Erstellen einer WDAC-Richtlinie für kaum verwaltete Geräte
Hinweis
Einige Funktionen von Windows Defender Anwendungssteuerung sind nur in bestimmten Windows-Versionen verfügbar. Erfahren Sie mehr über die Verfügbarkeit der Windows Defender Anwendungssteuerungsfeature.
In diesem Abschnitt wird der Prozess zum Erstellen einer WDAC-Richtlinie (Windows Defender Application Control) für leicht verwaltete Geräte innerhalb eines organization beschrieben. In der Regel sind Organisationen, die noch nicht mit der Anwendungssteuerung vertraut sind, am erfolgreichsten, wenn sie mit einer unzulässigen Richtlinie beginnen, wie sie in diesem Artikel beschrieben wird. Organisationen können die Richtlinie im Laufe der Zeit härten, um einen stärkeren Gesamtsicherheitsstatus auf ihren von WDAC verwalteten Geräten zu erreichen, wie in späteren Artikeln beschrieben.
Hinweis
Einige der in diesem Thema beschriebenen Windows Defender-Anwendungssteuerungsoptionen sind nur ab Windows 10 Version 1903 oder Windows 11 verfügbar. Wenn Sie dieses Thema verwenden, um Ihre eigenen WDAC-Richtlinien für organization zu planen, überlegen Sie, ob Ihre verwalteten Clients alle oder einige dieser Features verwenden können, und bewerten Sie die Auswirkungen auf Features, die auf Ihren Clients möglicherweise nicht verfügbar sind. Möglicherweise müssen Sie diese Anleitung an die Anforderungen Ihrer spezifischen organization anpassen.
Wie in Windows Defender Anwendungssteuerungsbereitstellung in verschiedenen Szenarien: Gerätetypen, verwenden wir das Beispiel von Lamna Healthcare Company (Lamna), um dieses Szenario zu veranschaulichen. Lamna versucht, strengere Anwendungsrichtlinien einzuführen, einschließlich der Anwendungskontrolle, um zu verhindern, dass unerwünschte oder nicht autorisierte Anwendungen auf ihren verwalteten Geräten ausgeführt werden.
Alice Pena ist die IT-Teamleiterin, die mit dem Rollout von WDAC beauftragt ist. Lamna verfügt derzeit über lockere Anwendungsnutzungsrichtlinien und eine Kultur der maximalen App-Flexibilität für Benutzer. Alice weiß also, dass sie einen inkrementellen Ansatz für die Anwendungssteuerung verwenden und unterschiedliche Richtlinien für verschiedene Workloads verwenden muss.
Für die meisten Benutzer und Geräte möchte Alice eine anfängliche Richtlinie erstellen, die so gelockert wie möglich ist, um die Auswirkungen auf die Benutzerproduktivität zu minimieren und gleichzeitig einen Sicherheitswert zu bieten.
Definieren des "Vertrauenskreises" für leicht verwaltete Geräte
Alice identifiziert die folgenden Schlüsselfaktoren, um den "Vertrauenskreis" für die leicht verwalteten Lamna-Geräte zu erreichen, die derzeit die meisten Endbenutzergeräte umfassen:
- Alle Clients werden Windows 10 Version 1903 und höher oder Windows 11 ausgeführt.
- Alle Clients werden von Configuration Manager oder mit Intune verwaltet.
- Einige, aber nicht alle Apps werden mithilfe von Configuration Manager bereitgestellt.
- Die meisten Benutzer sind lokale Administratoren auf ihren Geräten;
- Einige Teams benötigen möglicherweise mehr Regeln, um bestimmte Apps zu autorisieren, die im Allgemeinen nicht für alle anderen Benutzer gelten.
Basierend auf dem oben genannten definiert Alice die Pseudoregeln für die Richtlinie:
"Windows works" -Regeln, die Folgendes autorisieren:
- Windows
- WHQL (Kerneltreiber von Drittanbietern)
- Signierte Windows Store-Apps
"ConfigMgr funktioniert"-Regeln, die Folgendes umfassen:
- Signierer- und Hashregeln für Configuration Manager Komponenten ordnungsgemäß funktionieren.
- Zulassen der Regel für verwaltetes Installationsprogramm, Configuration Manager als verwaltetes Installationsprogramm zu autorisieren.
Zulassen von Intelligent Security Graph (ISG) (reputationsbasierte Autorisierung)
Signierte Apps mit einem Zertifikat, das von einer Zertifizierungsstelle des vertrauenswürdigen Windows-Stammprogramms ausgestellt wurde
Admin pfadbasierten Regeln für die folgenden Speicherorte:
- C:\Programme*
- C:\Programme (x86)*
- %windir%*
Erstellen einer benutzerdefinierten Basisrichtlinie mithilfe einer WDAC-Basisrichtlinie
Nachdem sie den "Vertrauenskreis" definiert hat, ist Alice bereit, die anfängliche Richtlinie für die leicht verwalteten Lamna-Geräte zu generieren. Alice beschließt, das Beispiel SmartAppControl.xml zu verwenden, um die anfängliche Basisrichtlinie zu erstellen und sie dann an die Anforderungen von Lamna anzupassen.
