungssteuerung schränkt die Ausführung von ausführbaren Dateien, Softwarebibliotheken, Skripts, Installationsprogrammen, kompilierten HTML-Anwendungen, HTML-Anwendungen und Systemsteuerungs-Applets auf einen organization genehmigten Satz ein. | Microsoft empfiehlt eine definierte Liste von Dateiherausgeberregeln oder Dateihashes, die innerhalb einer Anwendungssteuerungsrichtlinie erstellt werden. 1 |
ISM-1658 | 3 | Die Anwendungssteuerung schränkt die Ausführung von Treibern auf einen organization genehmigten Satz ein. | Durch Hypervisor geschützte Codeintegrität ist aktiviert und für Windows 11 2022 und höher standardmäßig. |
ISM-1582 | 2, 3 | Regelsätze für die Anwendungssteuerung werden jährlich oder häufiger überprüft. | Nicht im Geltungsbereich dieses Dokuments. Siehe Hinweis unter dieser Tabelle. 3 |
ISM-1659 | 3 | Die Sperrliste für anfällige Treiber von Microsoft ist implementiert. | Die "empfohlenen Treiberblockregeln" von Microsoft sind implementiert. |
ISM-1660 | 2, 3 | Zulässige und blockierte Anwendungssteuerungsereignisse werden zentral protokolliert. | Verwenden Sie Defender für Endpunkt P2. Windows-Ereignisprotokolle werden in Microsoft Sentinel erfasst und Microsoft Defender XDR mithilfe von "Windows-Sicherheit Events" über AMA oder "Windows Forwarded Events"-Lösungen. |
ISM-1815 | 2, 3 | Ereignisprotokolle sind vor nicht autorisierten Änderungen und Löschungen geschützt. | Role-Based Access Control für Microsoft Defender XDR und Microsoft Sentinel wird erzwungen. |
ISM-1819 | 2, 3 | Nach der Identifizierung eines Cybersicherheitsvorfalls wird der Plan zur Reaktion auf Cyber-Sicherheitsvorfälle in Kraft gesetzt. | Nicht im Geltungsbereich dieses Dokuments. Siehe Hinweis unter dieser Tabelle. 3 |
ISM-1870 | 1, 2, 3 | Die Anwendungssteuerung wird auf Benutzerprofile und temporäre Ordner angewendet, die von Betriebssystemen, Webbrowsern und E-Mail-Clients verwendet werden. | Microsoft empfiehlt eine definierte Liste von Dateiherausgeberregeln oder Dateihashes, die innerhalb einer Anwendungssteuerungsrichtlinie erstellt werden. Reifegrad 1 kann mit Microsoft AppLocker erreicht werden. Reifegrad 2 und 3 erfordert Die Windows Defender-Anwendungssteuerung. 2 |
ISM-1871 | 2, 3 | Die Anwendungssteuerung wird auf alle Speicherorte mit Ausnahme von Benutzerprofilen und temporären Ordnern angewendet, die von Betriebssystemen, Webbrowsern und E-Mail-Clients verwendet werden. | Implementierung und Konfiguration der Windows Defender-Anwendungssteuerung |
ISM-1228 | 2, 3 | Cybersicherheitsereignisse werden rechtzeitig analysiert, um Cybersicherheitsvorfälle zu identifizieren. | Nicht im Geltungsbereich dieses Dokuments. Siehe Hinweis nach dieser Tabelle. 3 |
ISM-1906 | 2, 3 | Ereignisprotokolle von Servern mit Internetzugriff werden rechtzeitig analysiert, um Cybersicherheitsereignisse zu erkennen. | Verwenden Sie Defender für Endpunkt P2. Windows-Ereignisprotokolle werden in Microsoft Sentinel erfasst und Microsoft Defender XDR mithilfe von Windows-Sicherheit-Ereignissen über AMA- oder Windows-Lösungen für weitergeleitete Ereignisse. |
ISM-1907 | 3 | Ereignisprotokolle von Servern ohne Internetzugriff werden rechtzeitig analysiert, um Cybersicherheitsereignisse zu erkennen. | Verwenden Sie Defender für Endpunkt P2. Windows-Ereignisprotokolle werden in Microsoft Sentinel erfasst und Microsoft Defender XDR mithilfe von Windows-Sicherheit-Ereignissen über AMA- oder Windows-Lösungen für weitergeleitete Ereignisse. |
Wichtig
1 Um ISM-1657 zu erfüllen, empfiehlt Microsoft eine definierte Liste von Dateiherausgeberregeln oder Dateihashes, die innerhalb einer Anwendungssteuerungsrichtlinie erstellt wurden. Wenn Dateipfadregeln zu sehr genutzt werden, muss eine organization sicherstellen, dass der Benutzer an der unbefugten Änderung von Ordner- und Dateiberechtigungen, Ordnerinhalten und einzelnen Dateien gehindert wird. Beispielsweise sollte der Benutzer keinen Schreibzugriff innerhalb von NTFS auf den Speicherort der Dateipfadregel haben.
2 Um ISM-1870 zu erfüllen, empfiehlt Microsoft eine definierte Liste von Dateiherausgeberregeln oder Dateihashes, die innerhalb einer Anwendungssteuerungsrichtlinie erstellt wurden. Reifegrad 1 kann mit Microsoft AppLocker erreicht werden. Die Reifegrade 2 und 3 erfordern die Windows Defender-Anwendungssteuerung aufgrund der zusätzlichen ISM-Anforderungen. Dateipfadregeln werden für ISM-1870 nicht empfohlen, da der Benutzer über dateisystemberechtigungen innerhalb des Profils und temporärer Ordner des Benutzers verfügt.
3 Steuerelemente ISM-0140, 0123, 1582, 1819 und 1228 sind explizit primäre Personen und Prozesskontrollen. Microsoft empfiehlt, Personen und Prozesse als Artefakte im Purview Compliance Manager als Teil automatisierter Technologienachweise für Complianceüberprüfungen von Essential 8 zu dokumentieren und zu speichern.
Microsoft empfiehlt Kunden die Implementierung der Windows Defender-Anwendungssteuerung (WDAC) anstelle von AppLocker. Die Windows Defender-Anwendungssteuerung wird kontinuierlich verbessert. Während AppLocker weiterhin Sicherheitskorrekturen erhält, erhält es keine Featureverbesserungen.
