Erstellen einer neuen Basisrichtlinie mit dem Assistenten
Hinweis
Einige Funktionen von Windows Defender Anwendungssteuerung sind nur in bestimmten Windows-Versionen verfügbar. Erfahren Sie mehr über die Verfügbarkeit der Windows Defender Anwendungssteuerungsfeature.
Beim Erstellen von Richtlinien für die Verwendung mit Windows Defender Anwendungssteuerung (WDAC) wird empfohlen, mit einer Vorlagenrichtlinie zu beginnen und dann Regeln hinzuzufügen oder zu entfernen, die ihrem Anwendungssteuerungsszenario entsprechen. Aus diesem Grund bietet der WDAC-Assistent drei Vorlagenrichtlinien zum Starten und Anpassen während des Grundlegenden Workflows für die Richtlinienerstellung. Auf erforderliche Informationen zur Anwendungssteuerung kann über das WDAC-Entwurfshandbuch zugegriffen werden. Auf dieser Seite werden die Schritte zum Erstellen einer neuen Anwendungssteuerungsrichtlinie aus einer Vorlage, zum Konfigurieren der Richtlinienoptionen sowie der Signaturgeber- und Dateiregeln beschrieben.
Vorlagenbasisrichtlinien
Jede der Vorlagenrichtlinien verfügt über einen eindeutigen Satz von Richtlinien-Positivlistenregeln, die sich auf den Vertrauenskreis und das Sicherheitsmodell der Richtlinie auswirken. In der folgenden Tabelle sind die Richtlinien in zunehmender Reihenfolge von Vertrauen und Freiheit aufgeführt. Für instance vertraut die Standardrichtlinie im Windows-Modus weniger Anwendungsverleger und Signaturgeber als die Richtlinie signierter und seriöser Modus. Die Windows-Standardrichtlinie hat einen kleineren Vertrauenskreis mit besserer Sicherheit als die Richtlinie Signiert und Seriös, aber auf Kosten der Kompatibilität.
| Basisrichtlinie für Vorlagen | Beschreibung |
|---|---|
| Standard-Windows-Modus | Der Standard-Windows-Modus autorisiert die folgenden Komponenten:
|
| Microsoft-Modus zulassen | Der Zulassungsmodus autorisiert die folgenden Komponenten:
|
| Signierter und seriöser Modus | Der signierte und der seriöse Modus autorisiert die folgenden Komponenten:
|
Kursiv dargestellter Inhalt kennzeichnet die Änderungen in der aktuellen Richtlinie in Bezug auf die vorherige Richtlinie.
Weitere Informationen zu den Richtlinien "Standard windows Mode" und "Microsoft Mode zulassen" finden Sie im Artikel Beispiel Windows Defender Basisrichtlinien der Anwendungssteuerung.
Nachdem die Basisvorlage ausgewählt wurde, geben Sie der Richtlinie einen Namen, und wählen Sie aus, wo die Anwendungssteuerungsrichtlinie auf dem Datenträger gespeichert werden soll.
Konfigurieren von Richtlinienregeln
Beim Seitenstart werden Richtlinienregeln abhängig von der ausgewählten Vorlage auf der vorherigen Seite automatisch aktiviert/deaktiviert. Aktivieren oder deaktivieren Sie die gewünschten Richtlinienregeloptionen, indem Sie den Schieberegler neben den Titeln der Richtlinienregel drücken. Eine kurze Beschreibung jeder Regel wird am unteren Rand der Seite angezeigt, wenn der Mauszeiger über den Regeltitel zeigt.
