Share via

Erstellen einer Richtlinie für die Device Guard-Codeintegrität auf Grundlage eines Referenzgeräts

  • Artikel

Zum Implementieren des Device Guard-App-Schutzes müssen Sie eine Richtlinie für die Codeintegrität erstellen. Anhand von Richtlinien für die Codeintegrität wird ermittelt, welche Apps als vertrauenswürdig angesehen werden und auf einem geschützten Gerät ausgeführt werden dürfen.

Erstellen einer Richtlinie für die Device Guard-Codeintegrität auf Grundlage eines Referenzgeräts

Zum Erstellen einer Richtlinie für die Codeintegrität müssen Sie zunächst ein Referenzimage erstellen, das signierte Anwendungen enthält, die Sie auf Ihren geschützten Geräten ausführen möchten. Informationen über das Signieren von Anwendungen finden Sie unter Abrufen von Apps zum Ausführen auf von mit Device Guard geschützten Geräten.

Hinweis  Stellen Sie vor dem Erstellen einer Richtlinie für die Codeintegrität sicher, dass Ihr Referenzgerät frei von Viren und Schadsoftware ist.

 

Mt243445.wedge(de-de,VS.85).gifSo erstellen Sie eine Richtlinie für die Codeintegrität auf Grundlage eines Referenzgeräts

  1. Starten Sie auf dem Referenzgerät die Windows PowerShell als Administrator.

  2. Initialisieren Sie in der PowerShell Variablen, indem Sie Folgendes eingeben:

    $CIPolicyPath=$env:userprofile+"\Desktop\"
$InitialCIPolicy=$CIPolicyPath+"InitialScan.xml"
$CIPolicyBin=$CIPolicyPath+"DeviceGuardPolicy.bin"

  3. Durchsuchen Sie Ihr Gerät nach installierten Anwendungen, und erstellen Sie anhand der folgenden Eingabe eine neue Richtlinie für die Codeintegrität:

    New-CIPolicy -Level <RuleLevel> -FilePath $InitialCIPolicy -UserPEs -Fallback Hash 3> Warningslog.txt

    <RuleLevel> kann hierbei auf eine der folgenden Optionen festgelegt werden:

    Regelebene Beschreibung

    Hash

    Gibt die einzelnen Hashwerte für jede ermittelte App an. Der Hashwert ändert sich bei jeder Aktualisierung der App, und Sie müssen die Richtlinie aktualisieren.

    FileName

    Derzeit nicht unterstützt.

    SignedVersion

    Derzeit nicht unterstützt.

    Publisher

    Bei dieser Ebene handelt es sich um eine Kombination des PCA-Zertifikats und des allgemeinen Namens (Common Name, CN) des untergeordneten Zertifikats. Wenn ein PCA-Zertifikat zum Signieren von Apps aus mehreren Unternehmen (wie VeriSign) verwendet wird, ermöglicht Ihnen diese Regelebene, dem PCA-Zertifikat zu vertrauen, jedoch nur für das Unternehmen, dessen Name auf dem untergeordneten Zertifikat vorhanden ist.

    FilePublisher

    Derzeit nicht unterstützt.

    LeafCertificate

    Fügt vertrauenswürdige Signaturgeber auf der einzelnen Signaturzertifikatsebene hinzu. Beim Aktualisieren einer App wird der Hashwert geändert, das Signaturzertifikat bleibt jedoch unverändert. Sie müssen nur die Richtlinie aktualisieren, wenn sich das Signaturzertifikat für eine App ändert.

    Hinweis  Untergeordnete Zertifikate weisen eine wesentlich kürzere Gültigkeitsdauer als PCA-Zertifikate auf. Sie müssen die Richtlinie aktualisieren, wenn ein Zertifikat abläuft.
     

    PcaCertificate

    Fügt den Signaturgebern das höchste Zertifikat in der angegebenen Zertifikatskette hinzu. Hierbei handelt es sich für gewöhnlich um ein Zertifikat, das sich direkt unter dem Stammzertifikat befindet, da durch die Überprüfung nicht oberhalb der vorhandenen Signatur überprüft wird, indem er in den Onlinemodus wechselt oder nach lokalen Stammspeichern sucht.

    RootCertificate

    Derzeit nicht unterstützt.

    WHQL

    Derzeit nicht unterstützt.

    WHQLPublisher

    Derzeit nicht unterstützt.

    WHQLFilePublisher

    Derzeit nicht unterstützt.

     

  4. Geben Sie zum Konvertieren der Richtlinie für die Codeintegrität zu einem Binärformat Folgendes ein:

    ConvertFrom-CIPolicy $InitialCIPolicy $CIPolicyBin

Nach dem Abschließen dieser Schritte stehen die Device Guard-Richtlinienbinärdatei („DeviceGuardPolicy.bin“) und die ursprüngliche XML-Datei („InitialScan.xml“) auf Ihrem Desktop zur Verfügung.

Hinweis  Sie sollten eine Kopie der Datei „InitialScan.xml“ für die Verwendung vornehmen, wenn Sie diese Richtlinie für die Codeintegrität mit einer anderen Richtlinie zusammenführen oder Richtlinienregeloptionen aktualisieren müssen.

 

Verwandte Themen

Abrufen von Apps zum Ausführen auf von mit Device Guard geschützten Geräten