Automatisches Zulassen von Apps, die von einem verwalteten Installationsprogramm mit Windows Defender Application Control bereitgestellt werden

• Gilt für::

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Hinweis

Einige Funktionen von Windows Defender Anwendungssteuerung sind nur in bestimmten Windows-Versionen verfügbar. Erfahren Sie mehr über die Verfügbarkeit der Windows Defender Anwendungssteuerungsfeature.

Windows Defender Anwendungssteuerung (WDAC) enthält eine Option namens verwaltetes Installationsprogramm, die beim Erzwingen von Anwendungssteuerungsrichtlinien ein Gleichgewicht zwischen Sicherheit und Verwaltbarkeit bietet. Mit dieser Option können Sie Anwendungen, die von einer bestimmten Softwareverteilungslösung wie Microsoft Configuration Manager (MEMCM) oder Microsoft Intune installiert werden, automatisch zulassen.

Wie funktionieren verwaltete Installationsprogramme?

Das verwaltete Installationsprogramm verwendet eine spezielle Regelsammlung in AppLocker, um Binärdateien festzulegen, die von Ihrem organization als autorisierte Quelle für die Anwendungsinstallation vertrauenswürdig sind. Wenn eines dieser vertrauenswürdigen Binärdateien ausgeführt wird, überwacht Windows den Prozess der Binärdatei (und alle untergeordneten Prozesse, die er startet) und überwacht, ob Dateien auf den Datenträger geschrieben werden. Wenn Dateien geschrieben werden, werden sie als aus einem verwalteten Installationsprogramm stammend gekennzeichnet.

Anschließend können Sie WDAC so konfigurieren, dass Dateien, die von einem verwalteten Installationsprogramm installiert werden, vertrauenswürdig sind, indem Sie Ihrer WDAC-Richtlinie die Option "Enabled:Managed Installer" hinzufügen. Wenn diese Option festgelegt ist, sucht WDAC nach Informationen zum Ursprung des verwalteten Installationsprogramms, wenn bestimmt wird, ob eine Binärdatei ausgeführt werden kann. Solange es keine Ablehnungsregeln für die Binärdatei gibt, lässt WDAC die Ausführung ausschließlich basierend auf dem Ursprung des verwalteten Installationsprogramms zu.

Sicherheitsaspekte im Zusammenhang mit verwalteten Installationsprogrammen

Da das verwaltete Installationsprogramm ein heuristisch-basierter Mechanismus ist, bietet es nicht die gleichen Sicherheitsgarantien wie explizite Zulassungs- oder Ablehnungsregeln. Verwaltetes Installationsprogramm eignet sich am besten dort, wo Benutzer als Standardbenutzer arbeiten und die gesamte Software von einer Softwareverteilungslösung wie MEMCM bereitgestellt und installiert wird.

Benutzer mit Administratorrechten oder Schadsoftware, die als Administratorbenutzer auf dem System ausgeführt wird, können möglicherweise die Absicht Ihrer WDAC-Richtlinien umgehen, wenn die Option für das verwaltete Installationsprogramm zulässig ist.

Wenn ein verwalteter Installationsprogrammprozess im Kontext eines Benutzers mit Standardberechtigungen ausgeführt wird, ist es möglich, dass Standardbenutzer oder Schadsoftware, die als Standardbenutzer ausgeführt wird, die Absicht Ihrer WDAC-Richtlinien umgehen können.

Einige Anwendungsinstallationsprogramme führen die Anwendung am Ende des Installationsvorgangs möglicherweise automatisch aus. Wenn die Anwendung automatisch ausgeführt wird und das Installationsprogramm von einem verwalteten Installationsprogramm ausgeführt wurde, erstreckt sich die heuristische Nachverfolgung und Autorisierung des verwalteten Installationsprogramms auf alle Dateien, die während der ersten Ausführung der Anwendung erstellt wurden. Diese Erweiterung kann zu einer unbeabsichtigten Autorisierung einer ausführbaren Datei führen. Um dies zu vermeiden, stellen Sie sicher, dass die Methode der Anwendungsbereitstellung, die als verwaltetes Installationsprogramm verwendet wird, die Ausführung von Anwendungen im Rahmen der Installation einschränkt.