Beschreibung von Richtlinienregeln
Die folgende Tabelle enthält eine Beschreibung der einzelnen Richtlinienregeln, beginnend mit der Spalte ganz links. Der Artikel Richtlinienregeln enthält eine ausführliche beschreibung der einzelnen Richtlinienregeln.
| Regeloption | Beschreibung |
|---|---|
| Menü "Erweiterte Startoptionen" | Das Preboot-Menü F8 ist standardmäßig für alle Windows Defender Anwendungssteuerungsrichtlinien deaktiviert. Durch das Festlegen dieser Regeloption kann das F8-Menü physisch anwesenden Benutzern angezeigt werden. |
| Zusätzliche Richtlinien zulassen | Verwenden Sie diese Option für eine Basisrichtlinie, um es ergänzenden Richtlinien zu ermöglichen, sie zu erweitern. |
| Deaktivieren der Skripterzwingung | Diese Option deaktiviert Skripterzwingungsoptionen. Nicht signierte PowerShell-Skripts und interaktive PowerShell sind nicht mehr auf den eingeschränkten Sprachmodusbeschränkt. HINWEIS: Diese Option ist zum Ausführen von HTA-Dateien erforderlich und wird nur mit dem Windows 10 May 2019 Update (1903) und höher unterstützt. Die Verwendung in früheren Versionen von Windows 10 wird nicht unterstützt und kann zu unbeabsichtigten Ergebnissen führen. |
| Hypervisorgeschützte Codeintegrität (HVCI) | Wenn diese Option aktiviert ist, verwendet die Richtlinienerzwingung virtualisierungsbasierte Sicherheit, um den Codeintegritätsdienst in einer sicheren Umgebung auszuführen. HVCI bietet stärkeren Schutz vor Kernel-Schadsoftware. |
| Intelligent Security Graph Authorization | Verwenden Sie diese Option, um Anwendungen mit einem "bekannten guten" Ruf gemäß Der Definition von Microsoft Intelligent Security Graph (ISG) automatisch zuzulassen. |
| Verwaltetes Installationsprogramm | Verwenden Sie diese Option, um Anwendungen automatisch zuzulassen, die von einer Softwareverteilungslösung wie Microsoft Configuration Manager installiert werden, die als verwaltetes Installationsprogramm definiert wurde. |
| WHQL erforderlich | Standardmäßig dürfen Legacy-Treiber ausgeführt werden, die nicht durch Windows Hardware Quality Labs (WHQL) signiert wurden. Durch das Aktivieren dieser Regel muss jeder ausgeführte Treiber eine WHQL-Signatur aufweisen. Zudem wird dadurch die Legacytreiberunterstützung entfernt. Fortan muss jeder neue Windows-kompatible Treiber WHQL-zertifiziert sein. |
| Aktualisieren der Richtlinie ohne Neustart | Verwenden Sie diese Option, um zukünftige Windows Defender Anwendungssteuerungsrichtlinien zuzulassen, ohne dass ein Systemneustart erforderlich ist. |
| Nicht signierte Systemintegritätsrichtlinie | Ermöglicht der Richtlinie, nicht signiert zu bleiben. Wenn diese Option entfernt wird, muss die Richtlinie signiert werden. Zudem muss der Richtlinie „UpdatePolicySigners“ hinzugefügt werden, um künftige Richtlinienänderungen zu erlauben. |
| Codeintegrität im Benutzermodus | Windows Defender Anwendungssteuerungsrichtlinien schränken sowohl Kernelmodus- als auch Benutzermodusbinärdateien ein. Standardmäßig sind nur die Binärdateien des Kernelmodus eingeschränkt. Durch das Aktivieren dieser Regeloption, werden die ausführbaren Dateien und Skripts des Benutzermodus überprüft. |
Beschreibung für erweiterte Richtlinienregeln
Wenn Sie die Bezeichnung + Erweiterte Optionen auswählen, wird eine weitere Spalte mit Richtlinienregeln, erweiterte Richtlinienregeln, angezeigt. Die folgende Tabelle enthält eine Beschreibung der einzelnen erweiterten Richtlinienregeln.
