Erstellen einer Richtlinie für die Device Guard-Codeintegrität auf Grundlage eines Referenzgeräts
Zum Implementieren des Device Guard-App-Schutzes müssen Sie eine Richtlinie für die Codeintegrität erstellen. Anhand von Richtlinien für die Codeintegrität wird ermittelt, welche Apps als vertrauenswürdig angesehen werden und auf einem geschützten Gerät ausgeführt werden dürfen.
Erstellen einer Richtlinie für die Device Guard-Codeintegrität auf Grundlage eines Referenzgeräts
Zum Erstellen einer Richtlinie für die Codeintegrität müssen Sie zunächst ein Referenzimage erstellen, das signierte Anwendungen enthält, die Sie auf Ihren geschützten Geräten ausführen möchten. Informationen über das Signieren von Anwendungen finden Sie unter Abrufen von Apps zum Ausführen auf von mit Device Guard geschützten Geräten.
Hinweis Stellen Sie vor dem Erstellen einer Richtlinie für die Codeintegrität sicher, dass Ihr Referenzgerät frei von Viren und Schadsoftware ist.
So erstellen Sie eine Richtlinie für die Codeintegrität auf Grundlage eines Referenzgeräts
Starten Sie auf dem Referenzgerät die Windows PowerShell als Administrator.
Initialisieren Sie in der PowerShell Variablen, indem Sie Folgendes eingeben:
$CIPolicyPath=$env:userprofile+"\Desktop\" $InitialCIPolicy=$CIPolicyPath+"InitialScan.xml" $CIPolicyBin=$CIPolicyPath+"DeviceGuardPolicy.bin"
Durchsuchen Sie Ihr Gerät nach installierten Anwendungen, und erstellen Sie anhand der folgenden Eingabe eine neue Richtlinie für die Codeintegrität:
New-CIPolicy -Level <RuleLevel> -FilePath $InitialCIPolicy -UserPEs -Fallback Hash 3> Warningslog.txt
<RuleLevel> kann hierbei auf eine der folgenden Optionen festgelegt werden:
Regelebene Beschreibung Hash
Gibt die einzelnen Hashwerte für jede ermittelte App an. Der Hashwert ändert sich bei jeder Aktualisierung der App, und Sie müssen die Richtlinie aktualisieren.
FileName
Derzeit nicht unterstützt.
SignedVersion
Derzeit nicht unterstützt.
Publisher
Bei dieser Ebene handelt es sich um eine Kombination des PCA-Zertifikats und des allgemeinen Namens (Common Name, CN) des untergeordneten Zertifikats. Wenn ein PCA-Zertifikat zum Signieren von Apps aus mehreren Unternehmen (wie VeriSign) verwendet wird, ermöglicht Ihnen diese Regelebene, dem PCA-Zertifikat zu vertrauen, jedoch nur für das Unternehmen, dessen Name auf dem untergeordneten Zertifikat vorhanden ist.
FilePublisher
Derzeit nicht unterstützt.
LeafCertificate
Fügt vertrauenswürdige Signaturgeber auf der einzelnen Signaturzertifikatsebene hinzu. Beim Aktualisieren einer App wird der Hashwert geändert, das Signaturzertifikat bleibt jedoch unverändert. Sie müssen nur die Richtlinie aktualisieren, wenn sich das Signaturzertifikat für eine App ändert.
Hinweis Untergeordnete Zertifikate weisen eine wesentlich kürzere Gültigkeitsdauer als PCA-Zertifikate auf. Sie müssen die Richtlinie aktualisieren, wenn ein Zertifikat abläuft.PcaCertificate
Fügt den Signaturgebern das höchste Zertifikat in der angegebenen Zertifikatskette hinzu. Hierbei handelt es sich für gewöhnlich um ein Zertifikat, das sich direkt unter dem Stammzertifikat befindet, da durch die Überprüfung nicht oberhalb der vorhandenen Signatur überprüft wird, indem er in den Onlinemodus wechselt oder nach lokalen Stammspeichern sucht.
RootCertificate
Derzeit nicht unterstützt.
WHQL
Derzeit nicht unterstützt.
WHQLPublisher
Derzeit nicht unterstützt.
WHQLFilePublisher
Derzeit nicht unterstützt.
Geben Sie zum Konvertieren der Richtlinie für die Codeintegrität zu einem Binärformat Folgendes ein:
ConvertFrom-CIPolicy $InitialCIPolicy $CIPolicyBin
Nach dem Abschließen dieser Schritte stehen die Device Guard-Richtlinienbinärdatei („DeviceGuardPolicy.bin“) und die ursprüngliche XML-Datei („InitialScan.xml“) auf Ihrem Desktop zur Verfügung.
Hinweis Sie sollten eine Kopie der Datei „InitialScan.xml“ für die Verwendung vornehmen, wenn Sie diese Richtlinie für die Codeintegrität mit einer anderen Richtlinie zusammenführen oder Richtlinienregeloptionen aktualisieren müssen.
Verwandte Themen
Abrufen von Apps zum Ausführen auf von mit Device Guard geschützten Geräten