Bekannte Einschränkungen im Zusammenhang mit verwalteten Installationsprogrammen

• Die Anwendungssteuerung, die auf einem verwalteten Installationsprogramm basiert, unterstützt keine Anwendungen, die sich selbst aktualisieren. Wenn eine Anwendung, die von einem verwalteten Installationsprogramm bereitgestellt wurde, später selbst aktualisiert wird, enthalten die aktualisierten Anwendungsdateien nicht die Ursprungsinformationen aus dem verwalteten Installationsprogramm und können möglicherweise nicht ausgeführt werden. Wenn Sie auf verwaltete Installationsprogramme angewiesen sind, müssen Sie alle Anwendungsupdates mithilfe eines verwalteten Installationsprogramms bereitstellen und installieren oder Regeln zum Autorisieren der App in die WDAC-Richtlinie einschließen. In einigen Fällen kann es auch möglich sein, eine Anwendungsbinärdatei zu bestimmen, die Selbstupdates als verwaltetes Installationsprogramm ausführt. Überprüfen Sie Funktionsumfang und Sicherheit der Anwendung, bevor Sie diese Methode einsetzen.

• Einige Anwendungen oder Installationsprogramme können Binärdateien extrahieren, herunterladen oder generieren und sofort versuchen, sie auszuführen. Dateien, die von einem solchen Prozess ausgeführt werden, sind von der heuristischen Heuristik des verwalteten Installationsprogramms möglicherweise nicht zulässig. In manchen Fällen können Sie Anwendungen, die diese Vorgänge ausführen, ebenfalls als verwaltetes Installationsprogramm festlegen. Überprüfen Sie Funktionsumfang und Sicherheit der Anwendung, bevor Sie diese Methode einsetzen.

• Die Heuristik des verwalteten Installationsprogramms autorisiert keine Kerneltreiber. Die WDAC-Richtlinie benötigt Regeln, mit denen die erforderlichen Treiber ausgeführt werden können.

Konfigurieren der Nachverfolgung des verwalteten Installationsprogramms mit AppLocker und WDAC

Um die Nachverfolgung des verwalteten Installationsprogramms zu aktivieren, müssen Sie:

• Erstellen und bereitstellen Sie eine AppLocker-Richtlinie, die Ihre verwalteten Installationsprogrammregeln definiert und die Erzwingung von Diensten für ausführbare Dateien und DLLs ermöglicht.
• Aktivieren Sie die Anwendungsidentitäts- und AppLockerFltr-Dienste von AppLocker.

Hinweis

Die folgende AppLocker-Richtlinie für verwaltete Installationsprogramme ist so konzipiert, dass sie sicher mit allen bereits vorhandenen AppLocker-Richtlinien zusammengeführt wird und das Verhalten dieser Richtlinien nicht ändert. Wenn sie jedoch auf ein Gerät angewendet wird, auf dem derzeit keine AppLocker-Richtlinie vorhanden ist, wird im Ereignisprotokoll AppLocker – EXE und DLL eine große Zunahme von Warnungsereignissen angezeigt. Wenn Sie einen Ereignisweiterleitungs- und -sammlungsdienst wie LogAnalytics verwenden, sollten Sie die Konfiguration für dieses Ereignisprotokoll anpassen, um nur Fehlerereignisse zu erfassen oder die Erfassung von Ereignissen aus diesem Protokoll vollständig zu beenden.

Hinweis

MEMCM konfiguriert sich automatisch als verwaltetes Installationsprogramm und aktiviert die erforderlichen AppLocker-Komponenten, wenn Sie eine der darin enthaltenen WDAC-Richtlinien bereitstellen. Wenn Sie MEMCM mit einer anderen Methode als verwaltetes Installationsprogramm konfigurieren, ist ein zusätzliches Setup erforderlich. Verwenden Sie den ManagedInstaller-Befehlszeilenschalter in Ihrem ccmsetup.exe-Setup. Alternativ können Sie eine der MEMCM-Richtlinien für den Überwachungsmodus für den Posteingang zusammen mit Ihrer benutzerdefinierten Richtlinie bereitstellen.

