Optional: Erstellen eines Codesignaturzertifikats für Windows Defender Anwendungssteuerung

Hinweis

Einige Funktionen von Windows Defender Anwendungssteuerung sind nur in bestimmten Windows-Versionen verfügbar. Erfahren Sie mehr über die Verfügbarkeit der Windows Defender Anwendungssteuerungsfeature.

Wenn Sie Windows Defender Anwendungssteuerung (WDAC) bereitstellen, müssen Sie möglicherweise Katalogdateien oder WDAC-Richtlinien intern signieren. Für diese Signierung müssen Sie entweder den Vertrauensvolle Signatur-Dienst von Microsoft, ein öffentlich ausgestelltes Codesignaturzertifikat oder eine interne Zertifizierungsstelle verwenden. Wenn Sie ein Codesignaturzertifikat erworben haben, können Sie diesen Artikel überspringen und stattdessen anderen Artikeln folgen, die im Bereitstellungshandbuch zur Windows Defender Anwendungssteuerung aufgeführt sind.

Wenn Sie über eine interne Zertifizierungsstelle verfügen, führen Sie die folgenden Schritte aus, um ein Codesignaturzertifikat zu erstellen.

Warnung

Beim Erstellen von Signaturzertifikaten für die WDAC-Richtliniensignatur kann ein Startfehler (blauer Bildschirm) auftreten, wenn Ihr Signaturzertifikat nicht den folgenden Regeln entspricht:

  • Alle Richtlinien, einschließlich Basis und Ergänzung, müssen gemäß dem PKCS 7-Standard unterzeichnet werden.
  • Verwenden Sie RSA-Schlüssel nur mit einer Schlüsselgröße von 2K, 3K oder 4K. ECDSA wird nicht unterstützt.
  • Sie können SHA-256, SHA-384 oder SHA-512 als Digestalgorithmus für Windows 11 sowie Windows 10 und Windows Server 2019 und höher verwenden, nachdem Sie das kumulative Sicherheitsupdate vom November 2022 angewendet haben. Alle anderen Geräte unterstützen nur SHA256.
  • Verwenden Sie keine UTF-8-Codierung für Zertifikatfelder wie "allgemeiner Antragstellername" und "allgemeiner Ausstellername". Diese Zeichenfolgen müssen als PRINTABLE_STRING, IA5STRING oder BMPSTRING codiert werden.

  1. Öffnen Sie das Zertifizierungsstellen-MMC-Snap-In, und wählen Sie dann die ausstellende Zertifizierungsstelle aus.

  2. Wenn die Verbindung hergestellt ist, klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen, und wählen Sie dann Verwalten aus, um die Zertifizierungsvorlagenkonsole zu öffnen.

    Zertifizierungsstellen-Snap-In mit Zertifikatvorlagen.

    Abbildung 1. Verwalten der Zertifikatsvorlagen

  3. Klicken Sie im Navigationsbereich mit der rechten Maustaste auf das Codesignaturzertifikat, und wählen Sie dann Vorlage duplizieren aus.

  4. Deaktivieren Sie auf der Registerkarte Kompatibilität das Kontrollkästchen Resultierende Änderungen anzeigen . Wählen Sie Windows Server 2012 in der Liste Zertifizierungsstelle und dann Windows 8 / Windows Server 2012 in der Liste Zertifikatsempfänger aus.

  5. Geben Sie auf der Registerkarte Allgemein den Vorlagenanzeigenamen und Vorlagennamen an. In diesem Beispiel wird der Name WDAC Catalog Signing Certificate verwendet.

  6. Aktivieren Sie auf der Registerkarte Anforderungsverarbeitung das Kontrollkästchen Exportieren von privatem Schlüssel zulassen.

  7. Aktivieren Sie auf der Registerkarte Erweiterungen das Kontrollkästchen Grundlegende Einschränkungen , und wählen Sie dann Bearbeiten aus.

  8. Wählen Sie im Dialogfeld Basiseinschränkungserweiterung bearbeiten die Option Diese Erweiterung aktivieren aus, wie in Abbildung 2 veranschaulicht.

    Bearbeiten Sie die Erweiterung für grundlegende Einschränkungen.

    Abbildung 2. Auswählen von Einschränkungen für die neue Vorlage

  9. Wenn der Zertifikat-Manager ausgestellte Zertifikate genehmigen muss, wählen Sie auf der Registerkarte Ausstellungsvoraussetzungen die Option Genehmigung von Zertifikatverwaltung der Zertifizierungsstelle aus.

  10. Wählen Sie auf der Registerkarte Antragstellername die Option Informationen werden in der Anforderung angegebenaus.

  11. Überprüfen Sie auf der Registerkarte Sicherheit , ob das zum Anfordern des Zertifikats verwendete Konto über das Recht verfügt, das Zertifikat zu registrieren.

