Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Hinweis
Einige Funktionen von App Control for Business sind nur für bestimmte Windows-Versionen verfügbar. Erfahren Sie mehr über die Verfügbarkeit von App Control-Features.
Microsoft hat strenge Anforderungen an Code, der im Kernel ausgeführt wird. Daher nutzen böswillige Akteure Sicherheitsrisiken in legitimen und signierten Kerneltreibern, um Schadsoftware im Kernel auszuführen. Eine der vielen Stärken der Windows-Plattform ist unsere starke Zusammenarbeit mit unabhängigen Hardwareanbietern (IHVs) und OEMs. Microsoft arbeitet eng mit unserer IHVs- und Sicherheitscommunity zusammen, um ein höchstmaßes Maß an Treibersicherheit für unsere Kunden zu gewährleisten. Wenn Sicherheitsrisiken in Treibern gefunden werden, arbeiten wir mit unseren Partnern zusammen, um sicherzustellen, dass sie schnell gepatcht und im Ökosystem eingeführt werden. Die Sperrliste für anfällige Treiber wurde entwickelt, um Systeme gegen nicht von Microsoft entwickelte Treiber im gesamten Windows-Ökosystem mit einem der folgenden Attribute zu härten:
- Bekannte Sicherheitsrisiken, die von Angreifern ausgenutzt werden können, um Berechtigungen im Windows-Kernel zu erhöhen
- Schädliches Verhalten (Schadsoftware) oder Zertifikate, die zum Signieren von Schadsoftware verwendet werden
- Verhaltensweisen, die nicht bösartig sind, aber das Windows-Sicherheit-Modell umgehen und von Angreifern ausgenutzt werden können, um Berechtigungen im Windows-Kernel zu erhöhen
Treiber können auf der Seite Microsoft Security Intelligence Treiberübermittlung zur Sicherheitsanalyse an Microsoft übermittelt werden. Weitere Informationen zur Treiberübermittlung finden Sie unter Verbessern der Kernelsicherheit mit dem neuen Microsoft Vulnerable and Malicious Driver Reporting Center. Um ein Problem zu melden oder eine Änderung an der Sperrliste anzufordern, einschließlich der Aktualisierung einer Blockregel, sobald ein Treiber behoben wurde, besuchen Sie das Microsoft Security Intelligence-Portal.
Hinweis
Blockierende Treiber können zu Fehlfunktionen von Geräten oder Software führen und in seltenen Fällen zu bluescreen führen. Es ist nicht garantiert, dass die Sperrliste für anfällige Treiber jeden Treiber blockiert, bei dem Sicherheitsrisiken vorhanden sind. Microsoft versucht, die Sicherheitsrisiken durch anfällige Treiber mit den potenziellen Auswirkungen auf Kompatibilität und Zuverlässigkeit auszugleichen, um die Sperrliste zu erstellen. Wie immer empfiehlt Microsoft, nach Möglichkeit einen expliziten Ansatz für die Zulassungsliste für die Sicherheit zu verwenden.
Sperrliste für anfällige Microsoft-Treiber
Mit Windows 11 Update 2022 ist die Sperrliste für anfällige Treiber standardmäßig für alle Geräte aktiviert und kann über die Windows-Sicherheit-App aktiviert oder deaktiviert werden. Mit Ausnahme von Windows Server 2016 wird die anfällige Treiberblockliste auch erzwungen, wenn entweder die Speicherintegrität (auch als Hypervisor-geschützte Codeintegrität oder HVCI bezeichnet), die Intelligente App-Steuerung oder der S-Modus aktiv ist. Benutzer können sich mit der Windows-Sicherheit-App für HVCI anmelden, und HVCI ist für die meisten neuen Windows 11 Geräte standardmäßig aktiviert.
Hinweis
Windows-Sicherheit wird separat vom Betriebssystem aktualisiert und sofort ausgeliefert. Die Version mit dem Sperrlistenschalter für anfällige Treiber befindet sich im letzten Validierungsring und wird sehr bald an alle Kunden ausgeliefert. Zunächst können Sie nur den Konfigurationsstatus anzeigen, und der Umschalter wird abgeblendet angezeigt. Die Möglichkeit, den Umschalter ein- oder auszuschalten, wird mit einem zukünftigen Windows-Update einhergehen.
Für Windows-Insider ist die Option zum Aktivieren oder Deaktivieren der anfälligen Treibersperrliste von Microsoft mithilfe Windows-Sicherheit Einstellungen abgeblendet, wenn HVCI, Smart App Control oder S Modus aktiviert ist. Sie müssen HVCI oder Smart App Control deaktivieren oder das Gerät aus dem S Modus wechseln und das Gerät neu starten, bevor Sie die Sperrliste für anfällige Microsoft-Treiber deaktivieren können.
Die Sperrliste wird mit jeder neuen Hauptversion von Windows aktualisiert, in der Regel 1-2 Mal pro Jahr. Die aktuelle Sperrliste ist jetzt auch für Windows 10 20H2- und Windows 11 21H2-Benutzer als optionales Update von Windows Update verfügbar. Microsoft veröffentlicht gelegentlich zukünftige Updates im Rahmen der regelmäßigen Windows-Wartung.
