Bereitstellen von WDAC-Richtlinien mithilfe von Microsoft Configuration Manager

• Gilt für::

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Hinweis

Einige Funktionen von Windows Defender Application Control (WDAC) sind nur für bestimmte Windows-Versionen verfügbar. Erfahren Sie mehr über die Verfügbarkeit des Anwendungssteuerungsfeatures.

Sie können Microsoft Configuration Manager verwenden, um Windows Defender Anwendungssteuerung (WDAC) auf Clientcomputern zu konfigurieren.

Verwenden der integrierten Richtlinien von Configuration Manager

Configuration Manager umfasst native Unterstützung für WDAC, mit der Sie Windows 10 und Windows 11 Clientcomputer mit einer Richtlinie konfigurieren können, die nur Folgendes zulässt:

• Windows-Komponenten
• Microsoft Store-Apps
• Von Configuration Manager installierte Apps (Configuration Manager selbstkonfiguriert als verwaltetes Installationsprogramm)
• (Optional) Seriöse Apps gemäß der Definition des Intelligent Security Graph (ISG)
• (Optional) Apps und ausführbare Dateien, die bereits an vom Administrator definierbaren Ordnerspeicherorten installiert sind, die Configuration Manager durch eine einmalige Überprüfung während der Richtlinienerstellung auf verwalteten Endpunkten zulassen.

Configuration Manager entfernt keine Richtlinien nach der Bereitstellung. Um die Erzwingung zu beenden, sollten Sie die Richtlinie in den Überwachungsmodus wechseln, was denselben Effekt erzeugt. Wenn Sie Windows Defender Anwendungssteuerung (WDAC) vollständig deaktivieren möchten (einschließlich des Überwachungsmodus), können Sie ein Skript bereitstellen, um die Richtliniendatei vom Datenträger zu löschen und entweder einen Neustart auszulösen oder auf den nächsten Neustart zu warten.

Erstellen einer WDAC-Richtlinie in Configuration Manager

1. Wählen Sie Asset and Compliance>Endpoint Protection>Windows Defender Application Control>Create Application Control Policy (Anwendungssteuerungsrichtlinie erstellen) aus.

   

2. Geben Sie den Namen der Richtlinie >Weiter ein.

3. Aktivieren Eines Neustarts von Geräten erzwingen, damit diese Richtlinie für alle Prozesse erzwungen werden kann

4. Wählen Sie den Modus aus, in dem die Richtlinie ausgeführt werden soll (Erzwingung aktiviert/Nur Überwachen)

5. Wählen Sie Weiter aus.

   

6. Wählen Sie Hinzufügen aus, um mit dem Erstellen von Regeln für vertrauenswürdige Software zu beginnen.

   

7. Wählen Sie Datei oder Ordner aus, um eine Pfadregel > zu erstellen Durchsuchen.

   

8. Wählen Sie die ausführbare Datei oder den Ordner für Ihre Pfadregel >AUS. OK

   

9. Wählen Sie OK aus, um die Regel der Tabelle mit vertrauenswürdigen Dateien oder Ordnern hinzuzufügen.

10. Wählen Sie Weiter aus, um zur Zusammenfassungsseite >Schließen zu navigieren.

    

Bereitstellen der WDAC-Richtlinie in Configuration Manager

1. Klicken Sie mit der rechten Maustaste auf die neu erstellte Richtlinie >Anwendungssteuerungsrichtlinie bereitstellen.

   

2. Wählen Sie Durchsuchen aus.

   

3. Wählen Sie die gerätesammlung aus, die Sie zuvor > erstellt haben OK

   

4. Ändern des Zeitplans >OK

   

Weitere Informationen zur Verwendung der nativen WDAC-Richtlinien von Configuration Manager finden Sie unter Windows Defender Anwendungssteuerungsverwaltung mit Configuration Manager.

Laden Sie das gesamte WDAC-Dokument in Configuration Manager Lab-Dokument herunter.

Bereitstellen benutzerdefinierter WDAC-Richtlinien mithilfe von Paketen/Programmen oder Tasksequenzen

Die Verwendung der integrierten Richtlinien von Configuration Manager kann ein hilfreicher Ausgangspunkt sein, aber Kunden finden die in Configuration Manager verfügbaren Optionen für den Vertrauenskreis möglicherweise zu einschränkend. Um Ihren eigenen Vertrauenskreis zu definieren, können Sie Configuration Manager verwenden, um benutzerdefinierte WDAC-Richtlinien mithilfe einer skriptbasierten Bereitstellung über Softwareverteilungspakete und -programme oder Tasksequenzen für die Betriebssystembereitstellung bereitzustellen.