Erstellen einer WDAC-Richtlinie für kaum verwaltete Geräte

Hinweis

Einige Funktionen von Windows Defender Anwendungssteuerung sind nur in bestimmten Windows-Versionen verfügbar. Erfahren Sie mehr über die Verfügbarkeit der Windows Defender Anwendungssteuerungsfeature.

In diesem Abschnitt wird der Prozess zum Erstellen einer WDAC-Richtlinie (Windows Defender Application Control) für leicht verwaltete Geräte innerhalb eines organization beschrieben. In der Regel sind Organisationen, die noch nicht mit der Anwendungssteuerung vertraut sind, am erfolgreichsten, wenn sie mit einer unzulässigen Richtlinie beginnen, wie sie in diesem Artikel beschrieben wird. Organisationen können die Richtlinie im Laufe der Zeit härten, um einen stärkeren Gesamtsicherheitsstatus auf ihren von WDAC verwalteten Geräten zu erreichen, wie in späteren Artikeln beschrieben.

Hinweis

Einige der in diesem Thema beschriebenen Windows Defender-Anwendungssteuerungsoptionen sind nur ab Windows 10 Version 1903 oder Windows 11 verfügbar. Wenn Sie dieses Thema verwenden, um Ihre eigenen WDAC-Richtlinien für organization zu planen, überlegen Sie, ob Ihre verwalteten Clients alle oder einige dieser Features verwenden können, und bewerten Sie die Auswirkungen auf Features, die auf Ihren Clients möglicherweise nicht verfügbar sind. Möglicherweise müssen Sie diese Anleitung an die Anforderungen Ihrer spezifischen organization anpassen.

Wie in Windows Defender Anwendungssteuerungsbereitstellung in verschiedenen Szenarien: Gerätetypen, verwenden wir das Beispiel von Lamna Healthcare Company (Lamna), um dieses Szenario zu veranschaulichen. Lamna versucht, strengere Anwendungsrichtlinien einzuführen, einschließlich der Anwendungskontrolle, um zu verhindern, dass unerwünschte oder nicht autorisierte Anwendungen auf ihren verwalteten Geräten ausgeführt werden.

Alice Pena ist die IT-Teamleiterin, die mit dem Rollout von WDAC beauftragt ist. Lamna verfügt derzeit über lockere Anwendungsnutzungsrichtlinien und eine Kultur der maximalen App-Flexibilität für Benutzer. Alice weiß also, dass sie einen inkrementellen Ansatz für die Anwendungssteuerung verwenden und unterschiedliche Richtlinien für verschiedene Workloads verwenden muss.

Für die meisten Benutzer und Geräte möchte Alice eine anfängliche Richtlinie erstellen, die so gelockert wie möglich ist, um die Auswirkungen auf die Benutzerproduktivität zu minimieren und gleichzeitig einen Sicherheitswert zu bieten.

Definieren des "Vertrauenskreises" für leicht verwaltete Geräte

Alice identifiziert die folgenden Schlüsselfaktoren, um den "Vertrauenskreis" für die leicht verwalteten Lamna-Geräte zu erreichen, die derzeit die meisten Endbenutzergeräte umfassen:

  • Alle Clients werden Windows 10 Version 1903 und höher oder Windows 11 ausgeführt.
  • Alle Clients werden von Configuration Manager oder mit Intune verwaltet.
  • Einige, aber nicht alle Apps werden mithilfe von Configuration Manager bereitgestellt.
  • Die meisten Benutzer sind lokale Administratoren auf ihren Geräten;
  • Einige Teams benötigen möglicherweise mehr Regeln, um bestimmte Apps zu autorisieren, die im Allgemeinen nicht für alle anderen Benutzer gelten.