Kunden, die immer die aktuellste Treiberblockierungsliste benötigen, können auch App Control for Business verwenden, um die neueste empfohlene Treiberblockierungsliste anzuwenden. Für Ihre Bequemlichkeit bieten wir einen Download der aktuellsten anfälligen Treiberblockliste zusammen mit Anweisungen zur Anwendung auf Ihrem Computer am Ende dieses Artikels.
Blockieren anfälliger Treiber mithilfe der App-Steuerung
Microsoft empfiehlt, den HVCI - oder S-Modus zu aktivieren, um Ihre Geräte vor Sicherheitsbedrohungen zu schützen. Wenn diese Einstellung nicht möglich ist, empfiehlt Microsoft, diese Liste der Treiber in Ihrer vorhandenen App Control for Business-Richtlinie zu blockieren. Das Blockieren von Kerneltreibern ohne ausreichende Tests kann zu Fehlfunktionen von Geräten oder Software und in seltenen Fällen zu Bluescreens führen. Es wird empfohlen, diese Richtlinie zuerst im Überwachungsmodus zu überprüfen und die Überwachungsblockereignisse zu überprüfen.
Wichtig
Microsoft empfiehlt auch, die Regel zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR) zu aktivieren : Blockieren des Missbrauchs von exploited vulnerablen signierten Treibern , um zu verhindern, dass eine Anwendung einen anfälligen signierten Treiber auf den Datenträger schreibt. Die ASR-Regel verhindert nicht, dass ein Treiber, der bereits auf dem System vorhanden ist, geladen wird. Durch die Aktivierung der Sperrliste für anfällige Microsoft-Treiber oder das Anwenden dieser App-Steuerungsrichtlinie wird jedoch verhindert, dass der vorhandene Treiber geladen wird.
Schritte zum Herunterladen und Anwenden der binärdatei für die anfällige Treiberblockliste
Wenn Sie die Sperrliste für anfällige Treiber anwenden möchten, führen Sie die folgenden Schritte aus:
- Herunterladen des Tools zum Aktualisieren der App-Steuerungsrichtlinie
- Herunterladen und Extrahieren der binärdateien für anfällige Treiberblocklisten
- Wählen Sie entweder die reine Überwachungsversion oder die erzwungene Version aus, und benennen Sie die Datei in SiPolicy.p7b um.
- Kopieren Sie SiPolicy.p7b in %windir%\system32\CodeIntegrity.
- Führen Sie das App Control-Richtlinienaktualisierungstool aus, das Sie oben in Schritt 1 heruntergeladen haben, um alle App Control-Richtlinien auf Ihrem Computer zu aktivieren und zu aktualisieren.
So überprüfen Sie, ob die Richtlinie erfolgreich auf Ihren Computer angewendet wurde:
- Öffnen Sie die Ereignisanzeige
- Navigieren zu Anwendungs- und Dienstprotokollen – Microsoft – Windows – CodeIntegrity – Betriebsbereit
- Wählen Sie Aktuelles Protokoll filtern... aus.
- Ersetzen Sie "<Alle Ereignis-IDs>" durch "3099", und wählen Sie OK aus.
- Suchen Sie nach einem 3099-Ereignis, bei dem policyNameBuffer und PolicyIdBuffer mit den Einstellungen für Name und Id PolicyInfo übereinstimmen, die unten in der Blockliste app Control Policy XML in diesem Artikel zu finden sind. HINWEIS: Ihr Computer kann mehrere 3099-Ereignisse aufweisen, wenn auch andere App-Steuerungsrichtlinien vorhanden sind.
Hinweis
Wenn bereits anfällige Treiber ausgeführt werden, die durch die Richtlinie blockiert würden, müssen Sie Ihren Computer neu starten, damit diese Treiber blockiert werden. Ausgeführte Prozesse werden nicht heruntergefahren, wenn eine neue App Control-Richtlinie ohne Neustart aktiviert wird.
Anfällige Treiberblockierungslisten-XML
Die empfohlene XML-Richtliniendatei für die Blockliste kann aus dem Microsoft Download Center heruntergeladen werden.
Diese Richtlinie enthält Alle Zulassen-Regeln . Wenn Ihre Version von Windows mehrere Richtlinien für die App-Steuerung unterstützt, empfiehlt es sich, diese Richtlinie zusammen mit vorhandenen App-Steuerungsrichtlinien bereitzustellen. Wenn Sie diese Richtlinie mit einer anderen Richtlinie zusammenführen möchten, müssen Sie möglicherweise die Regeln Alle zulassen entfernen, bevor Sie sie zusammenführen, wenn die andere Richtlinie eine explizite Zulassungsliste anwendet. Weitere Informationen finden Sie unter Erstellen einer App-Steuerelementverweigerungsrichtlinie.
Hinweis
Um diese Richtlinie mit Windows Server 2016 verwenden zu können, müssen Sie die Richtlinien-XML auf einem Gerät konvertieren, auf dem ein neueres Betriebssystem ausgeführt wird.