Verwenden mehrerer Windows Defender Anwendungssteuerungsrichtlinien

• Gilt für::

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Hinweis

Einige Funktionen von Windows Defender Application Control (WDAC) sind nur für bestimmte Windows-Versionen verfügbar. Erfahren Sie mehr über die Verfügbarkeit der Windows Defender Anwendungssteuerungsfeature.

Ab Windows 10 Version 1903 und Windows Server 2022 können Sie mehrere WDAC-Richtlinien (Windows Defender Application Control) parallel auf einem Gerät bereitstellen. Um mehr als 32 aktive Richtlinien zuzulassen, installieren Sie das Windows-Sicherheitsupdate, das am oder nach dem 9. April 2024 veröffentlicht wurde, und starten Sie das Gerät dann neu. Mit diesen Updates gibt es keine Beschränkung für die Anzahl von Richtlinien, die Sie gleichzeitig auf einem bestimmten Gerät bereitstellen können. Bis sie das windows-Sicherheitsupdate installieren, das am oder nach dem 9. April 2024 veröffentlicht wurde, ist Ihr Gerät auf 32 aktive Richtlinien beschränkt, und Sie dürfen diese Anzahl nicht überschreiten.

Hinweis

Das Richtlinienlimit wurde am Windows 11 21H2 nicht entfernt und bleibt auf 32 Richtlinien beschränkt.

Im Folgenden finden Sie einige gängige Szenarien, in denen mehrere parallele Richtlinien nützlich sind:

1. Parallele Erzwingung und Überwachung
   • Um Richtlinienänderungen vor der Bereitstellung im Erzwingungsmodus zu überprüfen, können Benutzer jetzt eine Basisrichtlinie im Überwachungsmodus parallel zu einer vorhandenen Basisrichtlinie im Erzwingungsmodus bereitstellen.
2. Mehrere Basisrichtlinien
   • Benutzer können zwei oder mehr Basisrichtlinien gleichzeitig erzwingen, um eine einfachere Richtlinienadressierung für Richtlinien mit unterschiedlichem Umfang/Absicht zu ermöglichen.
   • Wenn auf einem Gerät zwei Basisrichtlinien vorhanden sind, muss eine Anwendung beide Richtlinien übergeben, damit sie ausgeführt werden kann.
3. Ergänzende Richtlinien
   • Benutzer können eine oder mehrere zusätzliche Richtlinien bereitstellen, um eine Basisrichtlinie zu erweitern.
   • Eine zusätzliche Richtlinie erweitert eine einzelne Basisrichtlinie, und mehrere zusätzliche Richtlinien können dieselbe Basisrichtlinie erweitern.
   • Bei ergänzenden Richtlinien werden Anwendungen ausgeführt, die entweder von der Basisrichtlinie oder ihrer ergänzenden Richtlinie/Richtlinien zugelassen werden.

Hinweis

Systeme vor 1903 unterstützen die Verwendung von WDAC-Richtlinien im Mehrfachrichtlinienformat nicht.

Basis- und ergänzende Richtlinieninteraktion

• Mehrere Basisrichtlinien: Schnittmenge
  • Nur Anwendungen, die von beiden Richtlinien zugelassen werden, werden ohne Generieren von Blockereignissen ausgeführt.
• Basis + ergänzende Richtlinie: Union
  • Dateien, die entweder von der Basisrichtlinie oder der ausführung der ergänzenden Richtlinie zulässig sind

Erstellen von WDAC-Richtlinien im Format mehrerer Richtlinien

Damit mehrere Richtlinien vorhanden sind und auf einem einzelnen System wirksam werden, müssen Richtlinien mit dem neuen Format für mehrere Richtlinien erstellt werden. Der Schalter "MultiplePolicyFormat" in New-CIPolicy führt zu 1) eindeutigen Werten für die Richtlinien-ID und 2) zum Richtlinientyp, der als Basisrichtlinie festgelegt wird. Im folgenden Beispiel wird der Prozess zum Erstellen einer neuen Richtlinie im Format mit mehreren Richtlinien beschrieben.

New-CIPolicy -MultiplePolicyFormat -ScanPath "<path>" -UserPEs -FilePath ".\policy.xml" -Level FilePublisher -Fallback SignedVersion,Publisher,Hash

Optional können Sie festlegen, dass die neue Basisrichtlinie zusätzliche Richtlinien zulässt.

Set-RuleOption -FilePath ".\policy.xml" -Option 17

Stellen Sie sicher, dass zusätzliche Signierer definiert sind, damit signierte Basisrichtlinien zusätzliche Richtlinien zulassen. Verwenden Sie den Zusatzschalter in Add-SignerRule , um zusätzliche Signierer bereitzustellen.

