Bereitstellen von WDAC-Richtlinien mithilfe von Mobile Geräteverwaltung (MDM)
Hinweis
Einige Funktionen von Windows Defender Application Control (WDAC) sind nur für bestimmte Windows-Versionen verfügbar. Erfahren Sie mehr über die Verfügbarkeit der Windows Defender Anwendungssteuerungsfeature.
Sie können eine Mobile Geräteverwaltung (MDM)-Lösung wie Microsoft Intune verwenden, um Windows Defender Anwendungssteuerung (WDAC) auf Clientcomputern zu konfigurieren. Intune umfasst native Unterstützung für WDAC, was ein hilfreicher Ausgangspunkt sein kann, aber Kunden finden die verfügbaren Optionen für den Vertrauenskreis möglicherweise zu einschränkend. Um eine benutzerdefinierte Richtlinie über Intune bereitzustellen und Einen eigenen Vertrauenskreis zu definieren, können Sie ein Profil mithilfe des benutzerdefinierten OMA-URI konfigurieren. Wenn Ihr organization eine andere MDM-Lösung verwendet, wenden Sie sich an Ihren Lösungsanbieter, um die Schritte zur Bereitstellung von WDAC-Richtlinien zu erfahren.
Wichtig
Aufgrund eines bekannten Problems sollten Sie immer neue signierte WDAC-Basisrichtlinien mit einem Neustart auf Systemen mit aktivierter Speicherintegrität aktivieren. Stellen Sie anstelle von Mobile Geräteverwaltung (MDM) neue signierte WDAC-Basisrichtlinien per Skript bereit, und aktivieren Sie die Richtlinie mit einem Systemneustart.
Dieses Problem wirkt sich nicht auf Updates von signierten Basisrichtlinien aus, die bereits auf dem System aktiv sind, die Bereitstellung von nicht signierten Richtlinien oder die Bereitstellung zusätzlicher Richtlinien (signiert oder unsigniert). Dies wirkt sich auch nicht auf Bereitstellungen auf Systemen aus, auf denen keine Speicherintegrität ausgeführt wird.
Verwenden der integrierten Richtlinien von Intune
Intune integrierte Unterstützung für Windows Defender Anwendungssteuerung ermöglicht es Ihnen, Windows-Clientcomputer so zu konfigurieren, dass sie nur ausgeführt werden:
- Windows-Komponenten
- Hardware- und Softwarekernelstreiber von Drittanbietern
- Von Microsoft Store signierte Apps
- [Optional] Seriöse Apps gemäß der Definition des Intelligent Security Graph (ISG)
Hinweis
Intune integrierten Richtlinien verwenden die Einzelrichtlinienformatversion vor 1903 der DefaultWindows-Richtlinie. Verwenden Sie die verbesserte Intune WDAC-Benutzeroberfläche, die sich derzeit in der öffentlichen Vorschau befindet, um Dateien im Format mit mehreren Richtlinien zu erstellen und bereitzustellen. Alternativ können Sie das benutzerdefinierte OMA-URI-Feature von Intune verwenden, um Ihre eigenen WDAC-Richtlinien im Format mehrerer Richtlinien bereitzustellen und die features zu nutzen, die auf Windows 10 1903 oder höher oder Windows 11 verfügbar sind, wie weiter unten in diesem Thema beschrieben.
Hinweis
Intune verwendet derzeit den AppLocker-CSP, um die integrierten Richtlinien bereitzustellen. Der AppLocker-CSP fordert immer einen Geräteneustart an, wenn er WDAC-Richtlinien anwendet. Verwenden Sie die verbesserte Intune WDAC-Benutzeroberfläche, die sich derzeit in der öffentlichen Vorschau befindet, um Ihre eigenen WDAC-Richtlinien ohne Neustart bereitzustellen. Alternativ können Sie das benutzerdefinierte OMA-URI-Feature von Intune mit dem ApplicationControl-CSP verwenden.
Konfigurieren Sie Endpoint Protection für Windows 10 (und höher), um die integrierten WDAC-Richtlinien von Intune zu verwenden.
Bereitstellen von WDAC-Richtlinien mit benutzerdefiniertem OMA-URI
Hinweis
Richtlinien, die über Intune benutzerdefinierten OMA-URI bereitgestellt werden, unterliegen einem Grenzwert von 350.000 Byte. Kunden sollten Windows Defender Anwendungssteuerungsrichtlinien erstellen, die signaturbasierte Regeln, intelligent Security Graph und verwaltete Installationsprogramme verwenden, sofern dies sinnvoll ist. Kunden, auf deren Geräten Windows-Builds 1903 und höher ausgeführt werden, werden ebenfalls empfohlen , mehrere Richtlinien zu verwenden, die eine präzisere Richtlinie ermöglichen.