Basierend auf dem oben genannten definiert Alice die Pseudoregeln für die Richtlinie:

  1. "Windows works" -Regeln, die Folgendes autorisieren:

    • Windows
    • WHQL (Kerneltreiber von Drittanbietern)
    • Signierte Windows Store-Apps
  2. "ConfigMgr works" -Regeln, die Folgendes umfassen:

    • Signierer- und Hashregeln für Configuration Manager Komponenten ordnungsgemäß funktionieren.
    • Zulassen der Regel für verwaltetes Installationsprogramm, Configuration Manager als verwaltetes Installationsprogramm zu autorisieren.
  3. Zulassen von Intelligent Security Graph (ISG) (reputationsbasierte Autorisierung)

  4. Signierte Apps mit einem Zertifikat, das von einer Zertifizierungsstelle des vertrauenswürdigen Windows-Stammprogramms ausgestellt wurde

  5. Admin pfadbasierten Regeln für die folgenden Speicherorte:

    • C:\Programme*
    • C:\Programme (x86)*
    • %windir%*

Erstellen einer benutzerdefinierten Basisrichtlinie mithilfe einer WDAC-Basisrichtlinie

Nachdem sie den "Vertrauenskreis" definiert hat, ist Alice bereit, die anfängliche Richtlinie für die leicht verwalteten Lamna-Geräte zu generieren. Alice beschließt, das Beispiel SmartAppControl.xml zu verwenden, um die anfängliche Basisrichtlinie zu erstellen und sie dann an die Anforderungen von Lamna anzupassen.

Alice führt die folgenden Schritte aus, um diese Aufgabe auszuführen:

  1. Führen Sie auf einem Clientgerät die folgenden Befehle in einer Sitzung mit erhöhten Windows PowerShell aus, um Variablen zu initialisieren:

    Hinweis

    Wenn Sie lieber ein anderes Beispiel Windows Defender Basisrichtlinie der Anwendungssteuerung verwenden möchten, ersetzen Sie in diesem Schritt den Beispielrichtlinienpfad durch Ihre bevorzugte Basisrichtlinie.

    $PolicyPath = $env:userprofile+"\Desktop\"
    $PolicyName= "Lamna_LightlyManagedClients_Audit"
    $LamnaPolicy=Join-Path $PolicyPath "$PolicyName.xml"
    $ExamplePolicy=$env:windir+"\schemas\CodeIntegrity\ExamplePolicies\SmartAppControl.xml"
    
  2. Kopieren Sie die Beispielrichtlinie auf den Desktop:

    Copy-Item $ExamplePolicy $LamnaPolicy
    
  3. Ändern Sie die Richtlinie, um nicht unterstützte Regel zu entfernen:

    Hinweis

    SmartAppControl.xmlist in Windows 11 Version 22H2 und höher verfügbar. Diese Richtlinie enthält die Regel "Enabled:Conditional Windows Lockdown Policy", die für WDAC-Unternehmensrichtlinien nicht unterstützt wird und entfernt werden muss. Weitere Informationen finden Sie unter WDAC und Intelligentes App-Steuerelement. Wenn Sie eine andere Beispielrichtlinie als SmartAppControl.xmlverwenden, überspringen Sie diesen Schritt.

    [xml]$xml = Get-Content $LamnaPolicy
    $ns = New-Object System.Xml.XmlNamespaceManager($xml.NameTable)
    $ns.AddNamespace("ns", $xml.DocumentElement.NamespaceURI)
    $node = $xml.SelectSingleNode("//ns:Rules/ns:Rule[ns:Option[.='Enabled:Conditional Windows Lockdown Policy']]", $ns)
    $node.ParentNode.RemoveChild($node)
    $xml.Save($LamnaPolicy)
    
  4. Geben Sie der neuen Richtlinie eine eindeutige ID, einen beschreibenden Namen und eine anfängliche Versionsnummer:

    Set-CIPolicyIdInfo -FilePath $LamnaPolicy -PolicyName $PolicyName -ResetPolicyID
    Set-CIPolicyVersion -FilePath $LamnaPolicy -Version "1.0.0.0"
    
  5. Verwenden Sie Configuration Manager, um eine Überwachungsrichtlinie auf dem Clientgerät zu erstellen und bereitzustellen, auf dem Windows 10 Version 1903 und höher oder Windows 11 ausgeführt wird. Führen Sie die Configuration Manager-Richtlinie mit der Beispielrichtlinie zusammen.