| Regeloption | Beschreibung |
|---|---|
| Startüberwachung bei Fehler | Wird verwendet, wenn sich die WDAC-Richtlinie (Windows Defender Application Control) im Erzwingungsmodus befindet. Wenn ein Treiber während des Startvorgangs fehlschlägt, wird die WDAC-Richtlinie in den Überwachungsmodus versetzt, sodass Windows geladen wird. Administratoren können die Fehlerursache im Ereignisprotokoll „CodeIntegrity“ überprüfen. |
| Deaktivieren der Flight-Signatur | Wenn diese Option aktiviert ist, blockieren WDAC-Richtlinien flightroot-signierte Binärdateien. Diese Option wird in dem Szenario verwendet, in dem Organisationen nur veröffentlichte Binärdateien ausführen möchten, nicht flight/preview-signierte Builds. |
| Deaktivieren des Laufzeitdateipfad-Regelschutzes | Diese Option deaktiviert die standardmäßige Laufzeitüberprüfung, die nur FilePath-Regeln für Pfade zulässt, die nur von einem Administrator geschrieben werden können. |
| Dynamische Codesicherheit | Ermöglicht die Richtlinienerzwingung für .NET-Anwendungen und dynamisch geladene Bibliotheken (DLLs). |
| EAs beim Neustart für ungültig erklären | Wenn die Option Intelligent Security Graph (14) verwendet wird, legt WDAC ein erweitertes Dateiattribut fest, das angibt, dass die Ausführung der Datei autorisiert wurde. Diese Option bewirkt, dass WDAC den Ruf von Dateien, die von der ISG autorisiert wurden, in regelmäßigen Abständen erneut überprüft. |
| Ev-Signierer erforderlich | Diese Option wird derzeit nicht unterstützt. |
Hinweis
Es wird empfohlen, den Überwachungsmodus zunächst zu aktivieren, da Sie damit neue Windows Defender Anwendungssteuerungsrichtlinien testen können, bevor Sie sie erzwingen. Im Überwachungsmodus wird keine Anwendung blockiert, stattdessen protokolliert die Richtlinie ein Ereignis, wenn eine Anwendung außerhalb der Richtlinie gestartet wird. Aus diesem Grund ist für alle Vorlagen standardmäßig der Überwachungsmodus aktiviert.
Erstellen benutzerdefinierter Dateiregeln
Dateiregeln in einer Anwendungssteuerungsrichtlinie geben die Ebene an, auf der Anwendungen identifiziert und vertrauenswürdig sind. Dateiregeln sind der Standard Mechanismus zum Definieren der Vertrauensstellung in der Anwendungssteuerungsrichtlinie. Wenn Sie + Benutzerdefinierte Regeln auswählen, wird der Bereich mit den Bedingungen für benutzerdefinierte Dateiregel geöffnet, um benutzerdefinierte Dateiregeln für Ihre Richtlinie zu erstellen. Der Assistent unterstützt vier Arten von Dateiregeln:
Herausgeberregeln
Der Dateiregeltyp Verleger verwendet Eigenschaften in der Codesignaturzertifikatkette für Basisdateiregeln. Sobald die Datei ausgewählt ist, auf der die Regel basieren soll, die als Verweisdatei bezeichnet wird, verwenden Sie den Schieberegler, um die Spezifität der Regel anzugeben. Die folgende Tabelle zeigt die Beziehung zwischen der Platzierung des Schiebereglers, der entsprechenden Windows Defender WDAC-Regelebene (Application Control) und ihrer Beschreibung. Je niedriger die Platzierung in der Tabelle und dem UI-Schieberegler ist, desto größer ist die Spezifität der Regel.