AppLocker kann jedoch auch als Ergänzung zur Windows Defender-Anwendungssteuerung für Szenarien wie freigegebene Geräte bereitgestellt werden, bei denen es wichtig ist, zu verhindern, dass einige Benutzer eine bestimmte Anwendung ausführen. Microsoft empfiehlt, dass Ihre organization Die Windows Defender-Anwendungssteuerung als die restriktivste Stufe erzwingen sollte, die für Ihre organization möglich ist, und appLocker verwenden, um die Einschränkungen des Benutzermodus bei Bedarf weiter zu optimieren.
Tipp
Obwohl WDAC bevorzugt wird, kann es für die meisten Organisationen einfacher und einfacher sein, ML1 nur mit AppLocker als Ausgangspunkt zu erreichen, beide Lösungen sind jedoch kostenlos.
AppLocker wurde mit Windows 7 eingeführt und ermöglicht es organization zu steuern, welche Benutzermodusprozesse (Anwendungen) auf ihren Windows-Betriebssystemen ausgeführt werden dürfen. AppLocker-Richtlinien können auf alle Benutzer in einem System oder auf einzelne Benutzer und Gruppen mit Regeln angewendet werden, die auf folgenden Grundlage definiert werden können:
- Kryptografische Hashregeln
- Zertifizierungsregeln für Herausgeber
- Pfadregeln
AppLocker-Richtlinien können unter allen unterstützten Versionen und Ergänzungen des Windows-Betriebssystems erstellt und mithilfe von Gruppenrichtlinie, PowerShell oder einer Mobile Geräteverwaltung-Lösung bereitgestellt werden.
Windows Defender Application Control (WDAC) wurde mit Windows 10 eingeführt. Es ermöglicht Organisationen zu steuern, welche Benutzermodus- (Anwendungen) und Kernelmodusprozesse (Treiber) auf ihren Windows-Betriebssystemen ausgeführt werden dürfen. WDAC-Richtlinien werden auf das verwaltete System als Ganzes angewendet und wirken sich auf alle Benutzer des Geräts mit Regeln aus, die basierend auf Folgenden definiert werden können:
- Kryptografische Hashregeln
- Zertifizierungsregeln für Herausgeber
- Pfadregeln
- Der Ruf der Anwendung wird durch den Intelligent Security Graph von Microsoft bestimmt
- Identität des Prozesses, der die Installation der Anwendung durch das verwaltete Installationsprogramm initiiert hat
WDAC-Richtlinien können auf jeder unterstützten Clientedition von Windows 10, Windows 11 oder auf Windows Server 2016 und höher erstellt werden. WDAC-Richtlinien können mit Gruppenrichtlinie, einer Mobile Geräteverwaltung-Lösung, Configuration Manager oder PowerShell bereitgestellt werden.
Aufgrund von Windows-as-a-Service von Microsoft, um die Entwicklung und Bereitstellung neuer Features für unsere Kunden zu ermöglichen, sind einige Funktionen von WDAC nur für bestimmte Windows-Versionen verfügbar.
Ausführliche Informationen zur Windows Defender-Anwendungssteuerung und zu AppLocker finden Sie unter Windows Defender-Anwendungssteuerung und Verfügbarkeit von AppLocker-Features.
Wenn der Administrator eine AppLocker-Richtlinie für die benutzerbasierte Anwendungssteuerung bereitstellt, können die folgenden Regeln als Beispielpfadbasierte Implementierung verwendet werden. Dies umfasst die Regeln, die Erzwingung von Regeln und das automatische Starten des Anwendungsidentitätsdiensts.
Es wird vorgeschlagen, die folgenden Pfade (mindestens) zu blockieren:
- C:\Windows\Temp\*.*
- %USERPROFILE%\AppData\Local\*.*
- Hinzufügen einer Ausnahme für %USERPROFILE%\AppData\Local\Microsoft\WindowsApps
- %USERPROFILE%\AppData\Roaming\*.*
Informationen zu AppLocker unter ML1 finden Sie in den folgenden Artikeln:
Microsoft AppLocker-Richtlinien können mit verschiedenen Methoden erstellt werden. Microsoft empfiehlt die Verwendung des Microsoft Open Source-Projekts AaronLocker, um die Erstellung von AppLocker-Richtlinien zu unterstützen. AaronLocker ermöglicht die Erstellung und Wartung robuster, strenger Anwendungssteuerungen für AppLocker so einfach und praktisch wie die Verwendung von PowerShell-Skripts. AaronLocker wurde entwickelt, um die Ausführung von Programmen und Skripts durch nicht administrative Benutzer einzuschränken.
Ausführliche Informationen zu Aaronlocker finden Sie unter AaronLocker: Robuste und praktische Anwendungssteuerung für Windows.
Microsoft AppLocker kann mit Microsoft Intune, Gruppenrichtlinie oder PowerShell bereitgestellt werden. Die Bereitstellungsmethode ist von der aktuellen Verwaltungslösung des organization abhängig.
Ausführliche Informationen zum Bereitstellen des App-Schließfachs finden Sie in den folgenden Artikeln:
Microsoft AppLocker-bezogene Ereignisse werden von einer Sicherheitsinformations- und Ereignisverwaltungslösung wie der Sentinel von Microsoft überwacht. Ereignisse werden auch mithilfe der erweiterten Huntinginformationen von Microsoft Defender for Endpoint überwacht.
Microsoft Defender for Endpoint: AppLocker-Referenz
Microsoft Defender for Endpoint erfasst die folgenden Ereignisse in Bezug auf Microsoft AppLocker.
ActionType-Name | Ereignisquellen-ID |
---|---|
AppControlExecutableAudited | 8003 |
AppControlExecutableBlocked | 8004 |
AppControlPackagedAppAudited | 8021 |
AppControlPackagedAppBlocked | 8022 |
AppControlPackagedAppBlocked | 8006 |
AppControlScriptBlocked | 8007 |
AppControlCIScriptAudited | 8001 |
Ausführliche Informationen zu Ereignisanzeige und der erweiterten Suche finden Sie in den folgenden Artikeln:
- Verwenden von Ereignisanzeige mit AppLocker
- Zentrales Abfragen von Anwendungssteuerungsereignissen mithilfe der erweiterten Suche
Microsoft gliedert den Entwurfsprozess, die Lebenszyklusverwaltung, die Bereitstellung und den Betriebsleitfaden, um die Essential Eight-Anwendungssteuerung ML2 und ML3 mithilfe von WDAC zu erfüllen.
