Freigeben über


Erstellen einer neuen Basisrichtlinie mit dem Assistenten

Hinweis

Einige Funktionen von App Control for Business sind nur für bestimmte Windows-Versionen verfügbar. Erfahren Sie mehr über die Verfügbarkeit von App Control-Features.

Beim Erstellen von Richtlinien für die Verwendung mit App Control for Business wird empfohlen, mit einer Vorlagenrichtlinie zu beginnen und dann Regeln hinzuzufügen oder zu entfernen, die ihrem App Control-Szenario entsprechen. Aus diesem Grund bietet der App-Steuerelement-Assistent drei Vorlagenrichtlinien zum Starten und Anpassen während des Workflows zur Erstellung der Basisrichtlinie. Auf erforderliche Informationen zur App-Steuerung kann über das App-Steuerelement-Entwurfshandbuch zugegriffen werden. Auf dieser Seite werden die Schritte zum Erstellen einer neuen App-Steuerungsrichtlinie aus einer Vorlage, zum Konfigurieren der Richtlinienoptionen sowie der Signaturgeber- und Dateiregeln beschrieben.

Vorlagenbasisrichtlinien

Jede der Vorlagenrichtlinien verfügt über einen eindeutigen Satz von Richtlinien-Positivlistenregeln, die sich auf den Vertrauenskreis und das Sicherheitsmodell der Richtlinie auswirken. In der folgenden Tabelle sind die Richtlinien in zunehmender Reihenfolge von Vertrauen und Freiheit aufgeführt. Für instance vertraut die Standardrichtlinie im Windows-Modus weniger Anwendungsverleger und Signaturgeber als die Richtlinie signierter und seriöser Modus. Die Windows-Standardrichtlinie hat einen kleineren Vertrauenskreis mit besserer Sicherheit als die Richtlinie Signiert und Seriös, aber auf Kosten der Kompatibilität.

Basisrichtlinie für Vorlagen Beschreibung
Standard-Windows-Modus Der Standard-Windows-Modus autorisiert die folgenden Komponenten:
Microsoft-Modus zulassen Der Zulassungsmodus autorisiert die folgenden Komponenten:
  • Windows-Betriebskomponenten – jede Binärdatei, die von einer neu installierten Windows-Installation installiert wird
  • Aus dem Microsoft Store installierte Apps
  • Microsoft Office365-Apps, OneDrive und Microsoft Teams
  • Hardwarekompatible Treiber von Drittanbietern für Windows
  • Alle von Microsoft signierten Software
Signierter und seriöser Modus Der signierte und der seriöse Modus autorisiert die folgenden Komponenten:

Kursiv dargestellter Inhalt kennzeichnet die Änderungen in der aktuellen Richtlinie in Bezug auf die vorherige Richtlinie.

Weitere Informationen zu den Richtlinien Standard windows mode und Allow Microsoft Mode (Microsoft-Modus zulassen) finden Sie im Artikel Beispiel-App-Steuerung für Business-Basisrichtlinien.

Auswählen einer Basisvorlage für die Richtlinie.

Nachdem die Basisvorlage ausgewählt wurde, geben Sie der Richtlinie einen Namen, und wählen Sie aus, wo die App Control-Richtlinie auf dem Datenträger gespeichert werden soll.

Konfigurieren von Richtlinienregeln

Beim Seitenstart werden Richtlinienregeln abhängig von der ausgewählten Vorlage auf der vorherigen Seite automatisch aktiviert/deaktiviert. Aktivieren oder deaktivieren Sie die gewünschten Richtlinienregeloptionen, indem Sie den Schieberegler neben den Titeln der Richtlinienregel drücken. Eine kurze Beschreibung jeder Regel wird am unteren Rand der Seite angezeigt, wenn der Mauszeiger über den Regeltitel zeigt.

Beschreibung von Richtlinienregeln

Die folgende Tabelle enthält eine Beschreibung der einzelnen Richtlinienregeln, beginnend mit der Spalte ganz links. Der Artikel Richtlinienregeln enthält eine ausführliche beschreibung der einzelnen Richtlinienregeln.

