Windows Defender Application Control-Verwaltung mit Configuration Manager

  • Artikel

Gilt für: Configuration Manager (Current Branch)

Windows Defender Application Control wurde entwickelt, um Geräte vor Schadsoftware und anderer nicht vertrauenswürdiger Software zu schützen. Dadurch wird verhindert, dass bösartiger Code ausgeführt wird, indem sichergestellt wird, dass nur genehmigter Code ausgeführt werden kann, den Sie kennen.

Die Anwendungssteuerung ist eine softwarebasierte Sicherheitsebene, die eine explizite Liste von Software erzwingt, die auf einem PC ausgeführt werden darf. Für die Anwendungssteuerung gelten für sich allein keine Hardware- oder Firmwarevoraussetzungen. Anwendungssteuerungsrichtlinien, die mit Configuration Manager bereitgestellt werden, aktivieren eine Richtlinie auf Geräten in Zielsammlungen, die die in diesem Artikel beschriebenen Mindestanforderungen an Windows-Version und SKU erfüllen. Optional kann der hypervisorbasierte Schutz von Anwendungssteuerungsrichtlinien, die über Configuration Manager bereitgestellt werden, über Gruppenrichtlinien auf fähiger Hardware aktiviert werden.

Weitere Informationen finden Sie im Windows Defender Application Control-Bereitstellungshandbuch.

Hinweis

Dieses Feature wurde zuvor als konfigurierbare Codeintegrität und Device Guard bezeichnet.

Verwenden der Anwendungssteuerung mit Configuration Manager

Sie können Configuration Manager verwenden, um eine Anwendungssteuerungsrichtlinie bereitzustellen. Mit dieser Richtlinie können Sie den Modus konfigurieren, in dem die Anwendungssteuerung auf Geräten in einer Sammlung ausgeführt wird.

Sie können einen der folgenden Modi konfigurieren:

  1. Erzwingung aktiviert : Nur vertrauenswürdige ausführbare Dateien dürfen ausgeführt werden.
  2. Nur überwachen : Lassen Sie die Ausführung aller ausführbaren Dateien zu, aber protokollieren Sie nicht vertrauenswürdige ausführbare Dateien, die im lokalen Clientereignisprotokoll ausgeführt werden.

Was kann ausgeführt werden, wenn Sie eine Anwendungssteuerungsrichtlinie bereitstellen?

Mit der Anwendungssteuerung können Sie stark steuern, was auf von Ihnen verwalteten Geräten ausgeführt werden kann. Dieses Feature kann für Geräte in Hochsicherheitsabteilungen nützlich sein, bei denen es wichtig ist, dass unerwünschte Software nicht ausgeführt werden kann.

Wenn Sie eine Richtlinie bereitstellen, können in der Regel die folgenden ausführbaren Dateien ausgeführt werden:

  • Komponenten des Windows-Betriebssystems
  • Hardware Dev Center-Treiber mit Windows Hardware Quality Labs-Signaturen
  • Windows Store-Apps
  • Der Configuration Manager-Client
  • Alle Software, die über Configuration Manager bereitgestellt wird, die Geräte installieren, nachdem sie die Anwendungssteuerungsrichtlinie verarbeitet haben
  • Aktualisierungen zu integrierten Windows-Komponenten aus:
    • Windows Update
    • Windows Update for Business
    • Windows Server Update Services
    • Configuration Manager
    • Optional software with a good reputation as determined by the Microsoft Intelligent Security Graph (ISG). Die ISG umfasst Windows Defender SmartScreen und andere Microsoft Dienste. Auf dem Gerät muss Windows Defender SmartScreen und Windows 10 Version 1709 oder höher ausgeführt werden, damit diese Software vertrauenswürdig ist.

Wichtig

Diese Elemente enthalten keine Software, die nicht in Windows integriert ist und automatisch über das Internet oder Softwareupdates von Drittanbietern aktualisiert wird. Diese Einschränkung gilt unabhängig davon, ob sie von einem der aufgeführten Updatemechanismen oder aus dem Internet installiert werden. Die Anwendungssteuerung lässt nur Softwareänderungen zu, die über den Configuration Manager-Client bereitgestellt werden.

Unterstützte Betriebssysteme

Um die Anwendungssteuerung mit Configuration Manager verwenden zu können, müssen auf Geräten unterstützte Versionen von ausgeführt werden:

  • Windows 11 oder höher, Enterprise Edition
  • Windows 10 oder höher, Enterprise Edition
  • Windows Server 2019 oder höher

Tipp

Vorhandene Anwendungssteuerungsrichtlinien, die mit Configuration Manager Version 2006 oder früher erstellt wurden, funktionieren nicht mit Windows Server. Um Windows Server zu unterstützen, erstellen Sie neue Anwendungssteuerungsrichtlinien.