| Regelbedingung | WDAC-Regelebene | Beschreibung |
|---|---|---|
| Ausstellende Zertifizierungsstelle | PCACertificate | Das höchste verfügbare Zertifikat wird den Signierern hinzugefügt. Dieses Zertifikat ist in der Regel das PCA-Zertifikat, das eine Ebene unterhalb des Stammzertifikats liegt. Alle von diesem Zertifikat signierten Dateien sind betroffen. |
| Herausgeber | Herausgeber | Diese Regel ist eine Kombination aus der PCACertificate-Regel und dem allgemeinen Namen (Common Name, CN) des Blattzertifikats. Jede Datei, die von einer großen Zertifizierungsstelle signiert wurde, aber mit einem Blatt von einem bestimmten Unternehmen, z. B. einem Gerätetreiberunternehmen, ist betroffen. |
| Dateiversion | SignedVersion | Diese Regel ist eine Kombination aus PCACertificate, Publisher und einer Versionsnummer. Alle Elemente des angegebenen Herausgebers mit einer Version, die mindestens der angegebenen Version entspricht, sind betroffen. |
| Dateiname | FilePublisher | Am spezifischsten. Kombination aus Dateiname, Herausgeber und PCA-Zertifikat und einer Mindestversionsnummer. Dateien vom Herausgeber mit dem angegebenen Namen und größer oder gleich der angegebenen Version sind betroffen. |
Dateipfadregeln
Filepath-Regeln bieten nicht die gleichen Sicherheitsgarantien wie explizite Signaturgeberregeln, da sie auf änderbaren Zugriffsberechtigungen basieren. Um eine Dateipfadregel zu erstellen, wählen Sie die Datei mithilfe der Schaltfläche Durchsuchen aus.
Dateiattributesregeln
Der Assistent unterstützt die Erstellung von Dateinamenregeln basierend auf authentifizierten Dateiattributen. Dateinamenregeln sind nützlich, wenn eine Anwendung und ihre Abhängigkeiten (z. B. DLLs) für instance denselben Produktnamen verwenden können. Mit dieser Regelebene können Benutzer auf einfache Weise zielorientierte Richtlinien basierend auf dem Parameter "Produktnamedateiname" erstellen. Um das Dateiattribute auszuwählen, um die Regel zu erstellen, verschieben Sie den Schieberegler im Assistenten auf das gewünschte Attribut. In der folgenden Tabelle werden die einzelnen unterstützten Dateiattribute beschrieben, aus denen eine Regel erstellt werden soll.
| Regelebene | Beschreibung |
|---|---|
| Ursprünglicher Dateiname | Gibt den ursprünglichen Dateinamen der Binärdatei oder den Namen an, mit dem die Datei zuerst erstellt wurde. |
| Dateibeschreibung | Gibt die vom Entwickler der Binärdatei bereitgestellte Dateibeschreibung an. |
| Produktname | Gibt den Namen des Produkts an, mit dem die Binärdatei ausgeliefert wird. |
| Interner Name | Gibt den internen Namen der Binärdatei an. |
Dateihashregeln
Schließlich unterstützt der Assistent das Erstellen von Dateiregeln mithilfe des Dateihashs. Obwohl diese Ebene spezifisch ist, kann sie zusätzlichen Verwaltungsaufwand verursachen, um die Hashwerte der aktuellen Produktversion beizubehalten. Nach jedem Aktualisieren einer Binärdatei wird der Hashwert geändert, wodurch eine Richtlinienaktualisierung erforderlich wird. Standardmäßig verwendet der Assistent dateihash als Fallback für den Fall, dass eine Dateiregel nicht mit der angegebenen Dateiregelebene erstellt werden kann.
Signaturregeln werden gelöscht.
Die Listentabelle für Richtliniensignaturregeln links auf der Seite dokumentiert die Zulassungs- und Ablehnungsregeln in der Vorlage sowie alle benutzerdefinierten Regeln, die Sie erstellen. Vorlagensignaturregeln und benutzerdefinierte Regeln können aus der Richtlinie gelöscht werden, indem Sie die Regel aus der Regellistentabelle auswählen. Sobald die Regel hervorgehoben ist, drücken Sie die Schaltfläche Löschen unterhalb der Tabelle. Anschließend werden Sie aufgefordert, eine weitere Bestätigung einzugeben. Wählen Sie aus Yes , um die Regel aus der Richtlinie und der Regeltabelle zu entfernen.
Weiter oben
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für