Alice führt die folgenden Schritte aus, um diese Aufgabe auszuführen:
Führen Sie auf einem Clientgerät die folgenden Befehle in einer Sitzung mit erhöhten Windows PowerShell aus, um Variablen zu initialisieren:
Hinweis
Wenn Sie lieber ein anderes Beispiel Windows Defender Basisrichtlinie der Anwendungssteuerung verwenden möchten, ersetzen Sie in diesem Schritt den Beispielrichtlinienpfad durch Ihre bevorzugte Basisrichtlinie.
$PolicyPath = $env:userprofile+"\Desktop\" $PolicyName= "Lamna_LightlyManagedClients_Audit" $LamnaPolicy=Join-Path $PolicyPath "$PolicyName.xml" $ExamplePolicy=$env:windir+"\schemas\CodeIntegrity\ExamplePolicies\SmartAppControl.xml"Kopieren Sie die Beispielrichtlinie auf den Desktop:
Copy-Item $ExamplePolicy $LamnaPolicyÄndern Sie die Richtlinie, um nicht unterstützte Regel zu entfernen:
Hinweis
SmartAppControl.xmlist in Windows 11 Version 22H2 und höher verfügbar. Diese Richtlinie enthält die Regel "Enabled:Conditional Windows Lockdown Policy", die für WDAC-Unternehmensrichtlinien nicht unterstützt wird und entfernt werden muss. Weitere Informationen finden Sie unter WDAC und Intelligentes App-Steuerelement. Wenn Sie eine andere Beispielrichtlinie alsSmartAppControl.xmlverwenden, überspringen Sie diesen Schritt.[xml]$xml = Get-Content $LamnaPolicy $ns = New-Object System.Xml.XmlNamespaceManager($xml.NameTable) $ns.AddNamespace("ns", $xml.DocumentElement.NamespaceURI) $node = $xml.SelectSingleNode("//ns:Rules/ns:Rule[ns:Option[.='Enabled:Conditional Windows Lockdown Policy']]", $ns) $node.ParentNode.RemoveChild($node) $xml.Save($LamnaPolicy)Geben Sie der neuen Richtlinie eine eindeutige ID, einen beschreibenden Namen und eine anfängliche Versionsnummer:
Set-CIPolicyIdInfo -FilePath $LamnaPolicy -PolicyName $PolicyName -ResetPolicyID Set-CIPolicyVersion -FilePath $LamnaPolicy -Version "1.0.0.0"Verwenden Sie Configuration Manager, um eine Überwachungsrichtlinie auf dem Clientgerät zu erstellen und bereitzustellen, auf dem Windows 10 Version 1903 und höher oder Windows 11 ausgeführt wird. Führen Sie die Configuration Manager-Richtlinie mit der Beispielrichtlinie zusammen.
Hinweis
Wenn Sie Configuration Manager nicht verwenden, überspringen Sie diesen Schritt.
$ConfigMgrPolicy=$env:windir+"\CCM\DeviceGuard\MergedPolicy_Audit_ISG.xml" Merge-CIPolicy -OutputFilePath $LamnaPolicy -PolicyPaths $LamnaPolicy,$ConfigMgrPolicy Set-RuleOption -FilePath $LamnaPolicy -Option 13 # Managed InstallerÄndern Sie die Richtlinie, um zusätzliche Richtlinienregeln festzulegen:
Set-RuleOption -FilePath $LamnaPolicy -Option 3 # Audit Mode Set-RuleOption -FilePath $LamnaPolicy -Option 12 # Enforce Store Apps Set-RuleOption -FilePath $LamnaPolicy -Option 19 # Dynamic Code SecurityFügen Sie Regeln hinzu, um die Verzeichnisse Windows und Programme zuzulassen:
$PathRules += New-CIPolicyRule -FilePathRule "%windir%\*" $PathRules += New-CIPolicyRule -FilePathRule "%OSDrive%\Program Files\*" $PathRules += New-CIPolicyRule -FilePathRule "%OSDrive%\Program Files (x86)\*" Merge-CIPolicy -OutputFilePath $LamnaPolicy -PolicyPaths $LamnaPolicy -Rules $PathRulesFügen Sie ggf. weitere Signaturgeber- oder Dateiregeln hinzu, um die Richtlinie für Ihre organization weiter anzupassen.
Verwenden Sie ConvertFrom-CIPolicy, um die Windows Defender Anwendungssteuerungsrichtlinie in ein Binärformat zu konvertieren:
[xml]$PolicyXML = Get-Content $LamnaPolicy $LamnaPolicyBin = Join-Path $PolicyPath "$($PolicyXML.SiPolicy.PolicyID).cip" ConvertFrom-CIPolicy $LamnaPolicy $LamnaPolicyBinLaden Sie Ihre Basisrichtlinien-XML und die zugehörige Binärdatei in eine Quellcodeverwaltungslösung wie GitHub oder eine Dokumentverwaltungslösung wie Office 365 SharePoint hoch.
An diesem Punkt verfügt Alice nun über eine anfängliche Richtlinie, die im Überwachungsmodus für die verwalteten Clients in Lamna bereitgestellt werden kann.
