Erstellen einer WDAC-Richtlinie mithilfe eines Referenzcomputers

• Gilt für::

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Hinweis

Einige Funktionen von Windows Defender Anwendungssteuerung sind nur in bestimmten Windows-Versionen verfügbar. Erfahren Sie mehr über die Verfügbarkeit der Windows Defender Anwendungssteuerungsfeature.

In diesem Abschnitt wird der Prozess zum Erstellen einer WDAC-Richtlinie (Windows Defender Application Control) mithilfe eines Referenzcomputers beschrieben, der bereits mit der Software konfiguriert ist, die Sie zulassen möchten. Sie können diesen Ansatz für Geräte mit fester Workload verwenden, die für einen bestimmten zweckdienlichen Zweck bestimmt sind und gemeinsame Konfigurationsattribute mit anderen Geräten verwenden, die dieselbe funktionale Rolle erfüllen. Beispiele für Geräte mit fester Workload sind Active Directory-Domäne Controller, Secure Admin Workstations, Pharmazeutische Arzneimittelmischgeräte, Fertigungsgeräte, Kassen, Geldautomaten usw. Dieser Ansatz kann auch verwendet werden, um WDAC auf Systemen "in der Natur" zu aktivieren, und Sie möchten die potenziellen Auswirkungen auf die Produktivität der Benutzer minimieren.

Hinweis

Einige der in diesem Thema beschriebenen Windows Defender-Anwendungssteuerungsoptionen sind nur ab Windows 10 Version 1903 oder Windows 11 verfügbar. Wenn Sie dieses Thema verwenden, um Ihre eigenen WDAC-Richtlinien für organization zu planen, überlegen Sie, ob Ihre verwalteten Clients alle oder einige dieser Features verwenden können, und bewerten Sie die Auswirkungen auf Features, die auf Ihren Clients möglicherweise nicht verfügbar sind. Möglicherweise müssen Sie diese Anleitung an die Anforderungen Ihrer spezifischen organization anpassen.

Wie in allgemeinen Windows Defender Anwendungssteuerungsbereitstellungsszenarien beschrieben, verwenden wir das Beispiel von Lamna Healthcare Company (Lamna), um dieses Szenario zu veranschaulichen. Lamna versucht, strengere Anwendungsrichtlinien einzuführen, einschließlich der Anwendungskontrolle, um zu verhindern, dass unerwünschte oder nicht autorisierte Anwendungen auf ihren verwalteten Geräten ausgeführt werden.

Alice Pena ist die IT-Teamleiterin, die mit dem Rollout von WDAC beauftragt ist.

Erstellen einer benutzerdefinierten Basisrichtlinie mithilfe eines Referenzgeräts

Alice hat zuvor eine Richtlinie für die vollständig verwalteten Endbenutzergeräte der organization erstellt. Sie möchte nun WDAC verwenden, um die kritischen Infrastrukturserver von Lamna zu schützen. Lamnas Imaging-Praxis für Infrastruktursysteme besteht darin, ein "goldenes" Image als Referenz dafür zu etablieren, wie ein ideales System aussehen sollte, und dann dieses Image zu verwenden, um mehr Unternehmensressourcen zu klonen. Alice beschließt, die gleichen "goldenen" Imagesysteme zum Erstellen der WDAC-Richtlinien zu verwenden, was zu separaten benutzerdefinierten Basisrichtlinien für jeden Infrastrukturservertyp führt. Wie bei der Imageerstellung muss sie Richtlinien von mehreren goldenen Computern basierend auf Modell, Abteilung, Anwendungssatz usw. erstellen.

Hinweis

Stellen Sie sicher, dass der Referenzcomputer viren- und schadsoftwarefrei ist, und installieren Sie keine Software, die vor dem Erstellen der WDAC-Richtlinie gescannt werden sollen.

Jede installierte Softwareanwendung sollte als vertrauenswürdig überprüft werden, bevor Sie mit dem Erstellen einer Richtlinie beginnen.

Es wird empfohlen, den Referenz-PC auf Software zu überprüfen, die beliebigen DLLs laden und Code oder Skripts ausführen kann, die den PC anfälliger machen könnten. Beispiele hierfür sind Software für die Entwicklung oder Skripterstellung, z. B. msbuild.exe (Teil von Visual Studio und der .NET Framework), die entfernt werden kann, wenn Sie keine Skripts ausführen möchten. Sie können die Software auf dem Referenzcomputer entfernen oder deaktivieren.