    Hinweis

    Wenn Sie Configuration Manager nicht verwenden, überspringen Sie diesen Schritt.

    $ConfigMgrPolicy=$env:windir+"\CCM\DeviceGuard\MergedPolicy_Audit_ISG.xml"
    Merge-CIPolicy -OutputFilePath $LamnaPolicy -PolicyPaths $LamnaPolicy,$ConfigMgrPolicy
    Set-RuleOption -FilePath $LamnaPolicy -Option 13 # Managed Installer
    
  6. Ändern Sie die Richtlinie, um zusätzliche Richtlinienregeln festzulegen:

    Set-RuleOption -FilePath $LamnaPolicy -Option 3  # Audit Mode
    Set-RuleOption -FilePath $LamnaPolicy -Option 12 # Enforce Store Apps
    Set-RuleOption -FilePath $LamnaPolicy -Option 19 # Dynamic Code Security
    
  7. Fügen Sie Regeln hinzu, um die Verzeichnisse Windows und Programme zuzulassen:

    $PathRules += New-CIPolicyRule -FilePathRule "%windir%\*"
    $PathRules += New-CIPolicyRule -FilePathRule "%OSDrive%\Program Files\*"
    $PathRules += New-CIPolicyRule -FilePathRule "%OSDrive%\Program Files (x86)\*"
    Merge-CIPolicy -OutputFilePath $LamnaPolicy -PolicyPaths $LamnaPolicy -Rules $PathRules
    
  8. Fügen Sie ggf. weitere Signaturgeber- oder Dateiregeln hinzu, um die Richtlinie für Ihre organization weiter anzupassen.

  9. Verwenden Sie ConvertFrom-CIPolicy, um die Windows Defender Anwendungssteuerungsrichtlinie in ein Binärformat zu konvertieren:

    [xml]$PolicyXML = Get-Content $LamnaPolicy
    $LamnaPolicyBin = Join-Path $PolicyPath "$($PolicyXML.SiPolicy.PolicyID).cip"
    ConvertFrom-CIPolicy $LamnaPolicy $LamnaPolicyBin
    
  10. Laden Sie Ihre Basisrichtlinien-XML und die zugehörige Binärdatei in eine Quellcodeverwaltungslösung wie GitHub oder eine Dokumentverwaltungslösung wie Office 365 SharePoint hoch.

An diesem Punkt verfügt Alice nun über eine anfängliche Richtlinie, die im Überwachungsmodus für die verwalteten Clients in Lamna bereitgestellt werden kann.

Sicherheitsüberlegungen dieser leicht verwalteten Richtlinie

Um die Auswirkungen auf die Benutzerproduktivität zu minimieren, hat Alice eine Richtlinie definiert, die mehrere Kompromisse zwischen Sicherheit und Flexibilität der Benutzer-App einnimmt. Einige der Kompromisse sind:

  • Benutzer mit Administratorzugriff

    Dieser Kompromiss ist der wirkungsvollste Sicherheitskonflikt. Es ermöglicht dem Gerätebenutzer oder schadsoftware, die mit den Berechtigungen des Benutzers ausgeführt wird, die WDAC-Richtlinie auf dem Gerät zu ändern oder zu entfernen. Darüber hinaus können Administratoren jede App so konfigurieren, dass sie als verwaltetes Installationsprogramm fungiert, sodass sie eine dauerhafte App-Autorisierung für beliebige Apps oder Binärdateien erhalten können.