Kunden mit der Anforderung für Essential Eight Application Control ML1 können mithilfe von Microsoft AppLocker erfüllt werden.
Die Voraussetzungen für die Verwendung dieser Anleitung sind erforderlich:
- Windows 11 22H2 Enterprise
- Verwenden von Intune für die Verwaltungslösung
- Defender für Endpunkt, für Endpunktsicherheitslösung
- Microsoft Sentinel für die Verwaltung von Sicherheitsinformationen und Ereignissen; und
- Geeignete Berechtigungen von Administratoren für die in diesem Dokument verwendeten Lösungen
WDAC unter Windows Server-Betriebssystemen in nicht im Bereich dieses Handbuchs. Anleitungen für Windows Server sind in einer zukünftigen Version zu erhalten.
Der M365-bezogene Dienst kann sich in Microsoft 365 befinden und Office 365 Dienstbeschreibungen enthalten, um die erforderlichen Dienste, Wertversprechen und Lizenzanforderungen zu verstehen:
Microsoft 365- und Office 365-Dienstbeschreibungen
Informationen zu Produkten, die WDAC zugeordnet sind, finden Sie in den folgenden Artikeln:
Wenn ein organization mit der Planung für WDAC beginnt, bestimmen die Entwurfsentscheidungen, wie sich dies auf die Richtlinienbereitstellung und die Wartung von Anwendungssteuerungsrichtlinien auswirkt.
WDAC sollte als Teil der Anwendungssteuerungsrichtlinien Ihrer organization verwendet werden, wenn Folgendes zutrifft:
- Sie haben die unterstützten Versionen von Windows in Ihrem organization bereitgestellt oder planen die Bereitstellung.
- Sie benötigen eine verbesserte Kontrolle über den Zugriff auf die Anwendungen Ihrer organization und die Daten, auf die Ihr Benutzer zugreifen kann.
- Ihr organization verfügt über einen klar definierten Prozess für die Anwendungsverwaltung und -bereitstellung.
- Sie verfügen über Ressourcen, um Richtlinien anhand der Anforderungen der organization zu testen.
- Sie verfügen über Ressourcen, um Helpdesk einzubinden oder einen Selbsthilfeprozess für Probleme mit dem Zugriff auf Endbenutzeranwendungen zu erstellen.
- Die Anforderungen der Gruppe an Produktivität, Verwaltbarkeit und Sicherheit können durch restriktive Richtlinien gesteuert werden.
WDAC umfasst ein Konzept des "Vertrauenskreises". Jede organization hat eine andere Definition von "Vertrauenskreis", die für ihre geschäftsspezifischen Anforderungen eindeutig ist. Die definition von ACSC Essential 8 ist ISM control 1657 – "Die Anwendungssteuerung schränkt die Ausführung von ausführbaren Dateien, Softwarebibliotheken, Skripts, Installationsprogrammen, kompilierten HTML-Anwendungen, HTML-Anwendungen und Systemsteuerungs-Applets auf einen organization genehmigten Satz ein."
Microsoft stellt mehrere Beispielrichtlinien im XML-Format bereit, die sich in Windows unter %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies befinden. Microsoft-Beispielrichtlinien können es Ihrem organization ermöglichen, mit einer vorhandenen Basisrichtlinie zu beginnen und bei Bedarf Regeln zum Erstellen benutzerdefinierter Richtlinien hinzuzufügen oder zu entfernen.
Weitere Informationen zum Richtlinienentwurf finden Sie in den folgenden Artikeln:
- Dokumentation für Microsoft Intune
- Beispiel für Basisrichtlinien für die Windows Defender-Anwendungssteuerung
WDAC unterstützt zwei Richtlinienformate:
Einzelnes Richtlinienformat: Das ursprüngliche Richtlinienformat, das mit Windows 10 RTM und Windows Server 2016 veröffentlicht wurde. Einzelnes Richtlinienformat unterstützt nur eine einzelne aktive Richtlinie auf einem System zu einem bestimmten Zeitpunkt.
Mehrere Richtlinienformate (empfohlen): Dieses Richtlinienformat wird unter Windows 10 1903+, Windows 11 und Windows Server 2022 unterstützt. Ein Format mit mehreren Richtlinien ermöglicht mehr Flexibilität bei der Bereitstellung der Windows Defender-Anwendungssteuerung und unterstützt bis zu 32 aktive Richtlinien auf einem Gerät. Darüber hinaus sind die folgenden Szenarien möglich:
- Parallele Erzwingung und Überwachung: So überprüfen Sie Richtlinienänderungen vor der Bereitstellung der Erzwingung. Benutzer können eine Basisrichtlinie im Überwachungsmodus parallel zu einer vorhandenen, auf dem Erzwingungsmodus basierenden Richtlinie bereitstellen.
- Mehrere Basisrichtlinien: Benutzer können zwei oder mehr Basisrichtlinien gleichzeitig erzwingen.
- Zusätzliche Richtlinien: Benutzer können eine oder mehrere zusätzliche Richtlinien bereitstellen, um eine Basisrichtlinie zu erweitern. Sie können ergänzende Richtlinien für verschiedene Personas innerhalb Ihres organization verwenden, z. B. Personal und IT
Microsoft empfiehlt die Verwendung mehrerer Richtlinienformate und die Verwendung eines einzelnen Richtlinienformats für klar definierte Szenarien oder in denen mehrere Richtlinienformate nicht möglich sind, z. B. Windows Server 2016 und Windows Server 2019.
Ausführliche Informationen zu WDAC-Steuerungsrichtlinien finden Sie unter Verwenden mehrerer Windows Defender-Anwendungssteuerungsrichtlinien.
WDAC enthält zwei Konzepte:
- WDAC-Richtlinienregeln: WDAC-Richtlinienregeln geben Konfigurationen wie Überwachungsmodus, verwaltetes Installationsprogramm, Skripterzwingung, Ergänzungsrichtlinien (Mehrfachrichtlinienformat), Reputation-Based Intelligence (ISG-Autorisierung/Intelligente App-Steuerung) und möglicherweise andere an. Richtlinienregeln bestimmen auch, ob WDAC für Kernelmodus- und Benutzermodus-Binärdateien
- WDAC-Dateiregeln: WDAC-Dateiregeln geben die Autorisierung und erneute Autorisierung für die Ausführung unter Windows an. Dateiregeln unterstützen Hash-, Dateinamen-, Dateipfad- und Herausgeberregeln, mit denen ein Kunde einen organization genehmigten Satz zulässiger Anwendungen definieren kann. Die Regel verarbeitet zunächst alle gefundenen expliziten Ablehnungsregeln und verarbeitet dann alle expliziten Zulassungsregeln. Wenn keine Verweigerungs- oder Zulassungsregel vorhanden ist, sucht WDAC nach verwaltetem Installationsprogramm. Wenn keine dieser Sätze vorhanden ist, greift WDAC schließlich auf Reputation-Based Intelligence zurück.