Regeloption Beschreibung
Menü "Erweiterte Startoptionen" Das Preboot-Menü F8 ist standardmäßig für alle App Control for Business-Richtlinien deaktiviert. Durch das Festlegen dieser Regeloption kann das F8-Menü physisch anwesenden Benutzern angezeigt werden.
Zusätzliche Richtlinien zulassen Verwenden Sie diese Option für eine Basisrichtlinie, um es ergänzenden Richtlinien zu ermöglichen, sie zu erweitern.
Deaktivieren der Skripterzwingung Diese Option deaktiviert Skripterzwingungsoptionen. Nicht signierte PowerShell-Skripts und interaktive PowerShell sind nicht mehr auf den eingeschränkten Sprachmodusbeschränkt. HINWEIS: Diese Option ist zum Ausführen von HTA-Dateien erforderlich und wird nur mit dem Windows 10 May 2019 Update (1903) und höher unterstützt. Die Verwendung in früheren Versionen von Windows 10 wird nicht unterstützt und kann zu unbeabsichtigten Ergebnissen führen.
Hypervisorgeschützte Codeintegrität (HVCI) Wenn diese Option aktiviert ist, verwendet die Richtlinienerzwingung virtualisierungsbasierte Sicherheit, um den Codeintegritätsdienst in einer sicheren Umgebung auszuführen. HVCI bietet stärkeren Schutz vor Kernel-Schadsoftware.
Intelligent Security Graph Authorization Verwenden Sie diese Option, um Anwendungen mit einem "bekannten guten" Ruf gemäß Der Definition von Microsoft Intelligent Security Graph (ISG) automatisch zuzulassen.
Verwaltetes Installationsprogramm Verwenden Sie diese Option, um Anwendungen automatisch zuzulassen, die von einer Softwareverteilungslösung wie Microsoft Configuration Manager installiert werden, die als verwaltetes Installationsprogramm definiert wurde.
WHQL erforderlich Standardmäßig dürfen Legacy-Treiber ausgeführt werden, die nicht durch Windows Hardware Quality Labs (WHQL) signiert wurden. Durch das Aktivieren dieser Regel muss jeder ausgeführte Treiber eine WHQL-Signatur aufweisen. Zudem wird dadurch die Legacytreiberunterstützung entfernt. Fortan muss jeder neue Windows-kompatible Treiber WHQL-zertifiziert sein.
Aktualisieren der Richtlinie ohne Neustart Verwenden Sie diese Option, um zukünftige App Control for Business-Richtlinienupdates zuzulassen, ohne dass ein Systemneustart erforderlich ist.
Nicht signierte Systemintegritätsrichtlinie Ermöglicht der Richtlinie, nicht signiert zu bleiben. Wenn diese Option entfernt wird, muss die Richtlinie signiert werden. Zudem muss der Richtlinie „UpdatePolicySigners“ hinzugefügt werden, um künftige Richtlinienänderungen zu erlauben.
Codeintegrität im Benutzermodus App Control for Business-Richtlinien schränken sowohl Kernelmodus- als auch Benutzermodusbinärdateien ein. Standardmäßig sind nur die Binärdateien des Kernelmodus eingeschränkt. Durch das Aktivieren dieser Regeloption, werden die ausführbaren Dateien und Skripts des Benutzermodus überprüft.

Benutzeroberfläche für Regeloptionen für die Windows-Richtlinie im zulässigen Modus.

Beschreibung für erweiterte Richtlinienregeln

Wenn Sie die Bezeichnung + Erweiterte Optionen auswählen, wird eine weitere Spalte mit Richtlinienregeln, erweiterte Richtlinienregeln, angezeigt. Die folgende Tabelle enthält eine Beschreibung der einzelnen erweiterten Richtlinienregeln.