    Mögliche Entschärfungen:

    • Verwenden Sie signierte WDAC-Richtlinien und den UEFI-BIOS-Zugriffsschutz, um manipulationen von WDAC-Richtlinien zu verhindern.
    • Um die Anforderung für ein verwaltetes Installationsprogramm zu entfernen, erstellen und stellen Sie signierte Katalogdateien im Rahmen des App-Bereitstellungsprozesses bereit.
    • Verwenden Sie den Gerätenachweis, um den Konfigurationsstatus von WDAC zum Startzeitpunkt zu erkennen und diese Informationen zu verwenden, um den Zugriff auf vertrauliche Unternehmensressourcen zu ermöglichen.
  • Richtlinien ohne Vorzeichen

    Nicht signierte Richtlinien können ersetzt oder entfernt werden, ohne dass ein Prozess als Administrator ausgeführt wird. Basisrichtlinien ohne Vorzeichen, die auch zusätzliche Richtlinien aktivieren, können ihren "Vertrauenskreis" durch jede zusätzliche Richtlinie ohne Vorzeichen ändern lassen.

    Mögliche Entschärfungen:

    • Verwenden Sie signierte WDAC-Richtlinien und den UEFI-BIOS-Zugriffsschutz, um manipulationen von WDAC-Richtlinien zu verhindern.
    • Schränken Sie ein, wer auf dem Gerät die Rechte auf den Administrator erhöhen kann.
  • Verwaltetes Installationsprogramm

    Weitere Informationen finden Sie unter Sicherheitsüberlegungen mit verwaltetem Installationsprogramm.

    Mögliche Entschärfungen:

    • Um die Anforderung für ein verwaltetes Installationsprogramm zu entfernen, erstellen und stellen Sie signierte Katalogdateien im Rahmen des App-Bereitstellungsprozesses bereit.
    • Schränken Sie ein, wer auf dem Gerät die Rechte auf den Administrator erhöhen kann.
  • Intelligent Security Graph (ISG)

    Weitere Informationen finden Sie unter Sicherheitsüberlegungen mit dem Intelligenten Sicherheitsgraphen.

    Mögliche Entschärfungen:

    • Implementieren Sie Richtlinien, die erfordern, dass Apps von der IT verwaltet werden. Überwachen Sie die vorhandene App-Nutzung, und stellen Sie autorisierte Apps mithilfe einer Softwareverteilungslösung wie Microsoft Intune bereit. Wechseln sie von ISG zu verwalteten Installern oder signaturbasierten Regeln.
    • Verwenden Sie eine richtlinie für den restriktiven Überwachungsmodus, um die App-Nutzung zu überwachen und die Erkennung von Sicherheitsrisiken zu verbessern.
  • Ergänzende Richtlinien

    Ergänzende Richtlinien sollen die zugehörige Basisrichtlinie lockern. Durch das Zulassen von nicht signierten Richtlinien kann jeder Administratorprozess den von der Basisrichtlinie definierten "Vertrauenskreis" uneingeschränkt erweitern.

    Mögliche Entschärfungen:

    • Verwenden Sie signierte WDAC-Richtlinien, die nur autorisierte signierte ergänzende Richtlinien zulassen.
    • Verwenden Sie eine richtlinie für den restriktiven Überwachungsmodus, um die App-Nutzung zu überwachen und die Erkennung von Sicherheitsrisiken zu verbessern.
  • FilePath-Regeln

    Weitere Informationen zu Dateipfadregeln

    Mögliche Entschärfungen:

    • Schränken Sie ein, wer auf dem Gerät die Rechte auf den Administrator erhöhen kann.
    • Migrieren von Dateipfadregeln zu verwalteten Installern oder signaturbasierten Regeln.
  • Signierte Dateien

    Dateien, die codesigniert sind, überprüfen zwar die Identität des Autors und stellen sicher, dass der Code von keinem anderen Benutzer als dem Autor geändert wurde, aber es garantiert nicht, dass der signierte Code sicher ist.

    Mögliche Entschärfungen:

    • Verwenden Sie eine seriöse Antischadsoftware oder Antivirensoftware mit Echtzeitschutz, z. B. Microsoft Defender, um Ihre Geräte vor schädlichen Dateien, Adware und anderen Bedrohungen zu schützen.

Weiter oben