Ausführliche Informationen zu Richtlinien- und Dateiregeln finden Sie im folgenden Artikel:
Es gibt zwei primäre Möglichkeiten, eine WDAC-Richtlinie mit PowerShell oder dem WDAC-Assistenten zu erstellen:
- PowerShell: WDAC-Richtlinien werden mithilfe von konfigurierbaren Codeintegritäts-Cmdlets in PowerShell erstellt. PowerShell ermöglicht es einem IT-Experten, die Überprüfung des WDAC-Richtliniensystems zu automatisieren, die eine Richtlinien-XML generiert. PowerShell kann verwendet werden, um Richtlinien-XMLs zusammenzuführen, Richtlinienregeln festzulegen und bei Bedarf weitere Richtliniendateiregeln hinzuzufügen. Die Cmdlets für konfigurierbare Codeintegrität können auch verwendet werden, um die WDAC-Beispielrichtlinien so zu ändern, dass sie die Anforderungen Ihrer organization erfüllen.
- Assistent für die Windows Defender-Anwendungssteuerung (empfohlen): Der WDAC-Richtlinien-Assistent ist eine Open-Source-Windows-Desktopanwendung, die in C# geschrieben und als MSIX-Paket gebündelt ist. Es wurde entwickelt, um Sicherheitsarchitekten und Systemadministratoren eine benutzerfreundlichere Möglichkeit zum Erstellen, Bearbeiten und Zusammenführen von Anwendungssteuerungsrichtlinien bereitzustellen. Dieses Tool verwendet die Config CI PowerShell-Cmdlets im Back-End, sodass die Ausgaberichtlinie des Tools und der PowerShell-Cmdlets identisch ist.
Ausführliche Informationen zur Richtlinienerstellung finden Sie in den folgenden Artikeln:
- Erstellen einer WDAC-Richtlinie mithilfe eines Referenzcomputers
- Windows Defender-Anwendungssteuerungs-Assistent
- ConfigCI
- WDAC-Richtlinien-Assistent
Microsoft empfiehlt die Verwendung des Windows Defender-Anwendungssteuerungs-Assistenten für die Implementierung von Essential Eight für die Anwendungssteuerung. Alternativ kann PowerShell von Organisationen mit erweiterten Anforderungen in einem DevOps-Betriebsmodell mithilfe der Beispielrichtlinien als Basis verwendet werden oder die eine Richtlinie für klar definierte Szenarien aus einem Referenzsystem erstellen möchten.
Bevor ein organization mit der Implementierung einer Anwendungssteuerungslösung beginnt, müssen Sie berücksichtigen, wie Ihre Richtlinien im Laufe der Zeit verwaltet und verwaltet werden. Die meisten WDAC-Richtlinien entwickeln sich im Laufe der Zeit weiter und durchlaufen während ihrer Lebensdauer eine Reihe von identifizierbaren Phasen. Diese Phasen umfassen:
- Definieren Sie die Richtlinie, und erstellen Sie eine Überwachungsmodusversion des Richtlinien-XML.Define the policy and build an audit mode version of the policy XML. Im Überwachungsmodus werden Blockereignisse generiert, aber die Ausführung von Dateien wird nicht verhindert.
- Bereitstellen der Überwachungsmodusrichtlinie auf den vorgesehenen Systemen
- Überwachen von Überwachungsblockereignissen von den vorgesehenen Systemen und Verfeinern der Regeln nach Bedarf, um unerwartete/unerwünschte Blöcke zu beheben
- Wiederholen Sie diese Schritte, bis die verbleibenden Blockereignisse Ihre Erwartungen erfüllen, während sie sich innerhalb der Überwachung befinden.
- Generieren Sie die Version des erzwungenen Modus der Richtlinie. Im Erzwingungsmodus werden Dateien, die von der Richtlinie nicht als zulässig definiert sind, an der Ausführung gehindert, und entsprechende Blockereignisse werden generiert.
- Bereitstellen der Richtlinie für den Erzwingungsmodus auf den vorgesehenen Systemen
- Wiederholen Sie alle diese Schritte kontinuierlich, um unerwartete/unerwünschte Blockaktionen zu beheben.
Um die WDAC-Richtlinien effektiv zu verwalten, sollten Sie Ihre RICHTLINIEN-XML-Dokumente in einem zentralen Repository speichern und verwalten. Microsoft empfiehlt eine Quellcodeverwaltungslösung wie GitHub oder eine Dokumentverwaltungslösung wie SharePoint, die versionskontrolle bietet.
Dieser Abschnitt dient als Leitfaden für Kunden zu den Anforderungen für die Konfiguration des verwalteten WDAC-Installationsprogramms mithilfe von PowerShell und Microsoft Intune.
- Lesen Sie Windows Threat Protection , um Apps, die von einem verwalteten Installationsprogramm mit Windows Defender-Anwendungssteuerung bereitgestellt werden, automatisch zuzulassen (/windows/security/threat-protection/windows-defender-application-control/configure-authorized-apps-deployed-with-a-managed-installer).
Hinweis
Dieses Beispielskript verwendet AppLocker nicht, sodass gutartige DENY-Regeln aus Schritt 1 nicht vorhanden sind. Diese Konfiguration von AppLocker wird für alle Geräte erstellt, auf denen ein verwaltetes Installationsprogramm erforderlich ist.