Erstellen und Bereitstellen einer AppLocker-Richtlinie, die Ihre verwalteten Installationsprogrammregeln definiert und die Erzwingung von Diensten für ausführbare Dateien und DLLs ermöglicht

Die Benutzeroberfläche zum Erstellen von AppLocker-Richtlinien im Gruppenrichtlinienobjekt Editor und die AppLocker PowerShell-Cmdlets können nicht direkt zum Erstellen von Regeln für die Regelsammlung des verwalteten Installers verwendet werden. Sie können jedoch einen XML- oder Text-Editor verwenden, um eine EXE-Regelsammlungsrichtlinie in eine ManagedInstaller-Regelsammlung zu konvertieren.

Hinweis

Nur EXE-Dateitypen können als verwaltete Installationsprogramme festgelegt werden.

1. Verwenden Sie New-AppLockerPolicy, um eine EXE-Regel für die Datei zu erstellen, die Sie als verwaltetes Installationsprogramm festlegen. In diesem Beispiel wird eine Regel für die Intune-Verwaltungserweiterung von Microsoft mithilfe des Verlegerregeltyps erstellt, aber jeder AppLocker-Regeltyp kann verwendet werden. Möglicherweise müssen Sie die Ausgabe aus Gründen der Lesbarkeit neu formatieren.

   Get-ChildItem ${env:ProgramFiles(x86)}'\Microsoft Intune Management Extension\Microsoft.Management.Services.IntuneWindowsAgent.exe' | Get-AppLockerFileInformation | New-AppLockerPolicy -RuleType Publisher -User Everyone -Xml > AppLocker_MI_PS_ISE.xml
   

2. Ändern Sie den Regelsammlungstyp manuell von "Exe" in "ManagedInstaller", und legen Sie EnforcementMode auf "AuditOnly" fest.

   Veränderung:

   <RuleCollection Type="Exe" EnforcementMode="NotConfigured">
   

   An:

   <RuleCollection Type="ManagedInstaller" EnforcementMode="AuditOnly">
   

3. Bearbeiten Sie Ihre AppLocker-Richtlinie manuell, und fügen Sie die EXE- und DLL-Regelsammlungen mit jeweils mindestens einer Regel hinzu. Um sicherzustellen, dass Ihre Richtlinie sicher auf Systeme angewendet werden kann, die möglicherweise bereits über eine aktive AppLocker-Richtlinie verfügen, empfehlen wir die Verwendung einer gutartigen DENY-Regel, um eine gefälschte Binärdatei zu blockieren und enforcementMode der Regelsammlung auf AuditOnly festzulegen. Da viele Installationsprozesse von Diensten abhängig sind, müssen Sie außerdem die Dienstnachverfolgung für jede dieser Regelsammlungen aktivieren. Das folgende Beispiel zeigt eine partielle AppLocker-Richtlinie mit der EXE- und DLL-Regelsammlung, die wie empfohlen konfiguriert wurde.

   <RuleCollection Type="Dll" EnforcementMode="AuditOnly" >
     <FilePathRule Id="86f235ad-3f7b-4121-bc95-ea8bde3a5db5" Name="Benign DENY Rule" Description="" UserOrGroupSid="S-1-1-0" Action="Deny">
       <Conditions>
         <FilePathCondition Path="%OSDRIVE%\ThisWillBeBlocked.dll" />
       </Conditions>
     </FilePathRule>
     <RuleCollectionExtensions>
       <ThresholdExtensions>
         <Services EnforcementMode="Enabled" />
       </ThresholdExtensions>
       <RedstoneExtensions>
         <SystemApps Allow="Enabled"/>
       </RedstoneExtensions>
     </RuleCollectionExtensions>
   </RuleCollection>
   <RuleCollection Type="Exe" EnforcementMode="AuditOnly">
     <FilePathRule Id="9420c496-046d-45ab-bd0e-455b2649e41e" Name="Benign DENY Rule" Description="" UserOrGroupSid="S-1-1-0" Action="Deny">
       <Conditions>
         <FilePathCondition Path="%OSDRIVE%\ThisWillBeBlocked.exe" />
       </Conditions>
     </FilePathRule>
     <RuleCollectionExtensions>
       <ThresholdExtensions>
         <Services EnforcementMode="Enabled" />
       </ThresholdExtensions>
       <RedstoneExtensions>
         <SystemApps Allow="Enabled"/>
       </RedstoneExtensions>
     </RuleCollectionExtensions>
   </RuleCollection>
   