Add-SignerRule -FilePath ".\policy.xml" -CertificatePath <certificate_path_> [-Kernel] [-User] [-Update] [-Supplemental] [-Deny]

Zusätzliche Richtlinienerstellung

Um eine zusätzliche Richtlinie zu erstellen, erstellen Sie zunächst eine neue Richtlinie im Format mehrerer Richtlinien, wie oben gezeigt. Verwenden Sie dort Set-CIPolicyIdInfo, um sie in eine ergänzende Richtlinie zu konvertieren, und geben Sie an, welche Basisrichtlinie sie erweitert. Sie können entweder SupplementsBasePolicyID oder BasePolicyToSupplementPath verwenden, um die Basisrichtlinie anzugeben.

• "SupplementsBasePolicyID": GUID der Basisrichtlinie, für die die ergänzende Richtlinie gilt
• "BasePolicyToSupplementPath": Pfad zur Basisrichtliniendatei, für die die ergänzende Richtlinie gilt

Set-CIPolicyIdInfo -FilePath ".\supplemental_policy.xml" [-SupplementsBasePolicyID <BasePolicyGUID>] [-BasePolicyToSupplementPath <basepolicy_path_>] -PolicyId <policy_Id> -PolicyName <PolicyName>

Zusammenführen von Richtlinien

Beim Zusammenführen von Richtlinien werden der Richtlinientyp und die ID der am weitesten links bzw. am anfang angegebenen Richtlinie verwendet. Wenn ganz links eine Basisrichtlinie mit ID-ID <>ist, ist die zusammengeführte Richtlinie unabhängig davon, welche GUIDs und Typen für nachfolgende Richtlinien gelten, eine Basisrichtlinie mit ID-ID<>.

Bereitstellen mehrerer Richtlinien

Um mehrere Windows Defender Anwendungssteuerungsrichtlinien bereitzustellen, müssen Sie diese entweder lokal bereitstellen, indem Sie die *.cip Richtliniendateien in den richtigen Ordner kopieren oder den ApplicationControl-CSP verwenden.

Lokales Bereitstellen mehrerer Richtlinien

Führen Sie die folgenden Schritte aus, um Richtlinien lokal mit dem neuen Format für mehrere Richtlinien bereitzustellen:

1. Stellen Sie sicher, dass binäre Richtliniendateien das richtige Benennungsformat von {PolicyGUID}.cipaufweisen.
   • Stellen Sie sicher, dass der Name der binären Richtliniendatei genau mit der PolicyID-GUID in der Richtlinie übereinstimmt.
   • Wenn das Richtlinien-XML beispielsweise die ID als <PolicyID>{A6D7FBBF-9F6B-4072-BF37-693741E1D745}</PolicyID>aufweist, lautet {A6D7FBBF-9F6B-4072-BF37-693741E1D745}.cipder richtige Name für die binäre Richtliniendatei.
2. Kopieren Sie binäre Richtlinien in C:\Windows\System32\CodeIntegrity\CiPolicies\Active.
3. Starten Sie das System neu.

Bereitstellen mehrerer Richtlinien über ApplicationControl CSP

Mehrere Windows Defender Anwendungssteuerungsrichtlinien können von einem MDM-Server über den ApplicationControl-Konfigurationsdienstanbieter (CSP) verwaltet werden. Der CSP bietet auch Unterstützung für die Bereitstellung von Richtlinien ohne Neustart.

Wenn die Registrierung von Richtlinien jedoch von einem MDM-Server aufgehoben wird, versucht der CSP, jede richtlinie zu entfernen, die nicht aktiv bereitgestellt wurde, nicht nur die vom CSP hinzugefügten Richtlinien. Dieses Verhalten tritt auf, weil das System nicht weiß, welche Bereitstellungsmethoden zum Anwenden einzelner Richtlinien verwendet wurden.

Weitere Informationen zum Bereitstellen mehrerer Richtlinien, optional mithilfe der benutzerdefinierten OMA-URI-Funktion von Microsoft Intune, finden Sie unter ApplicationControl CSP.

Hinweis

WMI und GP unterstützen derzeit nicht mehrere Richtlinien. Stattdessen sollten Kunden, die nicht direkt auf den MDM-Stapel zugreifen können, den ApplicationControl-CSP über den MDM-Bridge-WMI-Anbieter verwenden, um mehrere Richtlinienformat-Windows Defender Anwendungssteuerungsrichtlinien zu verwalten.