Verwenden von Überwachungsereignissen zum Erstellen von WDAC-Richtlinienregeln

• Gilt für::

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Hinweis

Einige Funktionen von Windows Defender Application Control (WDAC) sind nur für bestimmte Windows-Versionen verfügbar. Erfahren Sie mehr über die Verfügbarkeit des Anwendungssteuerungsfeatures.

Wenn Sie die Anwendungssteuerung im Überwachungsmodus ausführen, können Sie Anwendungen, Binärdateien und Skripts ermitteln, die in Ihrer WDAC-Richtlinie fehlen, aber enthalten sein sollten.

Während eine WDAC-Richtlinie im Überwachungsmodus ausgeführt wird, wird jede Binärdatei, die ausgeführt wird, aber verweigert wurde, im Ereignisprotokoll Anwendungs- und Dienstprotokolle\Microsoft\Windows\CodeIntegrity\Operational protokolliert. Skript und MSI werden im Ereignisprotokoll "Anwendungs- und Dienstprotokolle\Microsoft\Windows\AppLocker\MSI" protokolliert . Diese Ereignisse können verwendet werden, um eine neue WDAC-Richtlinie zu generieren, die mit der ursprünglichen Basisrichtlinie zusammengeführt oder als separate ergänzende Richtlinie bereitgestellt werden kann, sofern dies zulässig ist.

Übersicht über den Prozess zum Erstellen einer WDAC-Richtlinie zum Zulassen von Apps mit Überwachungsereignissen

Hinweis

Sie müssen bereits eine WDAC-Überwachungsmodusrichtlinie bereitgestellt haben, um diesen Prozess verwenden zu können. Wenn Sie dies noch nicht getan haben, finden Sie weitere Informationen unter Bereitstellen Windows Defender Anwendungssteuerungsrichtlinien.

Führen Sie die folgenden Schritte auf einem Gerät mit einer WDAC-Überwachungsmodusrichtlinie aus, um sich mit dem Erstellen von WDAC-Regeln aus Überwachungsereignissen vertraut zu machen.

1. Installieren und ausführen Sie eine Anwendung, die von der WDAC-Richtlinie nicht zulässig ist, die Sie jedoch zulassen möchten.

2. Überprüfen Sie die Ereignisprotokolle CodeIntegrity – Operational und AppLocker – MSI und Script , um zu bestätigen, dass Ereignisse wie in Abbildung 1 im Zusammenhang mit der Anwendung generiert werden. Informationen zu den Ereignistypen, die angezeigt werden sollten, finden Sie unter Grundlegendes zu Anwendungssteuerungsereignissen.

   Abbildung 1. Ausnahmen für die bereitgestellte WDAC-Richtlinie

3. Führen Sie in einer PowerShell-Sitzung mit erhöhten Rechten die folgenden Befehle aus, um von dieser Prozedur verwendete Variablen zu initialisieren. Dieses Verfahren baut auf der Lamna_FullyManagedClients_Audit.xml Richtlinie auf, die unter Erstellen einer WDAC-Richtlinie für vollständig verwaltete Geräte eingeführt wurde, und erzeugt eine neue Richtlinie namensEventsPolicy.xml.

   $PolicyName= "Lamna_FullyManagedClients_Audit"
   $LamnaPolicy=$env:userprofile+"\Desktop\"+$PolicyName+".xml"
   $EventsPolicy=$env:userprofile+"\Desktop\EventsPolicy.xml"
   $EventsPolicyWarnings=$env:userprofile+"\Desktop\EventsPolicyWarnings.txt"
   

4. Verwenden Sie New-CIPolicy, um eine neue WDAC-Richtlinie anhand der protokollierten Überwachungsereignisse zu generieren: In diesem Beispiel werden eine FilePublisher-Dateiregelebene und eine Hashfallbackebene verwendet. Warnmeldungen werden an eine Textdatei EventsPolicyWarnings.txtumgeleitet.

   New-CIPolicy -FilePath $EventsPolicy -Audit -Level FilePublisher -Fallback SignedVersion,FilePublisher,Hash -UserPEs -MultiplePolicyFormat 3> $EventsPolicyWarnings
   

   Hinweis

   Wenn Sie Richtlinien anhand von Überwachungsereignissen erstellen, sollten Sie sorgfältig abwägen, welcher Dateiregelebene Sie vertrauen möchten. Im vorherigen Beispiel wird die FilePublisher-Regelebene mit der Fallbackebene Hash verwendet, die spezifischer sein kann als gewünscht. Sie können den obigen Befehl mit verschiedenen Optionen -Level und -Fallback erneut ausführen, um Ihre Anforderungen zu erfüllen. Weitere Informationen zu WDAC-Regelebenen finden Sie unter Grundlegendes zu WDAC-Richtlinienregeln und Dateiregeln.

5. Suchen und überprüfen Sie die WDAC-Richtliniendatei EventsPolicy.xml , die auf Ihrem Desktop gefunden werden sollten. Stellen Sie sicher, dass sie nur Datei- und Signaturregeln für Anwendungen, Binärdateien und Skripts enthält, die Sie zulassen möchten. Sie können Regeln entfernen, indem Sie die Richtlinien-XML manuell bearbeiten oder den WDAC-Richtlinien-Assistenten verwenden (siehe Bearbeiten vorhandener Basis- und ergänzender WDAC-Richtlinien mit dem Assistenten).

6. Suchen und überprüfen Sie die Textdatei EventsPolicyWarnings.txt , die auf Ihrem Desktop gefunden werden sollte. Diese Datei enthält eine Warnung für alle Dateien, für die WDAC keine Regel auf der angegebenen Regel- oder Fallbackregelebene erstellen konnte.

   Hinweis

   New-CIPolicy erstellt nur Regeln für Dateien, die noch auf dem Datenträger zu finden sind. Für Dateien, die nicht mehr auf dem System vorhanden sind, wird keine Regel erstellt, um sie zuzulassen. Das Ereignisprotokoll sollte jedoch über ausreichende Informationen verfügen, um diese Dateien durch manuelles Bearbeiten der Richtlinien-XML zum Hinzufügen von Regeln zu ermöglichen. Sie können eine vorhandene Regel als Vorlage verwenden und Ihre Ergebnisse anhand der WDAC-Richtlinienschemadefinition unter %windir%\schemas\CodeIntegrity\cipolicy.xsd überprüfen.

7. Führen Sie EventsPolicy.xml mit der Basisrichtlinie zusammen,Lamna_FullyManagedClients_Audit.xml oder konvertieren Sie sie in eine ergänzende Richtlinie.

   Informationen zum Zusammenführen von Richtlinien finden Sie unter Zusammenführen Windows Defender Anwendungssteuerungsrichtlinien und Informationen zu ergänzenden Richtlinien finden Sie unter Verwenden mehrerer Windows Defender Anwendungssteuerungsrichtlinien.

8. Konvertieren Sie die Basis- oder Ergänzende Richtlinie in binär, und stellen Sie sie mit Ihrer bevorzugten Methode bereit.