Alice identifiziert die folgenden Schlüsselfaktoren, um den "Vertrauenskreis" für die kritischen Infrastrukturserver von Lamna zu erreichen:

• Auf allen Geräten wird Windows Server 2019 oder höher ausgeführt.
• Alle Apps werden zentral verwaltet und bereitgestellt.
• Keine interaktiven Benutzer.

Basierend auf dem oben genannten definiert Alice die Pseudoregeln für die Richtlinie:

1. "Windows works" -Regeln, die Folgendes autorisieren:

   • Windows
   • WHQL (Kerneltreiber von Drittanbietern)
   • Signierte Windows Store-Apps

2. Regeln für gescannte Dateien , die alle bereits vorhandenen App-Binärdateien autorisieren, die auf dem Gerät gefunden wurden

Um die WDAC-Richtlinie zu erstellen, führt Alice jeden der folgenden Befehle in einer Sitzung mit erhöhten Windows PowerShell der reihe nach aus:

1. Initialisieren von Variablen.

   $PolicyPath=$env:userprofile+"\Desktop\"
   $PolicyName="FixedWorkloadPolicy_Audit"
   $LamnaServerPolicy=$PolicyPath+$PolicyName+".xml"
   $DefaultWindowsPolicy=$env:windir+"\schemas\CodeIntegrity\ExamplePolicies\DefaultWindows_Audit.xml"
   

2. Verwenden Sie New-CIPolicy, um eine neue WDAC-Richtlinie zu erstellen, indem Sie das System auf installierte Anwendungen überprüfen:

   New-CIPolicy -FilePath $LamnaServerPolicy -Level SignedVersion -Fallback FilePublisher,FileName,Hash -ScanPath c:\ -UserPEs -MultiplePolicyFormat -OmitPaths c:\Windows,'C:\Program Files\WindowsApps\',c:\windows.old\,c:\users\ 3> CIPolicyLog.txt
   

   Hinweis

   • Sie können den Parameter ‑Fallback hinzufügen, um Anwendungen zu erfassen, die mithilfe der primären Dateiregelebene, welche durch den Parameter ‑Level angegeben wurde, nicht erkannt wurden. Weitere Informationen zu Optionen auf Dateiregelebene finden Sie unter Windows Defender Dateiregelebenen der Anwendungssteuerung.
   • Um anzugeben, dass die WDAC-Richtlinie nur ein bestimmtes Laufwerk überprüft, geben Sie den Parameter ‑ScanPath gefolgt von einem Pfad an. Ohne diesen Parameter scannt das Tool standardmäßig das Laufwerk C.
   • Wenn Sie den Parameter -UserPEs angeben (um ausführbare Dateien des Benutzermodus in die Prüfung einzubeziehen), wird die Regeloption 0 Enabled: UMCI automatisch zur WDAC-Richtlinie hinzugefügt. Wenn Sie -UserPEs nicht angeben, enthält die Richtlinie keine ausführbaren Dateien im Benutzermodus und enthält nur Regeln für Binärdateien im Kernelmodus wie Treiber. Anders ausgedrückt: Die Zulassungsliste enthält keine Anwendungen. Wenn Sie eine solche Richtlinie erstellen und später die Regeloption 0 Enabled: UMCI hinzufügen, bewirken alle Versuche, Anwendungen zu starten, eine Antwort der Windows Defender-Anwendungssteuerung. Im Überwachungsmodus protokolliert die Antwort ein Ereignis und im erzwungenen Modus sperrt die Antwort die Anwendung.
   • Verwenden Sie -MultiplePolicyFormat, um eine Richtlinie für Windows 10 1903 und höher zu erstellen, einschließlich der Unterstützung für ergänzende Richtlinien.
   • Um eine Liste von Pfaden anzugeben, die von der Überprüfung ausgeschlossen werden sollen, verwenden Sie die Option -OmitPaths , und geben Sie eine durch Trennzeichen getrennte Liste von Pfaden an.
   • Das obige Beispiel enthält 3> CIPolicylog.txt. Dadurch werden Warnmeldungen an die Textdatei CIPolicylog.txt weitergeleitet.

3. Führen Sie die neue Richtlinie mit der WindowsDefault_Audit-Richtlinie zusammen, um sicherzustellen, dass alle Windows-Binärdateien und Kerneltreiber geladen werden.