  12. Wählen Sie OK aus, um die Vorlage zu erstellen, und schließen Sie dann die Zertifikatvorlagenkonsole.

Wenn diese Zertifikatsvorlage erstellt wurde, müssen Sie sie im durch die Zertifizierungsstelle veröffentlichten Vorlagenspeicher veröffentlichen. Führen Sie dafür folgende Schritte aus:

  1. Klicken Sie im MMC-Snap-In zertifizierungsstellen mit der rechten Maustaste auf Zertifizierungsvorlagen, zeigen Sie auf Neu, und wählen Sie dann Zertifikatvorlage aus, die wie in Abbildung 3 dargestellt wird.

    Wählen Sie ausstellende Zertifikatvorlage aus.

    Abbildung 3. Auswählen der neu auszustellenden Zertifikatvorlage

    Es wird eine Liste der verfügbaren Vorlagen angezeigt, die sie ausstellen müssen, einschließlich der von Ihnen erstellten Vorlage.

  2. Wählen Sie das Signaturzertifikat des WDAC-Katalogs und dann OK aus.

Nachdem die Vorlage nun für die Ausstellung verfügbar ist, müssen Sie eine Vorlage von dem Computer anfordern, auf dem Windows 10 oder Windows 11 ausgeführt wird, auf dem Sie Katalogdateien erstellen und signieren. Öffnen Sie zunächst MMC, und führen Sie die folgenden Schritte aus:

  1. Wählen Sie in MMC im Menü Datei die Option Snap-In hinzufügen/entfernen aus. Doppelklicken Sie auf Zertifikate, und wählen Sie dann Eigenes Benutzerkontoaus.

  2. Klicken Sie im Zertifikat-Snap-In mit der rechten Maustaste auf den Ordner Persönlicher Speicher, zeigen Sie auf Alle Aufgaben, und wählen Sie dann Neues Zertifikat anfordern aus.

  3. Wählen Sie zweimal Weiter aus, um zur Zertifikatauswahlliste zu gelangen.

  4. Wählen Sie in der Liste Zertifikat anfordern Ihr neu erstelltes Codesignaturzertifikat und dann den blauen Text aus, über den zusätzliche Informationen angefordert werden, wie in Abbildung 4 veranschaulicht.

    Anfordern von Zertifikaten: Weitere Informationen sind erforderlich.

    Abbildung 4 Abrufen weiterer Informationen über Ihr Codesignaturzertifikat

  5. Wählen Sie im Dialogfeld Zertifikateigenschaften für Typ die Option Allgemeiner Name aus. Geben Sie für Wert einen aussagekräftigen Namen für Ihr Zertifikat an (in diesem Beispiel wird $ContosoSigningCert ausgewählt), und wählen Sie dann Hinzufügen aus. Wenn Sie hinzugefügt werden, wählen Sie OK aus.

  6. Nehmen Sie die Registrierung vor, und schließen Sie den Vorgang ab.

Hinweis

Wenn ein Zertifikat-Manager für die Genehmigung ausgestellter Zertifikate erforderlich ist und Sie sich dafür entschieden haben, die Verwaltungsgenehmigung für die Vorlage anzufordern, muss die Anforderung in der Zertifizierungsstelle genehmigt werden, bevor sie an den Client ausgestellt wird.

Dieses Zertifikat muss im persönlichen Speicher des Benutzers auf dem Computer installiert werden, auf dem die Katalogdateien und Codeintegritätsrichtlinien signiert werden. Wenn die Signatur auf demselben Computer erfolgt, den Sie zum Anfordern des Zertifikats verwendet haben, können Sie die folgenden Schritte überspringen. Wenn Sie auf einem anderen Computer signieren, müssen Sie das PFX-Zertifikat mit den erforderlichen Schlüsseln und Eigenschaften exportieren. Führen Sie dafür folgende Schritte aus:

  1. Klicken Sie mit der rechten Maustaste auf das Zertifikat, zeigen Sie auf Alle Aufgaben, und wählen Sie dann Exportieren aus.

  2. Wählen Sie Weiter und dann Ja, privaten Schlüssel exportieren aus.

  3. Wählen die Standardeinstellungen und dann Alle erweiterten Eigenschaften exportierenaus.

  4. Legen Sie ein Kennwort fest, wählen Sie einen Exportpfad und dann WDACCatSigningCert.pfx als Dateinamen aus.

Wenn das Zertifikat exportiert wurde, importieren Sie es in den persönlichen Speicher für den Benutzer, der die Katalogdateien oder Codeintegritätsrichtlinien auf dem Computer signiert, von dem sie signiert werden.