- Erstellen Sie ein PowerShell-Skript, das Folgendes abschließt:
- Speichern der AppLocker-XML
- Exportieren des AppLocker-XML-Codes
- AppLocker-Richtlinie festlegen
- Starten des AppLocker-Diensts
Im Folgenden finden Sie ein Beispiel für ein Skript, das mit Intune Verwaltungserweiterung – PowerShell-Skripts – bereitgestellt werden kann:
$ScriptDir = Split-Path $script:MyInvocation.MyCommand.Path
$AppLockerMIPolicy =
@"
<AppLockerPolicy Version="1">
<RuleCollection Type="ManagedInstaller" EnforcementMode="Enabled">
<FilePublisherRule Id="55932f09-04b8-44ec-8e2d-3fc736500c56" Name="MICROSOFT.MANAGEMENT.SERVICES.INTUNEWINDOWSAGENT.EXE version 1.39.200.2 or greater in MICROSOFT® INTUNE™ from O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US" Description="" UserOrGroupSid="S-1-1-0" Action="Allow">
<Conditions>
<FilePublisherCondition PublisherName="O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US" ProductName="*" BinaryName="MICROSOFT.MANAGEMENT.SERVICES.INTUNEWINDOWSAGENT.EXE">
<BinaryVersionRange LowSection="1.39.200.2" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
<FilePublisherRule Id="6ead5a35-5bac-4fe4-a0a4-be8885012f87" Name="CMM - CCMEXEC.EXE, 5.0.0.0+, Microsoft signed" Description="" UserOrGroupSid="S-1-1-0" Action="Allow">
<Conditions>
<FilePublisherCondition PublisherName="O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US" ProductName="*" BinaryName="CCMEXEC.EXE">
<BinaryVersionRange LowSection="5.0.0.0" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
<FilePublisherRule Id="8e23170d-e0b7-4711-b6d0-d208c960f30e" Name="CCM - CCMSETUP.EXE, 5.0.0.0+, Microsoft signed" Description="" UserOrGroupSid="S-1-1-0" Action="Allow">
<Conditions>
<FilePublisherCondition PublisherName="O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US" ProductName="*" BinaryName="CCMSETUP.EXE">
<BinaryVersionRange LowSection="5.0.0.0" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
</RuleCollection>
</AppLockerPolicy>
"@
$AppLockerMIPolicy | Out-File -FilePath $ScriptDir\AppLockerMIPolixy.xml
Set-AppLockerPolicy -XmlPolicy $ScriptDir\AppLockerMIPolixy.xml -Merge -ErrorAction SilentlyContinue
Start-Process -FilePath "$env:windir\System32\appidtel.exe" -ArgumentList "start -mionly" | Wait-Process
Remove-Item -Path $ScriptDir\AppLockerMIPolixy.xml
Wichtig
Der Administrator muss das Konfigurationsskript der WDAC-Dateiregelrichtlinie über Hash oder Verleger hinzufügen.
Das Feature des verwalteten Installationsprogramms von WDAC ermöglicht eine organization zum Ausgleich von Sicherheit und Verwaltbarkeit beim Erzwingen von Anwendungssteuerungsrichtlinien. Dadurch können Anwendungen von einer Softwareverteilungslösung wie Microsoft Configuration Manager oder Intune installiert werden.
Ein häufiges Missverständnis besteht darin, die Regel "verwaltetes Installationsprogramm" in der WDAC-Richtlinie zu konfigurieren. Dies ist falsch, und eine weitere Konfiguration von AppLocker ist erforderlich, damit dieses Feature funktioniert.
Das verwaltete Installationsprogramm verwendet eine Regelsammlung in AppLocker, um Binärdateien festzulegen, die von Ihrem organization für die Anwendungsinstallation als vertrauenswürdig eingestuft werden. Windows überwacht den Prozess der konfigurierten Binärdatei und alle untergeordneten Prozesse, die gestartet werden, während die zugehörigen Dateien überwacht werden, die auf den Datenträger geschrieben werden. Diese Dateien sind als aus einem verwalteten Installationsprogramm stammend gekennzeichnet und dürfen daher ausgeführt werden.
Die AppLocker-Richtlinienerstellung in GPO-Bearbeitung und die AppLocker PowerShell-Cmdlets können nicht direkt zum Erstellen von Regeln für die Sammlung des verwalteten Installationsprogramms verwendet werden. Sie müssen VS Code oder ein anderes Editortool verwenden, um eine Regelsammlung für verwaltete Installationsprogramme zu erstellen.
Der AppLocker-Konfigurationsdienstanbieter (CSP) unterstützt derzeit nicht den Regelsammlungstyp des verwalteten Installationsprogramms, sodass die AppLocker-Richtlinie mit PowerShell für Microsoft Intune eingehend erfolgen muss.
Da das Feature "Skripterzwingung" von Windows Defender Application Control erforderlich ist, um ISM-1657 zu erfüllen, ist die Skripterzwingung erforderlich, um PowerShell, VBscript, cscript, cscript, HSMTA und MSXML zu steuern. Das PowerShell-Skript zum Konfigurieren des "verwalteten Installers" muss sich in der WDAC-Dateirichtlinienregel mit Hash oder Publisher befinden.
Microsoft empfiehlt die Konfiguration des verwalteten Installationsprogramms für Microsoft Intune. Intune ermöglicht eine robuste Verwaltung von Anwendungen, die mithilfe von Microsoft Intune gepackt werden, ohne dass eine Windows Defender-Anwendungssteuerungsrichtlinie häufig aktualisiert werden muss.
Die Bereitstellung dieses Konfigurationsskripts für das verwaltete Installationsprogramm kann je nach Szenario auf zwei Arten mithilfe von Microsoft Intune erreicht werden:
- Hash: Der Hash des Skripts muss innerhalb der WDAC-Dateirichtlinie bekannt sein, verpackt und mithilfe des Microsoft Win32 Content Prep-Tools oder powerShell-Skriptfeatures in Microsoft Intune bereitgestellt werden.
- Codesigniert (Herausgeber): Das PowerShell-Skript wurde von einer vertrauenswürdigen Autorität signiert und mit der WDAC-Dateirichtlinie bekannt, verpackt und mithilfe des Microsoft Win32 Content Prep-Tools oder powerShell-Skriptfeatures in Microsoft Intune bereitgestellt.
Ausführliche Informationen zur Bereitstellung von PowerShell-Skripts finden Sie in den folgenden Artikeln:
- Automatisches Zulassen von Apps, die von einem verwalteten Installationsprogramm mit der Windows Defender-Anwendungssteuerung bereitgestellt werden
- AppLocker-CSP
- Skripterzwingung mit Windows Defender Application Control (WDAC)
- Win32-App-Verwaltung in Microsoft Intune
- Verwenden von PowerShell-Skripts auf Windows 10/11-Geräten in Intune
Nachdem die Optionen verstanden und Entwurfsentscheidungen getroffen wurden, kann der organization die erste Überwachungsrichtlinie mithilfe des Assistenten für die Windows Defender-App-Steuerung erstellen:
Öffnen Sie den Assistenten für die Windows Defender-App-Steuerung , und wählen Sie "Richtlinienersteller" aus.