   Merge-CIPolicy -OutputFilePath $LamnaServerPolicy -PolicyPaths $LamnaServerPolicy,$DefaultWindowsPolicy
   

4. Geben Sie der neuen Richtlinie einen beschreibenden Namen und eine anfängliche Versionsnummer:

   Set-CIPolicyIdInfo -FilePath $LamnaServerPolicy -PolicyName $PolicyName
   Set-CIPolicyVersion -FilePath $LamnaServerPolicy -Version "1.0.0.0"
   

5. Ändern Sie die zusammengeführte Richtlinie, um Richtlinienregeln festzulegen:

   Set-RuleOption -FilePath $LamnaServerPolicy -Option 3 # Audit Mode
   Set-RuleOption -FilePath $LamnaServerPolicy -Option 6 # Unsigned Policy
   Set-RuleOption -FilePath $LamnaServerPolicy -Option 9 # Advanced Boot Menu
   Set-RuleOption -FilePath $LamnaServerPolicy -Option 12 # Enforce Store Apps
   Set-RuleOption -FilePath $LamnaServerPolicy -Option 16 # No Reboot
   Set-RuleOption -FilePath $LamnaServerPolicy -Option 17 # Allow Supplemental
   Set-RuleOption -FilePath $LamnaServerPolicy -Option 19 # Dynamic Code Security
   

6. Fügen Sie ggf. weitere Signaturgeber- oder Dateiregeln hinzu, um die Richtlinie für Ihre organization weiter anzupassen.

7. Verwenden Sie ConvertFrom-CIPolicy, um die WDAC-Richtlinie ins binäre Format zu konvertieren:

   [xml]$LamnaServerPolicyXML = Get-Content $LamnaServerPolicy
   $PolicyId = $LamnaServerPolicyXML.SiPolicy.PolicyId
   $LamnaServerPolicyBin = $PolicyPath+$PolicyId+".cip"
   ConvertFrom-CIPolicy $LamnaServerPolicy $LamnaServerPolicyBin
   

8. Laden Sie die XML-Basisrichtlinie und die zugehörige Binärdatei in eine Quellcodeverwaltungslösung wie GitHub oder eine Dokumentverwaltungslösung wie Office 365 SharePoint hoch.

Alice verfügt nun über eine erste Richtlinie für die kritischen Infrastrukturserver von Lamna, die bereit ist, im Überwachungsmodus bereitzustellen.

Erstellen einer benutzerdefinierten Basisrichtlinie zur Minimierung der Auswirkungen von Benutzern auf verwendete Clientgeräte

Alice hat zuvor eine Richtlinie für die vollständig verwalteten Geräte der organization erstellt. Alice hat die vollständig verwaltete Geräterichtlinie in den Gerätebuildprozess von Lamna aufgenommen, sodass alle neuen Geräte jetzt mit aktiviertem WDAC beginnen. Sie bereitet die Bereitstellung der Richtlinie für Systeme vor, die bereits verwendet werden, ist aber besorgt darüber, dass die Produktivität der Benutzer beeinträchtigt wird. Um dieses Risiko zu minimieren, beschließt Alice, für diese Systeme einen anderen Ansatz zu verfolgen. Sie wird die vollständig verwaltete Geräterichtlinie weiterhin im Überwachungsmodus auf diesen Geräten bereitstellen, aber für den Erzwingungsmodus führt sie die vollständig verwalteten Geräterichtlinienregeln mit einer Richtlinie zusammen, die erstellt wird, indem sie das Gerät auf alle zuvor installierten Software überprüft. Auf diese Weise wird jedes Gerät als sein eigenes "goldenes" System behandelt.

Alice identifiziert die folgenden Schlüsselfaktoren, um zum "Vertrauenskreis" für die vollständig verwalteten in-use-Geräte von Lamna zu gelangen:

• Alles, was für die vollständig verwalteten Geräte von Lamna beschrieben wird;
• Benutzer haben Apps installiert, die sie für die weitere Ausführung benötigen.

Basierend auf dem oben genannten definiert Alice die Pseudoregeln für die Richtlinie:

1. Alles, was in der Richtlinie für vollständig verwaltete Geräte enthalten ist
2. Regeln für gescannte Dateien , die alle bereits vorhandenen App-Binärdateien autorisieren, die auf dem Gerät gefunden wurden

Für vorhandene, in-use-Geräte von Lamna stellt Alice ein Skript zusammen mit der Richtlinien-XML für vollständig verwaltete Geräte (nicht die konvertierte WDAC-Richtlinienbinärdatei) bereit. Das Skript generiert dann eine benutzerdefinierte Richtlinie lokal auf dem Client, wie im vorherigen Abschnitt beschrieben, aber anstatt mit der DefaultWindows-Richtlinie zusammenzuführen, wird das Skript mit der Richtlinie Für vollständig verwaltete Geräte von Lamna zusammengeführt. Alice ändert auch die obigen Schritte, um die Anforderungen dieses unterschiedlichen Anwendungsfalls zu erfüllen.