Vorbereitende Schritte

  • Sobald eine Richtlinie erfolgreich auf einem Gerät verarbeitet wurde, wird Configuration Manager als verwaltetes Installationsprogramm auf diesem Client konfiguriert. Nachdem die Richtlinie verarbeitet wurde, wird von Configuration Manager bereitgestellte Software automatisch als vertrauenswürdig eingestuft. Bevor das Gerät die Anwendungssteuerungsrichtlinie verarbeitet, wird die von Configuration Manager installierte Software nicht automatisch als vertrauenswürdig eingestuft.

    Hinweis

    Beispielsweise können Sie den Schritt Anwendung installieren in einer Tasksequenz nicht verwenden, um Anwendungen während einer Betriebssystembereitstellung zu installieren. Weitere Informationen finden Sie unter Tasksequenzschritte – Anwendung installieren.

  • Der Standardzeitplan für die Konformitätsbewertung für Anwendungssteuerungsrichtlinien ist täglich. Dieser Zeitplan kann während der Richtlinienbereitstellung konfiguriert werden. Wenn Sie Probleme bei der Richtlinienverarbeitung feststellen, konfigurieren Sie den Zeitplan für die Konformitätsauswertung häufiger. Beispielsweise jede Stunde. Dieser Zeitplan bestimmt, wie oft Clients erneut versuchen, eine Anwendungssteuerungsrichtlinie zu verarbeiten, wenn ein Fehler auftritt.

  • Unabhängig vom ausgewählten Erzwingungsmodus können Geräte beim Bereitstellen einer Anwendungssteuerungsrichtlinie keine HTML-Anwendungen mit der .hta Dateierweiterung ausführen.

Erstellen einer Anwendungssteuerungsrichtlinie

  1. Wechseln Sie in der Configuration Manager-Konsole zum Arbeitsbereich Assets und Konformität.

  2. Erweitern Sie Endpoint Protection, und wählen Sie dann den Knoten Windows Defender Anwendungssteuerung aus.

  3. Wählen Sie auf der Registerkarte Start des Menübands in der Gruppe Erstellen die Option Anwendungssteuerungsrichtlinie erstellen aus.

  4. Geben Sie auf der Seite Allgemein des Assistenten zum Erstellen von Anwendungssteuerungsrichtlinien die folgenden Einstellungen an:

    • Name: Geben Sie einen eindeutigen Namen für diese Anwendungssteuerungsrichtlinie ein.

    • Beschreibung: Geben Sie optional eine Beschreibung für die Richtlinie ein, die Ihnen hilft, sie in der Configuration Manager-Konsole zu identifizieren.

    • Erzwingen Eines Neustarts von Geräten, damit diese Richtlinie für alle Prozesse erzwungen werden kann: Nachdem das Gerät die Richtlinie verarbeitet hat, wird ein Neustart auf dem Client gemäß den Clienteinstellungen für Computerneustart geplant. Anwendungen, die derzeit auf dem Gerät ausgeführt werden, wenden die neue Anwendungssteuerungsrichtlinie erst nach einem Neustart an. Anwendungen, die nach Anwendung der Richtlinie gestartet werden, berücksichtigen jedoch die neue Richtlinie.

    • Erzwingungsmodus: Wählen Sie eine der folgenden Erzwingungsmethoden aus:

      • Erzwingung aktiviert: Nur vertrauenswürdige Anwendungen dürfen ausgeführt werden.

      • Nur überwachen: Alle Anwendungen können ausgeführt werden, aber nicht vertrauenswürdige Programme, die ausgeführt werden, protokollieren. Die Überwachungsmeldungen befinden sich im lokalen Clientereignisprotokoll.

  5. Wählen Sie auf der Registerkarte Einschlüsse des Assistenten zum Erstellen von Anwendungssteuerungsrichtlinien aus, ob Sie Software autorisieren möchten, die vom Intelligent Security Graph als vertrauenswürdig eingestuft wird.

  6. Wenn Sie eine Vertrauensstellung für bestimmte Dateien oder Ordner auf Geräten hinzufügen möchten, wählen Sie Hinzufügen aus. Im Dialogfeld Vertrauenswürdige Datei oder Ordner hinzufügen können Sie eine lokale Datei oder einen vertrauenswürdigen Ordnerpfad angeben. Sie können auch einen Datei- oder Ordnerpfad auf einem Remotegerät angeben, auf dem Sie über die Berechtigung zum Herstellen einer Verbindung verfügen. Wenn Sie eine Vertrauensstellung für bestimmte Dateien oder Ordner in einer Anwendungssteuerungsrichtlinie hinzufügen, haben Sie folgende Möglichkeiten:

    • Beheben Sie Probleme mit dem Verhalten des verwalteten Installationsprogramms.

    • Vertrauen Sie branchenspezifische Apps, die Sie nicht mit Configuration Manager bereitstellen können.