Wählen Sie unter Richtlinienersteller die Option Mehrere Richtlinienformat und Basisrichtlinie aus, und wählen Sie dann Weiter aus.
In der Richtlinienvorlage stehen Ihnen drei Optionen zur Auswahl:
- Der Standard-Windows-Modus umfasst Windows-Betriebssysteme, Store-Apps, Microsoft 365 Apps for Enterprise (Office 365 Pro Plus) und WHQL-signierte Kerneltreiber.
- Microsoft-Modus zulassen umfasst alle Abschnitte im Standard-Windows-Modus und alle von Microsoft signierten Anwendungen.
- Signierter und seriöser Modus umfasst alle vorherigen Abschnitte und Reputation-Based Intelligenz.
Wichtig
Reputation-Based Intelligence for Application Control erfüllt aufgrund der Anforderung "Von der Organisation genehmigter Satz" (ISM 1657) und "Anwendungssteuerungsregeln werden jährlich oder häufiger überprüft" (ISM 1582). Dieses Feature in WDAC erfüllt nicht die Anforderungen für ML2 oder ML3. Microsoft empfiehlt die Verwendung von Reputation-Based Intelligence für die Organisation, die WDAC außerhalb des Kontexts der Essential Eight-Anwendungssteuerung einführt.
- Wählen Sie abhängig von den Anforderungen Ihres organization standard windows mode (Windows-Standardmodus) oder Allow Microsoft Mode (Microsoft-Modus zulassen) aus. Für dieses Dokument verwendet Microsoft den Microsoft-Modus zulassen.
- Ändern Sie den Richtliniennamen und -speicherort in den gewünschten Richtliniennamen und den Speicherort der Richtliniendatei , um die Datei zu speichern, und wählen Sie Weiter aus.
Hinweis
Ausführliche Informationen zur WDAC – Richtlinienregeln finden Sie hier.
- Für ISM 1657 und 1658 ist die Skripterzwingung deaktivieren, die auf "Deaktiviert" festgelegt ist, um Skripts, erfüllte HTML- und HTML-Anwendungen zu steuern.
- Für ISM 1657, 1658 und 1582 ist intelligent Security Graph auf "Disabled" festgelegt.
- Das verwaltete Installationsprogramm wird als "Aktiviert" empfohlen, um eine organization mit dem WDAC-Richtlinienlebenszyklus zu unterstützen.
- Die Codeintegrität im Benutzermodus ist erforderlich, damit WDAC-Richtlinien sowohl für Kernelmodus- als auch für Benutzermodusbinärdateien gelten.
- Zusätzliche Richtlinien zulassen ist erforderlich, um das Format mit mehreren Richtlinien zu verwenden, um eine organization mit dem WDAC-Richtlinienlebenszyklus zu unterstützen.
Hinweis
Alle anderen WDAC-Richtlinienregeln sind von den Anforderungen innerhalb eines organization abhängig.
- In Signaturregeln kann der Administrator alle Microsoft-Zertifikate sehen, die als Herausgeberregeln zulassen hinzugefügt wurden. Weitere Informationen zum Hinzufügen einer benutzerdefinierten Regel weiter unten in diesem Artikel.
- Wählen Sie Weiter aus.
Der Assistent für die Windows Defender-App-Steuerung generiert Folgendes:
- Richtlinien-XML
- {GUID}. CIP
Ausführliche Informationen zur WDAC – Richtlinienregeln finden Sie hier.
Hinweis
Jede Richtlinie, die mit dem Windows Defender-App-Steuerungs-Assistenten generiert wird, beschafft eine neue GUID (Globally Unique Identifier).
Die WDAC-Richtlinie wurde erfolgreich erstellt.
Da die organization die WDAC-Richtlinie mithilfe des WDAC-Assistenten erstellt hat, kann der organization den Kontext dieser Datei in einem Text-Editor anzeigen. Der XML-Code ist in mehrere verschiedene Abschnitte unterteilt, für den Kontext von Essential Eight notieren Sie sich policyID und BasePolicyID.
Hinweis
Es ist zwar möglich, die Richtlinien-XML direkt zu bearbeiten. Microsoft empfiehlt alle zusätzlichen Änderungen an Richtlinienregeln oder Signierungsdateien, die mit dem Windows Defender-App-Steuerungs-Assistenten oder konfigurierbaren Codeintegritäts-Cmdlets in PowerShell vorgenommen werden sollen.
Nachdem der organization eine Überwachungsrichtlinie erstellt hat, ist es an der Zeit, sie mithilfe Intune Geräteverwaltung bereitzustellen.
- Melden Sie sich beim Intune Admin Center an.
- Wechseln Sie Intune Admin Center zu Geräte und dann zu Konfigurationsprofile.
- Erstellen Sie als Nächstes eine Profilplattform>– Windows 10 oder höher, Profiltypvorlagen und Benutzerdefiniert.
- Erstellen Sie einen Namen für die Richtlinie (z. B. "Anwendungssteuerung – Microsoft Zulassen – Überwachung"), und wählen Sie Weiter aus.
- Wählen Sie unter OMA-URI-Einstellungen die Option Hinzufügen aus.
Hinweis
Diese Informationen hängen von der Richtlinien-ID ab, die vom Assistenten für die Windows >Defender-App-Steuerung für den Richtlinien-XML-Code generiert wurde, der aus dem obigen Abschnitt "Überwachungsrichtlinie erstellen" erstellt wurde:
- Name = Microsoft Allow Audit
- OMA-URL = ./Vendor/MSFT/ApplicationControl/Policies/CB46B243-C19C-4870-B098-A2080923755C/Policy
- Datentyp = Base64 (Datei)
- Als der Assistent für die Windows Defender-App-Steuerung die Richtlinien-XML generiert hat, wurde auch eine GUID (GUID) erstellt. CIP-Datei. Die CIP-Datei muss kopiert und die Dateierweiterung in umbenannt werden. BIN z. B. {CB46B243-C19C-4870-B098-A2080923755C}.bin.
- Laden Sie die BIN unter Base64 (Datei) hoch.
- Klicken Sie auf Speichern.
- Befolgen Sie die Anweisungen, um das Konfigurationsprofil zu erstellen.