4. Überprüfen Sie Ihre AppLocker-Richtlinie. Das folgende Beispiel zeigt eine vollständige AppLocker-Richtlinie, die Configuration Manager und Microsoft Intune als verwaltete Installationsprogramme festlegt. Nur die AppLocker-Regelauflistungen, für die tatsächliche Regeln definiert sind, sind im endgültigen XML enthalten. Diese bedingungsbasierte Einbindung stellt sicher, dass die Richtlinie auf Geräten erfolgreich zusammengeführt wird, auf denen möglicherweise bereits eine AppLocker-Richtlinie vorhanden ist.

   <AppLockerPolicy Version="1">
     <RuleCollection Type="Dll" EnforcementMode="AuditOnly" >
       <FilePathRule Id="86f235ad-3f7b-4121-bc95-ea8bde3a5db5" Name="Benign DENY Rule" Description="" UserOrGroupSid="S-1-1-0" Action="Deny">
         <Conditions>
           <FilePathCondition Path="%OSDRIVE%\ThisWillBeBlocked.dll" />
         </Conditions>
       </FilePathRule>
       <RuleCollectionExtensions>
         <ThresholdExtensions>
           <Services EnforcementMode="Enabled" />
         </ThresholdExtensions>
         <RedstoneExtensions>
           <SystemApps Allow="Enabled"/>
         </RedstoneExtensions>
       </RuleCollectionExtensions>
     </RuleCollection>
     <RuleCollection Type="Exe" EnforcementMode="AuditOnly">
       <FilePathRule Id="9420c496-046d-45ab-bd0e-455b2649e41e" Name="Benign DENY Rule" Description="" UserOrGroupSid="S-1-1-0" Action="Deny">
         <Conditions>
           <FilePathCondition Path="%OSDRIVE%\ThisWillBeBlocked.exe" />
         </Conditions>
       </FilePathRule>
       <RuleCollectionExtensions>
         <ThresholdExtensions>
           <Services EnforcementMode="Enabled" />
         </ThresholdExtensions>
         <RedstoneExtensions>
           <SystemApps Allow="Enabled"/>
         </RedstoneExtensions>
       </RuleCollectionExtensions>
     </RuleCollection>
     <RuleCollection Type="ManagedInstaller" EnforcementMode="AuditOnly">
       <FilePublisherRule Id="55932f09-04b8-44ec-8e2d-3fc736500c56" Name="MICROSOFT.MANAGEMENT.SERVICES.INTUNEWINDOWSAGENT.EXE version 1.39.200.2 or greater in MICROSOFT® INTUNE™ from O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US" Description="" UserOrGroupSid="S-1-1-0" Action="Allow">
         <Conditions>
             <FilePublisherCondition PublisherName="O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US" ProductName="*" BinaryName="MICROSOFT.MANAGEMENT.SERVICES.INTUNEWINDOWSAGENT.EXE">
               <BinaryVersionRange LowSection="1.39.200.2" HighSection="*" />
             </FilePublisherCondition>
       </Conditions>
       </FilePublisherRule>
       <FilePublisherRule Id="6ead5a35-5bac-4fe4-a0a4-be8885012f87" Name="CMM - CCMEXEC.EXE, 5.0.0.0+, Microsoft signed" Description="" UserOrGroupSid="S-1-1-0" Action="Allow">
         <Conditions>
           <FilePublisherCondition PublisherName="O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US" ProductName="*" BinaryName="CCMEXEC.EXE">
             <BinaryVersionRange LowSection="5.0.0.0" HighSection="*" />
           </FilePublisherCondition>
         </Conditions>
       </FilePublisherRule>
       <FilePublisherRule Id="8e23170d-e0b7-4711-b6d0-d208c960f30e" Name="CCM - CCMSETUP.EXE, 5.0.0.0+, Microsoft signed" Description="" UserOrGroupSid="S-1-1-0" Action="Allow">
         <Conditions>
           <FilePublisherCondition PublisherName="O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US" ProductName="*" BinaryName="CCMSETUP.EXE">
             <BinaryVersionRange LowSection="5.0.0.0" HighSection="*" />
             </FilePublisherCondition>
           </Conditions>
         </FilePublisherRule>
       </RuleCollection>
     </AppLockerPolicy>
   