Sie sollten nun eine oder mehrere WDAC-Richtlinien in binäre Form konvertiert haben. Führen Sie andernfalls die schritte aus, die unter Bereitstellen Windows Defender Anwendungssteuerungsrichtlinien (WDAC) beschrieben sind.
Bereitstellen von benutzerdefinierten WDAC-Richtlinien auf Windows 10 1903 und höher
Ab Windows 10 1903 kann die benutzerdefinierte OMA-URI-Richtlinienbereitstellung den ApplicationControl-CSP verwenden, der mehrere Richtlinien und neustartlose Richtlinien unterstützt.
Hinweis
Vor der Bereitstellung mit OMA-URI müssen Sie die XML-Datei ihrer benutzerdefinierten Richtlinie in binäre Form konvertieren.
Die benutzerdefinierten OMA-URI-Funktionen von Intune müssen wie folgt verwendet werden:
Öffnen Sie das Microsoft Intune-Portal, und erstellen Sie ein Profil mit benutzerdefinierten Einstellungen.
Geben Sie einen Namen und eine Beschreibung an, und verwenden Sie die folgenden Werte für die verbleibenden benutzerdefinierten OMA-URI-Einstellungen:
- OMA-URI:
./Vendor/MSFT/ApplicationControl/Policies/_Policy GUID_/Policy - Datentyp: Base64 (Datei)
- Zertifikatdatei: Laden Sie die Richtliniendatei im Binärformat hoch. Ändern Sie dazu Ihre {GUID}.cip-Datei in {GUID}.bin. Sie müssen keine Base64-Datei hochladen, da Intune die hochgeladene .bin-Datei in Ihrem Namen in Base64 konvertiert.
- OMA-URI:
Hinweis
Schließen Sie für den Richtlinien-GUID-Wert nicht die geschweiften Klammern ein.
Entfernen von WDAC-Richtlinien auf Windows 10 1903 und höher
Nach dem Löschen werden Richtlinien, die über Intune über den ApplicationControl-CSP bereitgestellt werden, aus dem System entfernt, bleiben aber bis zum nächsten Neustart in Kraft. Um Windows Defender Erzwingung der Anwendungssteuerung zu deaktivieren, ersetzen Sie zuerst die vorhandene Richtlinie durch eine neue Version der Richtlinie, die "*" zulässt, wie die Regeln in der Beispielrichtlinie unter %windir%\schemas\CodeIntegrity\ExamplePolicies\AllowAll.xml. Nachdem die aktualisierte Richtlinie bereitgestellt wurde, können Sie die Richtlinie aus dem Intune-Portal löschen. Durch diesen Löschvorgang wird verhindert, dass etwas blockiert wird, und die WDAC-Richtlinie wird beim nächsten Neustart vollständig entfernt.
Für Systeme vor 1903
Bereitstellen von Richtlinien
Die Schritte zum Verwenden der benutzerdefinierten OMA-URI-Funktionalität von Intune, um den AppLocker-CSP anzuwenden und eine benutzerdefinierte WDAC-Richtlinie auf Systeme vor 1903 bereitzustellen, sind:
Konvertieren Sie die Richtlinien-XML mit dem Cmdlet ConvertFrom-CIPolicy in das Binärformat, um bereitgestellt zu werden. Die binäre Richtlinie kann signiert oder unsigniert sein.
Öffnen Sie das Microsoft Intune-Portal, und erstellen Sie ein Profil mit benutzerdefinierten Einstellungen.
Geben Sie einen Namen und eine Beschreibung an, und verwenden Sie die folgenden Werte für die verbleibenden benutzerdefinierten OMA-URI-Einstellungen:
- OMA-URI:
./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/_Grouping_/CodeIntegrity/Policy - Datentyp: Base64 (Datei)
- Zertifikatdatei: Laden Sie die Richtliniendatei im Binärformat hoch.
Hinweis
Das Bereitstellen von Richtlinien über den AppLocker-CSP erzwingt einen Neustart während der OOBE.
- OMA-URI:
Entfernen von Richtlinien
Richtlinien, die über Intune über den AppLocker-CSP bereitgestellt werden, können nicht über die Intune-Konsole gelöscht werden. Um Windows Defender Erzwingung von Anwendungssteuerungsrichtlinien zu deaktivieren, stellen Sie entweder eine Richtlinie im Überwachungsmodus bereit, oder verwenden Sie ein Skript, um die vorhandene Richtlinie zu löschen.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für