- Stellen Sie die von Ihnen erstellte Richtlinie bereit, z. B. "Anwendungssteuerung – Microsoft Zulassen – Überwachung", Konfigurationsprofil auf dem vorgesehenen System.
Nach dem WDAC-Richtlinienlebenszyklus muss der organization die generierten Ereignisse aus der Richtlinie "Microsoft-Überwachung zulassen" überprüfen. Die Überwachung von WDAC-Überwachungsrichtlinien kann mit zwei Methoden erreicht werden:
- Anwendungssteuerungsereignis-IDs: Ereignis-IDs der Anwendungssteuerung sind die herkömmliche Methode zum Überprüfen überwachter Ereignisse auf einem Windows-Betriebssystem. Diese Ereignis-IDs können mithilfe der Windows-Ereignisprotokollweiterleitung oder der Sicherheitsinformationen und Ereignisverwaltung von Drittanbietern an einen zentralen Ort weitergeleitet werden.
Informationen zu Ereignis-IDs finden Sie unter Grundlegendes zu Ereignis-IDs der Anwendungssteuerung – Windows-Sicherheit.
- Microsoft Defender for Endpoint (empfohlen): Ereignisse im Zusammenhang mit Windows Defender für Endpunkt und AppLocker werden in der erweiterten Suche für Microsoft Defender for Endpoint erfasst. In den Ereignissen enthaltene Informationen sind Device, FileName, FolderPath, InitiatingProcessFileName, File Hashes und mehr. Siehe: Abfragen von Anwendungssteuerungsereignissen mit erweiterter Suche (Windows) – Windows-Sicherheit
Microsoft empfiehlt die Verwendung der Microsoft Defender XDR(MDE)-Integration zum Microsoft Sentinel. MDE und Sentinel ermöglichen, dass die Telemetriedaten der erweiterten Suche im Vergleich zum Microsoft Defender for Endpoint länger als 30 Tage gespeichert werden.
Ausführliche Informationen zu Verbindungen und Überwachung finden Sie in den folgenden Artikeln:
- Verbinden von Daten von Microsoft Defender XDR mit Microsoft Sentinel
- Azure Monitor-Agent auf Windows-Clientgeräten
- Sammeln von Ereignissen und Leistungsindikatoren von virtuellen Computern mit dem Azure Monitor-Agent
Das folgende Beispiel zeigt, dass ein Benutzer über mehrere Anwendungen verfügt, die für die täglichen Aufgaben eines organization verwendet werden. Das Beispiel enthält sowohl Microsoft-Anwendungen als auch verschiedene Open Source Anwendungen.
Da sich das Beispiel im Erzwingungsüberwachungsmodus befindet, kann der Administrator sehen (aber nicht den Benutzer), dass Ereignisse für WinSCP, VLC, Putty und FileZilla ausgelöst wurden, da diese Anwendungen nicht Teil der anfänglichen Überwachungsrichtlinie sind.
Geben Sie nun das Microsoft Defender-Portal ein, um Überwachungsereignisse einzugrenzen, um zu verstehen, welche unerwarteten/unerwünschten Blöcke auftreten würden, wenn der Überwachungsmodus deaktiviert und daher in diesem Beispiel in den Erzwingungsmodus versetzt wird.
Suchen Sie mithilfe des Referenzschemas der vorherigen Seite nach allen Richtlinienüberwachungsereignissen, die von WDAC in den letzten sieben Tagen ausgelöst wurden, und stellen Sie relevante Informationen mithilfe der Beispielabfrageabfrage für die Tastaturabfragesprache (Keyboard Query Language, KQL) bereit:
DeviceEvents
| where ActionType startswith "AppControlCodeIntegrityPolicyAudited"
| where Timestamp > ago(7d)
| project DeviceId, // The device ID where the audit block happened
FileName, // The audit blocked app's filename
FolderPath, // The audit blocked app's system path without the FileName
InitiatingProcessFileName, // The file name of the parent process loading the executable
InitiatingProcessVersionInfoCompanyName, // The company name of the parent process loading the executable
InitiatingProcessVersionInfoOriginalFileName, // The original file name of the parent process loading the executable
InitiatingProcessVersionInfoProductName, // The product name of the parent process loading the executable
InitiatingProcessSHA256, // The SHA256 flat hash of the parent process loading the executable
Timestamp, // The event creation timestamp
ReportId, // The report ID - randomly generated by MDE AH
InitiatingProcessVersionInfoProductVersion, // The product version of the parent process loading the executable
InitiatingProcessVersionInfoFileDescription, // The file description of the parent process loading the executable
AdditionalFields // Additional fields contains FQBN for signed binaries. These contain the CN of the leaf certificate, product name, original filename and version of the audited binary
Hier sehen Sie ein Beispiel für eine Ausgabe, die die vorherige KQL-Abfrage verwendet.
In den Datensätzen finden Sie einen detaillierten Bericht mit Informationen wie Prozessstruktur, Dateipfad, SHA-Informationen, Signierer- und Ausstellerinformationen.
Der nächste Schritt besteht darin, die Ergebnisse einzugrenzen.
Fügen Sie mit derselben KQL-Abfrage ein weiteres Feld hinzu, in dem der Name der initiierenden ProzessdateiWindows Explorer lautet. Die KQL-Abfrage zeigt die Anwendungen an, die von Benutzern innerhalb der GRAFISCHEn Benutzeroberfläche ausgeführt werden.
DeviceEvents
| where ActionType startswith "AppControlCodeIntegrityPolicyAudited"
| where Timestamp > ago(7d)
| where InitiatingProcessFileName startswith "explorer.exe" // Users starting an Application via File Explorer / GUI
| project DeviceId, // The device ID where the audit block happened
FileName, // The audit blocked app's filename
FolderPath, // The audit blocked app's system path without the FileName
InitiatingProcessFileName, // The file name of the parent process loading the executable
InitiatingProcessVersionInfoCompanyName, // The company name of the parent process loading the executable
InitiatingProcessVersionInfoOriginalFileName, // The original file name of the parent process loading the executable
InitiatingProcessVersionInfoProductName, // The product name of the parent process loading the executable
InitiatingProcessSHA256, // The SHA256 flat hash of the parent process loading the executable
Timestamp, // The event creation timestamp
ReportId, // The report ID - randomly generated by MDE AH
InitiatingProcessVersionInfoProductVersion, // The product version of the parent process loading the executable
InitiatingProcessVersionInfoFileDescription, // The file description of the parent process loading the executable
AdditionalFields // Additional fields contains FQBN for signed binaries. These contain the CN of the leaf certificate, product name, original filename and version of the audited binary
Hier sehen Sie ein Beispiel für eine Ausgabe, die die vorherige KQL-Abfrage verwendet.