Sicherheitsüberlegungen dieser leicht verwalteten Richtlinie
Um die Auswirkungen auf die Benutzerproduktivität zu minimieren, hat Alice eine Richtlinie definiert, die mehrere Kompromisse zwischen Sicherheit und Flexibilität der Benutzer-App einnimmt. Einige der Kompromisse sind:
Benutzer mit Administratorzugriff
Dieser Kompromiss ist der wirkungsvollste Sicherheitskonflikt. Es ermöglicht dem Gerätebenutzer oder schadsoftware, die mit den Berechtigungen des Benutzers ausgeführt wird, die WDAC-Richtlinie auf dem Gerät zu ändern oder zu entfernen. Darüber hinaus können Administratoren jede App so konfigurieren, dass sie als verwaltetes Installationsprogramm fungiert, sodass sie eine dauerhafte App-Autorisierung für beliebige Apps oder Binärdateien erhalten können.
Mögliche Entschärfungen:
- Verwenden Sie signierte WDAC-Richtlinien und den UEFI-BIOS-Zugriffsschutz, um manipulationen von WDAC-Richtlinien zu verhindern.
- Um die Anforderung für ein verwaltetes Installationsprogramm zu entfernen, erstellen und stellen Sie signierte Katalogdateien im Rahmen des App-Bereitstellungsprozesses bereit.
- Verwenden Sie den Gerätenachweis, um den Konfigurationsstatus von WDAC zum Startzeitpunkt zu erkennen und diese Informationen zu verwenden, um den Zugriff auf vertrauliche Unternehmensressourcen zu ermöglichen.
Richtlinien ohne Vorzeichen
Nicht signierte Richtlinien können ersetzt oder entfernt werden, ohne dass ein Prozess als Administrator ausgeführt wird. Basisrichtlinien ohne Vorzeichen, die auch zusätzliche Richtlinien aktivieren, können ihren "Vertrauenskreis" durch jede zusätzliche Richtlinie ohne Vorzeichen ändern lassen.
Mögliche Entschärfungen:
- Verwenden Sie signierte WDAC-Richtlinien und den UEFI-BIOS-Zugriffsschutz, um manipulationen von WDAC-Richtlinien zu verhindern.
- Schränken Sie ein, wer auf dem Gerät die Rechte auf den Administrator erhöhen kann.
Verwaltetes Installationsprogramm
Weitere Informationen finden Sie unter Sicherheitsüberlegungen mit verwaltetem Installationsprogramm.
Mögliche Entschärfungen:
- Um die Anforderung für ein verwaltetes Installationsprogramm zu entfernen, erstellen und stellen Sie signierte Katalogdateien im Rahmen des App-Bereitstellungsprozesses bereit.
- Schränken Sie ein, wer auf dem Gerät die Rechte auf den Administrator erhöhen kann.
Intelligent Security Graph (ISG)
Weitere Informationen finden Sie unter Sicherheitsüberlegungen mit dem Intelligenten Sicherheitsgraphen.
Mögliche Entschärfungen:
- Implementieren Sie Richtlinien, die erfordern, dass Apps von der IT verwaltet werden. Überwachen Sie die vorhandene App-Nutzung, und stellen Sie autorisierte Apps mithilfe einer Softwareverteilungslösung wie Microsoft Intune bereit. Wechseln sie von ISG zu verwalteten Installern oder signaturbasierten Regeln.
- Verwenden Sie eine richtlinie für den restriktiven Überwachungsmodus, um die App-Nutzung zu überwachen und die Erkennung von Sicherheitsrisiken zu verbessern.
Ergänzende Richtlinien
Ergänzende Richtlinien sollen die zugehörige Basisrichtlinie lockern. Durch das Zulassen von nicht signierten Richtlinien kann jeder Administratorprozess den von der Basisrichtlinie definierten "Vertrauenskreis" uneingeschränkt erweitern.
Mögliche Entschärfungen:
- Verwenden Sie signierte WDAC-Richtlinien, die nur autorisierte signierte ergänzende Richtlinien zulassen.
- Verwenden Sie eine richtlinie für den restriktiven Überwachungsmodus, um die App-Nutzung zu überwachen und die Erkennung von Sicherheitsrisiken zu verbessern.
FilePath-Regeln
Weitere Informationen zu Dateipfadregeln
Mögliche Entschärfungen:
- Schränken Sie ein, wer auf dem Gerät die Rechte auf den Administrator erhöhen kann.
- Migrieren von Dateipfadregeln zu verwalteten Installern oder signaturbasierten Regeln.
Signierte Dateien
Dateien, die codesigniert sind, überprüfen zwar die Identität des Autors und stellen sicher, dass der Code von keinem anderen Benutzer als dem Autor geändert wurde, aber es garantiert nicht, dass der signierte Code sicher ist.
Mögliche Entschärfungen:
- Verwenden Sie eine seriöse Antischadsoftware oder Antivirensoftware mit Echtzeitschutz, z. B. Microsoft Defender, um Ihre Geräte vor schädlichen Dateien, Adware und anderen Bedrohungen zu schützen.
Weiter oben
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für