    • Vertrauen Sie Apps, die in einem Betriebssystembereitstellungsimage enthalten sind.

  7. Schließen Sie den Assistenten ab.

Bereitstellen einer Anwendungssteuerungsrichtlinie

  1. Wechseln Sie in der Configuration Manager-Konsole zum Arbeitsbereich Assets und Konformität.

  2. Erweitern Sie Endpoint Protection, und wählen Sie dann den Knoten Windows Defender Anwendungssteuerung aus.

  3. Wählen Sie in der Liste der Richtlinien die Richtlinien aus, die Sie bereitstellen möchten. Wählen Sie auf der Registerkarte Start des Menübands in der Gruppe Bereitstellung die Option Anwendungssteuerungsrichtlinie bereitstellen aus.

  4. Wählen Sie im Dialogfeld Anwendungssteuerungsrichtlinie bereitstellen die Sammlung aus, für die Sie die Richtlinie bereitstellen möchten. Konfigurieren Sie dann einen Zeitplan für den Zeitpunkt, an dem Clients die Richtlinie auswerten. Wählen Sie abschließend aus, ob der Client die Richtlinie außerhalb von konfigurierten Wartungsfenstern auswerten kann.

  5. Wenn Sie fertig sind, wählen Sie OK aus, um die Richtlinie bereitzustellen.

Überwachen einer Anwendungssteuerungsrichtlinie

Verwenden Sie im Allgemeinen die Informationen im Artikel Überwachen von Konformitätseinstellungen . Anhand dieser Informationen können Sie überwachen, dass die bereitgestellte Richtlinie ordnungsgemäß auf alle Geräte angewendet wurde.

Verwenden Sie die folgende Protokolldatei auf Geräten, um die Verarbeitung einer Anwendungssteuerungsrichtlinie zu überwachen:

%WINDIR%\CCM\Logs\DeviceGuardHandler.log

Informationen zum Überprüfen der spezifischen Software, die blockiert oder überwacht wird, finden Sie in den folgenden lokalen Clientereignisprotokollen:

  • Verwenden Sie zum Blockieren und Überwachen ausführbarer Dateien Anwendungs- und Dienstprotokolle>Microsoft>Windows>Code Integrity>Operational.

  • Verwenden Sie zum Blockieren und Überwachen von Windows Installer- und Skriptdateien Anwendungs- und Dienstprotokolle>Microsoft>Windows>AppLocker>MSI und Script.

Sicherheits- und Datenschutzinformationen

  • Geräte, für die eine Richtlinie im Modus "Nur überwachen" oder " Erzwingung aktiviert" bereitgestellt wurde, aber nicht neu gestartet wurden, um die Richtlinie zu erzwingen, sind anfällig für nicht vertrauenswürdige Software, die installiert wird. In diesem Fall kann die Software auch dann weiterhin ausgeführt werden, wenn das Gerät neu gestartet wird oder eine Richtlinie im Modus "Erzwingen aktiviert" empfängt .

  • Um die Wirksamkeit der Anwendungssteuerungsrichtlinie zu verbessern, bereiten Sie zunächst das Gerät in einer Labumgebung vor. Stellen Sie eine Richtlinie mit aktivierter Erzwingung bereit , und starten Sie dann das Gerät neu. Nachdem Sie sich vergewissert haben, dass die Apps funktionieren, geben Sie das Gerät an den Benutzer weiter.

  • Stellen Sie keine Richtlinie mit aktivierter Erzwingung bereit, und stellen Sie dann später eine Richtlinie mit Nur überwachen auf demselben Gerät bereit. Diese Konfiguration kann dazu führen, dass nicht vertrauenswürdige Software ausgeführt werden darf.

  • Wenn Sie Configuration Manager verwenden, um die Anwendungssteuerung auf Geräten zu aktivieren, verhindert die Richtlinie nicht, dass Benutzer mit lokalen Administratorrechten die Anwendungssteuerungsrichtlinien umgehen oder anderweitig nicht vertrauenswürdige Software ausführen.

  • Die einzige Möglichkeit, benutzer mit lokalen Administratorrechten daran zu hindern, die Anwendungssteuerung zu deaktivieren, besteht darin, eine signierte Binärrichtlinie bereitzustellen. Diese Bereitstellung ist über Gruppenrichtlinien möglich, wird aber derzeit in Configuration Manager nicht unterstützt.

  • Beim Einrichten von Configuration Manager als verwaltetes Installationsprogramm auf Geräten wird eine Windows AppLocker-Richtlinie verwendet. AppLocker wird nur verwendet, um verwaltete Installationsprogramme zu identifizieren. Die gesamte Erzwingung erfolgt mit der Anwendungssteuerung.

Nächste Schritte

Verwalten von Richtlinien und Firewalleinstellungen für Antischadsoftware