Bereitstellen Windows Defender Anwendungssteuerungsrichtlinien mithilfe von Gruppenrichtlinie

Hinweis

Einige Funktionen von Windows Defender Application Control (WDAC) sind nur für bestimmte Windows-Versionen verfügbar. Erfahren Sie mehr über die Verfügbarkeit der Windows Defender Anwendungssteuerungsfeature.

Wichtig

Aufgrund eines bekannten Problems sollten Sie immer neue signierte WDAC-Basisrichtlinien mit einem Neustart auf Systemen mit aktivierter Speicherintegrität aktivieren. Anstatt Gruppenrichtlinie, stellen Sie neue signierte WDAC-Basisrichtlinien per Skript bereit, und aktivieren Sie die Richtlinie mit einem Systemneustart.

Dieses Problem wirkt sich nicht auf Updates von signierten Basisrichtlinien aus, die bereits auf dem System aktiv sind, die Bereitstellung von nicht signierten Richtlinien oder die Bereitstellung zusätzlicher Richtlinien (signiert oder unsigniert). Dies wirkt sich auch nicht auf Bereitstellungen auf Systemen aus, auf denen keine Speicherintegrität ausgeführt wird.

Das Einzelrichtlinienformat Windows Defender Anwendungssteuerungsrichtlinien (Richtlinienschema vor 1903) kann problemlos mit Gruppenrichtlinie bereitgestellt und verwaltet werden.

Wichtig

Gruppenrichtlinie-basierte Bereitstellung von Windows Defender Anwendungssteuerungsrichtlinien unterstützt nur WDAC-Richtlinien im Einzelrichtlinienformat. Um WDAC auf Geräten mit Windows 10 1903 und höher oder Windows 11 zu verwenden, empfehlen wir die Verwendung einer alternativen Methode für die Richtlinienbereitstellung.

Sie sollten nun eine WDAC-Richtlinie in binäre Form konvertiert haben. Führen Sie andernfalls die schritte aus, die unter Bereitstellen Windows Defender Anwendungssteuerungsrichtlinien (WDAC) beschrieben sind.

Das folgende Verfahren führt Sie durch die Bereitstellung einer WDAC-Richtlinie namens SiPolicy.p7b in einer Test-ORGANISATIONSeinheit namens WDAC-aktivierte PCs mithilfe eines Gruppenrichtlinienobjekts namens Contoso GPO Test.

So stellen Sie eine Windows Defender Anwendungssteuerungsrichtlinie mit Gruppenrichtlinie bereit und verwalten sie:

  1. Öffnen Sie auf einem Clientcomputer, auf dem RSAT installiert ist, die GPMC, indem Sie GPMC.MSC ausführen.

  2. Erstellen Eines neuen Gruppenrichtlinienobjekts: Klicken Sie mit der rechten Maustaste auf eine Organisationseinheit, und wählen Sie dann Gruppenrichtlinienobjekt in dieser Domäne erstellen aus, und verknüpfen Sie es hier.

    Hinweis

    Sie können einen beliebigen Organisationseinheitsnamen verwenden. Darüber hinaus ist die Filterung von Sicherheitsgruppen eine Option, wenn Sie verschiedene Möglichkeiten in Betracht ziehen, WDAC-Richtlinien zu kombinieren (oder sie getrennt zu halten), wie unter Planen der Windows Defender Lebenszyklusrichtlinienverwaltung der Anwendungssteuerung erläutert.

    Gruppenrichtlinie Verwaltung erstellen Sie ein Gruppenrichtlinienobjekt.

  3. Name des neuen GPO. Sie können einen beliebigen Namen wählen.

  4. Öffnen Sie die Gruppenrichtlinie Management Editor: Klicken Sie mit der rechten Maustaste auf das neue Gruppenrichtlinienobjekt, und wählen Sie dann Bearbeiten aus.

  5. Navigieren Sie im ausgewählten Gruppenrichtlinienobjekt zu Computerkonfiguration\Administrative Vorlagen\System\Device Guard. Klicken Sie mit der rechten Maustaste auf Windows Defender Anwendungssteuerung bereitstellen, und wählen Sie dann Bearbeiten aus.

    Bearbeiten Sie die Gruppenrichtlinie für Windows Defender Anwendungssteuerung.

  6. Wählen Sie im Dialogfeld Anwendungssteuerung bereitstellen Windows Defender die Option Aktiviert aus, und geben Sie dann den WDAC-Richtlinienbereitstellungspfad an.

    In dieser Richtlinieneinstellung geben Sie entweder den lokalen Pfad an, in dem die Richtlinie auf jedem Clientcomputer vorhanden ist, oder einen UNC-Pfad (Universal Naming Convention), den die Clientcomputer suchen, um die neueste Version der Richtlinie abzurufen. Der Pfad zu "SiPolicy.p7b" lautet z. B. unter Bereitstellen Windows Defender WDAC-Richtlinien (Application Control) %USERPROFILE%\Desktop\SiPolicy.p7b.

    Hinweis

    Diese Richtliniendatei muss nicht auf jeden Computer kopiert werden. Sie können stattdessen die WDAC-Richtlinien auf eine Dateifreigabe kopieren, auf die alle Computerkonten zugreifen können. Die hier ausgewählte Richtlinie wird in „SIPolicy.p7b“ umgewandelt, wenn Sie auf einzelnen Clientcomputern bereitgestellt wird.

    Gruppenrichtlinie als Deploy Windows Defender Application Control bezeichnet.

    Hinweis

    Möglicherweise haben Sie bemerkt, dass die GPO-Einstellung auf eine P7B-Datei verweist, aber die Dateierweiterung und der Name der Richtlinienbinärdatei spielen keine Rolle. Unabhängig davon, wie Sie Ihre Richtlinienbinärdatei benennen, werden sie alle in SIPolicy.p7b konvertiert, wenn sie auf die Clientcomputer angewendet werden, auf denen Windows 10 ausgeführt wird. Wenn Sie verschiedene WDAC-Richtlinien für verschiedene Gerätegruppen bereitstellen, sollten Sie jeder Ihrer WDAC-Richtlinien einen Anzeigenamen zuweisen und dem System erlauben, die Richtliniennamen für Sie zu konvertieren, um sicherzustellen, dass die Richtlinien leicht unterscheidbar sind, wenn sie in einer Freigabe oder einem anderen zentralen Repository angezeigt werden.

  7. Schließen Sie die Gruppenrichtlinie Management Editor, und starten Sie dann den Windows-Testcomputer neu. Durch das Neustarten des Computers wird die WDAC-Richtlinie aktualisiert.