Die KQL-Abfrageaktion hat nun die Informationen auf ein Verwaltungsdataset eingegrenzt. Was man sehen kann, sind die Anwendungen, die von beabsichtigten Systemen verwendet werden. Diese Anwendungen müssen der Richtlinie des organization hinzugefügt oder als über die Organisationsänderungssteuerung hinzugefügt werden.
Hinweis
KQL ist ein leistungsstarkes Tool zum Anzeigen unstrukturierter und strukturierter Datasets. Dies ist nur ein Beispiel für die Verwendung von KQL, und Microsoft empfiehlt, die folgende Dokumentation zu lesen: Lernen Sie die Erweiterte Suchabfragesprache in Microsoft Defender XDR
Wenn unsere Suchergebnisse mithilfe von KQL eingeschränkt werden, besteht der nächste Schritt darin, die WDAC-Basisrichtlinie zu aktualisieren oder eine Ergänzende Richtlinie zu verwenden. Im nächsten Beispiel werden Ergänzende Richtlinien verwendet.
Öffnen Sie den Windows Defender-App-Steuerungs-Assistenten , und wählen Sie Richtlinienersteller aus.
Wählen Sie unter Richtlinienersteller die Option Multiple Policy Format und Supplemental Policy aus, navigieren Sie zu Ihrer Basisrichtlinie, aktualisieren Sie den Speicherort, um Ihre ergänzende Richtlinie zu speichern, und wählen Sie Weiter aus.
Wählen Sie unter Richtlinienregelndie Option Weiter aus.
Wählen Sie unter Richtliniensignaturregeln die Option Benutzerdefinierte Regel aus.
In benutzerdefinierten Regelbedingungen sind viele Optionen verfügbar:
- Regelbereich Benutzermodusregel/Kernelmodusregel
- Regelaktion: Zulassen/Verweigern
- Regeltyp
- Herausgeber (empfohlen)
- File
- File Attribute
- Verpackte App
- Rautenzeichen
- Referenzdatei
Hinweis
Microsoft empfiehlt, ggf. Publisher-basierte Regeln zu verwenden und auf Hash-basierte Regeln für nicht signierte Verweisdateien zurückgegriffen zu werden, um das Essential Eight-Anwendungssteuerelement zu implementieren.
Verwenden von Microsoft Defender for Endpoint
- Suchen Sie nach Dateiname in Suchen, navigieren Sie zur Datei Informationen, und laden Sie die Datei herunter.
- Überprüfen Sie den Datensatz direkt aus der erweiterten Suche, und laden Sie die Datei herunter, die dann die erforderlichen Binärdateien herunterladen.
- Fahren Sie mit den erforderlichen Binärdateien als Nächstes mit dem Erstellen einer weiteren Richtlinie für die ISV-Anwendungen Ihrer organization fort.
- Wählen Sie im Windows Defender-App-Steuerungs-Assistenten den gewünschten Regeltyp aus, und navigieren Sie zu den Referenzbinärdateien aus dem vorherigen Schritt. Im nächsten Beispiel wird veranschaulicht, dass VLC die erforderlichen Herausgeberinformationen erfüllt.
Hinweis
Microsoft empfiehlt, für die Erstellung einer herausgeberbasierten Regel mindestens selektive Zertifizierungsstelle, Herausgeber auszustellen. Der Produktname kann eingeschlossen werden und wird vom ACSC für herausgeberbasierte Regeln empfohlen.
- Klicken Sie auf Weiter und dann auf Erstellen.
- Stellen Sie diese ergänzende Richtlinie mithilfe der Schritte bereit, die zuvor im Abschnitt "Bereitstellen der Überwachungsrichtlinie für die Windows Defender-Anwendungssteuerung über Microsoft Intune" beschrieben wurden.
So wechseln Sie zum Erzwingen der Richtlinie:
Öffnen Sie den Assistenten für die Windows Defender-App-Steuerung, und wählen Sie Richtlinien-Editor aus.
Navigieren Sie zu der Richtlinien-XML, die in erzwungen geändert werden soll.
Deaktivieren Sie die Option Überwachungsmodus in Richtlinienregeln.
Wählen Sie unter Richtlinienregelndie Option Weiter aus.
Eine Updaterichtlinie wird mit einer geänderten Versionsnummer erstellt, und eine neue CIP-Datei wurde erstellt.
Navigieren Sie in Microsoft Endpoint Manager Admin Center zu Geräte und dann zu Konfigurationsprofile.
Erstellen Sie als Nächstes ein Profil, eine Plattform – Windows 10 oder höher, Profiltypvorlagen und Benutzerdefiniert.
Erstellen Sie einen Namen für die Richtlinie, z. B. Anwendungssteuerung – Richtlinie erzwingen, und wählen Sie Weiter aus.
Wählen Sie unter OMA-URI-Einstellungen die Option Hinzufügen aus.
Hinweis
Diese Informationen hängen von der Richtlinien-ID ab, die vom Windows Defender-App-Steuerungs-Assistenten für die Richtlinien-XML generiert wurde, die oben im Abschnitt "Überwachung erstellen" erstellt wurde.
- Name = Microsoft Allow Enforce
- OMA-URL = ./Vendor/MSFT/ApplicationControl/Policies/CB46B243-C19C-4870-B098-A2080923755C/Policy
- Datentyp = Base64 (Datei)Als der Assistent für die Windows Defender-App-Steuerung die Richtlinien-XML generiert hat, wurde auch eine GUID (GUID) erstellt. CIP-Datei. Der nächste Schritt besteht darin, diese CIP-Datei zu kopieren und die Dateierweiterung in umzubenennen. BIN z. B. {CB46B243-C19C-4870-B098-A2080923755C}.bin.
Laden Sie die BIN unter Base64 (Datei) hoch.
Klicken Sie auf Speichern.
Befolgen Sie die Anweisungen, um das Konfigurationsprofil zu erstellen.
Bereitstellen der Anwendungssteuerung– Erzwingen des Richtlinienkonfigurationsprofils für das beabsichtigte System.
Hinweis
Der Administrator muss die zuvor erstellte Anwendung – Überwachungsrichtlinie aus dem beabsichtigten System ausschließen, das zur Erzwingung gewechselt wird.