Regeloption Beschreibung
Startüberwachung bei Fehler Wird verwendet, wenn sich die App Control for Business-Richtlinie im Erzwingungsmodus befindet. Wenn ein Treiber während des Startvorgangs fehlschlägt, wird die App-Steuerungsrichtlinie in den Überwachungsmodus versetzt, sodass Windows geladen wird. Administratoren können die Fehlerursache im Ereignisprotokoll „CodeIntegrity“ überprüfen.
Deaktivieren der Flight-Signatur Wenn diese Option aktiviert ist, blockieren App-Steuerungsrichtlinien flightroot-signierte Binärdateien. Diese Option wird in dem Szenario verwendet, in dem Organisationen nur veröffentlichte Binärdateien ausführen möchten, nicht flight/preview-signierte Builds.
Deaktivieren des Laufzeitdateipfad-Regelschutzes Diese Option deaktiviert die standardmäßige Laufzeitüberprüfung, die nur FilePath-Regeln für Pfade zulässt, die nur von einem Administrator geschrieben werden können.
Dynamische Codesicherheit Ermöglicht die Richtlinienerzwingung für .NET-Anwendungen und dynamisch geladene Bibliotheken (DLLs).
EAs beim Neustart für ungültig erklären Wenn die Option Intelligent Security Graph (14) verwendet wird, legt App Control ein erweitertes Dateisattribut fest, das angibt, dass die Datei zur Ausführung autorisiert wurde. Diese Option bewirkt, dass App Control den Ruf für Dateien, die von der ISG autorisiert wurden, in regelmäßigen Abständen erneut überprüft.
Ev-Signierer erforderlich Diese Option wird derzeit nicht unterstützt.

Benutzeroberfläche für Regeloptionen für den Zulässigen Windows-Modus.

Hinweis

Es wird empfohlen, den Überwachungsmodus zunächst zu aktivieren, da Sie damit neue App Control for Business-Richtlinien testen können, bevor Sie sie erzwingen. Im Überwachungsmodus wird keine Anwendung blockiert, stattdessen protokolliert die Richtlinie ein Ereignis, wenn eine Anwendung außerhalb der Richtlinie gestartet wird. Aus diesem Grund ist für alle Vorlagen standardmäßig der Überwachungsmodus aktiviert.

Erstellen benutzerdefinierter Dateiregeln

Dateiregeln in einer App Control-Richtlinie geben die Ebene an, auf der Anwendungen identifiziert und vertrauenswürdig sind. Dateiregeln sind der Standard Mechanismus zum Definieren der Vertrauensstellung in der App-Steuerungsrichtlinie. Wenn Sie + Benutzerdefinierte Regeln auswählen, wird der Bereich mit den Bedingungen für benutzerdefinierte Dateiregel geöffnet, um benutzerdefinierte Dateiregeln für Ihre Richtlinie zu erstellen. Der Assistent unterstützt vier Arten von Dateiregeln:

Herausgeberregeln

Der Dateiregeltyp Verleger verwendet Eigenschaften in der Codesignaturzertifikatkette für Basisdateiregeln. Sobald die Datei ausgewählt ist, auf der die Regel basieren soll, die als Verweisdatei bezeichnet wird, verwenden Sie den Schieberegler, um die Spezifität der Regel anzugeben. Die folgende Tabelle zeigt die Beziehung zwischen der Platzierung des Schiebereglers, der entsprechenden App Control for Business-Regelebene und der zugehörigen Beschreibung. Je niedriger die Platzierung in der Tabelle und dem UI-Schieberegler ist, desto größer ist die Spezifität der Regel.