5. Stellen Sie ihre Konfigurationsrichtlinie für verwaltete AppLocker-Installationsprogramme bereit. Sie können entweder Ihre AppLocker-Richtlinie importieren und mit Gruppenrichtlinie bereitstellen oder ein Skript verwenden, um die Richtlinie mit dem cmdlet Set-AppLockerPolicy bereitzustellen, wie im folgenden PowerShell-Befehl gezeigt.

   Set-AppLockerPolicy -XmlPolicy <AppLocker XML FilePath> -Merge -ErrorAction SilentlyContinue
   

6. Wenn Sie Ihre AppLocker-Richtlinie per Skript bereitstellen, verwenden Sie appidtel.exe, um den AppLocker-Anwendungsidentitätsdienst und den AppLocker-Filtertreiber zu konfigurieren.

   appidtel.exe start [-mionly]
   

   Geben Sie "-mionly" an, wenn Sie nicht planen, den Intelligent Security Graph (ISG) zu verwenden.

Hinweis

Die Nachverfolgung des verwalteten Installationsprogramms wird gestartet, wenn ein Prozess das nächste Mal ausgeführt wird, der den Regeln des verwalteten Installationsprogramms entspricht. Wenn ein beabsichtigter Prozess bereits ausgeführt wird, müssen Sie ihn neu starten.

Aktivieren der Option für verwaltete Installationsprogramme in der WDAC-Richtlinie

Um die Vertrauensstellung für die Binärdateien zu aktivieren, die von verwalteten Installationsprogrammen festgelegt wurden, muss die Option "Aktiviert: Verwalteter Installer" in Ihrer WDAC-Richtlinie angegeben werden. Diese Einstellung kann mithilfe des Cmdlets Set-RuleOption mit Option 13 definiert werden.

Im Folgenden finden Sie Schritte zum Erstellen einer WDAC-Richtlinie, die windows das Starten und die Option "Verwaltetes Installationsprogramm" ermöglicht.

1. Kopieren Sie die DefaultWindows_Audit-Richtlinie aus "C:\Windows\schemas\CodeIntegrity\ExamplePolicies\DefaultWindows_Audit.xml" in Ihren Arbeitsordner.

2. Setzen Sie die Richtlinien-ID zurück, um sicherzustellen, dass sie im Format mit mehreren Richtlinien vorliegt, und weisen Sie ihr eine andere GUID als die Beispielrichtlinien zu. Geben Sie ihm auch einen Anzeigenamen, um die Identifizierung zu erleichtern.

   Zum Beispiel:

   Set-CIPolicyIdInfo -FilePath <XML filepath> -PolicyName "<friendly name>" -ResetPolicyID
   

3. Legen Sie Option 13 (Aktiviert:Verwaltetes Installationsprogramm) fest.

   Set-RuleOption -FilePath <XML filepath> -Option 13
   

4. Stellen Sie Ihre WDAC-Richtlinie bereit. Weitere Informationen finden Sie unter Deploying Windows Defender Application Control (WDAC)-Richtlinien.See Deploying Windows Defender Application Control (WDAC)-Richtlinien.

Hinweis

Ihre WDAC-Richtlinie muss Regeln für alle System-/Startkomponenten, Kerneltreiber und alle anderen autorisierten Anwendungen enthalten, die nicht über ein verwaltetes Installationsprogramm bereitgestellt werden können.

Feature "Verwaltetes Installationsprogramm entfernen"

Um das Feature "Verwaltetes Installationsprogramm" vom Gerät zu entfernen, müssen Sie die AppLocker-Richtlinie des verwalteten Installationsprogramms vom Gerät entfernen, indem Sie die Anweisungen unter Löschen einer AppLocker-Regel: Löschen von AppLocker-Richtlinien auf einem einzelnen System oder Remotesystemen befolgen.

Verwandte Artikel

• Technische Referenz und Anleitung zur Problembehandlung für verwaltete Installationsprogramme und ISG