Regelbedingung App-Steuerungsregelebene Beschreibung
Ausstellende Zertifizierungsstelle PCACertificate Das höchste verfügbare Zertifikat wird den Signierern hinzugefügt. Dieses Zertifikat ist in der Regel das PCA-Zertifikat, das eine Ebene unterhalb des Stammzertifikats liegt. Alle von diesem Zertifikat signierten Dateien sind betroffen.
Herausgeber Herausgeber Diese Regel ist eine Kombination aus der PCACertificate-Regel und dem allgemeinen Namen (Common Name, CN) des Blattzertifikats. Jede Datei, die von einer großen Zertifizierungsstelle signiert wurde, aber mit einem Blatt von einem bestimmten Unternehmen, z. B. einem Gerätetreiberunternehmen, ist betroffen.
Dateiversion SignedVersion Diese Regel ist eine Kombination aus PCACertificate, Publisher und einer Versionsnummer. Alle Elemente des angegebenen Herausgebers mit einer Version, die mindestens der angegebenen Version entspricht, sind betroffen.
Dateiname FilePublisher Am spezifischsten. Kombination aus Dateiname, Herausgeber und PCA-Zertifikat und einer Mindestversionsnummer. Dateien vom Herausgeber mit dem angegebenen Namen und größer oder gleich der angegebenen Version sind betroffen.

Erstellen einer benutzerdefinierten Dateipublisher-Dateiregel.

Dateipfadregeln

Filepath-Regeln bieten nicht die gleichen Sicherheitsgarantien wie explizite Signaturgeberregeln, da sie auf änderbaren Zugriffsberechtigungen basieren. Um eine Dateipfadregel zu erstellen, wählen Sie die Datei mithilfe der Schaltfläche Durchsuchen aus.

Dateiattributesregeln

Der Assistent unterstützt die Erstellung von Dateinamenregeln basierend auf authentifizierten Dateiattributen. Dateinamenregeln sind nützlich, wenn eine Anwendung und ihre Abhängigkeiten (z. B. DLLs) für instance denselben Produktnamen verwenden können. Mit dieser Regelebene können Benutzer auf einfache Weise zielorientierte Richtlinien basierend auf dem Parameter "Produktnamedateiname" erstellen. Um das Dateiattribute auszuwählen, um die Regel zu erstellen, verschieben Sie den Schieberegler im Assistenten auf das gewünschte Attribut. In der folgenden Tabelle werden die einzelnen unterstützten Dateiattribute beschrieben, aus denen eine Regel erstellt werden soll.

Regelebene Beschreibung
Ursprünglicher Dateiname Gibt den ursprünglichen Dateinamen der Binärdatei oder den Namen an, mit dem die Datei zuerst erstellt wurde.
Dateibeschreibung Gibt die vom Entwickler der Binärdatei bereitgestellte Dateibeschreibung an.
Produktname Gibt den Namen des Produkts an, mit dem die Binärdatei ausgeliefert wird.
Interner Name Gibt den internen Namen der Binärdatei an.

Regel für benutzerdefinierte Dateiattribute.

Dateihashregeln

Schließlich unterstützt der Assistent das Erstellen von Dateiregeln mithilfe des Dateihashs. Obwohl diese Ebene spezifisch ist, kann sie zusätzlichen Verwaltungsaufwand verursachen, um die Hashwerte der aktuellen Produktversion beizubehalten. Nach jedem Aktualisieren einer Binärdatei wird der Hashwert geändert, wodurch eine Richtlinienaktualisierung erforderlich wird. Standardmäßig verwendet der Assistent dateihash als Fallback für den Fall, dass eine Dateiregel nicht mit der angegebenen Dateiregelebene erstellt werden kann.

Signaturregeln werden gelöscht.

Die Listentabelle für Richtliniensignaturregeln links auf der Seite dokumentiert die Zulassungs- und Ablehnungsregeln in der Vorlage sowie alle benutzerdefinierten Regeln, die Sie erstellen. Vorlagensignaturregeln und benutzerdefinierte Regeln können aus der Richtlinie gelöscht werden, indem Sie die Regel aus der Regellistentabelle auswählen. Sobald die Regel hervorgehoben ist, drücken Sie die Schaltfläche Löschen unterhalb der Tabelle. Anschließend werden Sie aufgefordert, eine weitere Bestätigung einzugeben. Wählen Sie aus Yes , um die Regel aus der Richtlinie und der Regeltabelle zu entfernen.

Weiter oben