Freigeben über

Entfernen von WDAC-Richtlinien (Windows Defender Application Control)

Hinweis

Einige Funktionen der Windows Defender-Anwendungssteuerung (WDAC) sind nur für bestimmte Windows-Versionen verfügbar. Erfahren Sie mehr über die Verfügbarkeit der Windows Defender Anwendungssteuerungsfeature.

Entfernen von WDAC-Richtlinien

Möglicherweise möchten Sie eine oder mehrere WDAC-Richtlinien oder alle bereitgestellten WDAC-Richtlinien entfernen. In diesem Artikel werden die verschiedenen Möglichkeiten zum Entfernen von WDAC-Richtlinien beschrieben.

Wichtig

Signierte WDAC-Richtlinie

Wenn die Richtlinie, die Sie entfernen möchten, eine signierte WDAC-Richtlinie ist, müssen Sie zuerst eine signierte Ersatzrichtlinie bereitstellen, die Option 6 Aktiviert:Nicht signierte Systemintegritätsrichtlinie enthält.

Die Ersetzungsrichtlinie muss dieselbe PolicyId aufweisen wie die, die sie ersetzt, und eine Version, die gleich oder größer als die vorhandene Richtlinie ist. Die Ersetzungsrichtlinie muss auch UpdatePolicySigners> enthalten<.

Um wirksam zu werden, muss diese Richtlinie mit einem Zertifikat signiert werden, das <im Abschnitt UpdatePolicySigners> der ursprünglichen Richtlinie enthalten ist, die Sie ersetzen möchten.

Anschließend müssen Sie den Computer neu starten, damit der UEFI-Schutz der Richtlinie deaktiviert wird. Andernfalls führt dies zu einem Startfehler.

Bevor Sie eine Richtlinie entfernen, müssen Sie zuerst die Methode deaktivieren, die für die Bereitstellung verwendet wird (z. B. Gruppenrichtlinie oder MDM). Andernfalls kann die Richtlinie erneut auf dem Computer bereitgestellt werden.

Damit eine Richtlinie vor dem Entfernen effektiv inaktiv ist, können Sie die Richtlinie zunächst durch eine neue Richtlinie ersetzen, die die folgenden Änderungen enthält:

  1. Ersetzen Sie die Richtlinienregeln durch "Allow *"-Regeln.
  2. Option 3 Aktiviert festlegen: Überwachungsmodus , um die Richtlinie nur in den Überwachungsmodus zu ändern;
  3. Festlegen von Option 11 Deaktiviert: Skripterzwingung;
  4. Alle COM-Objekte zulassen. Weitere Informationen finden Sie unter Zulassen der COM-Objektregistrierung in einer WDAC-Richtlinie.
  5. Entfernen Sie ggf. Option 0 Enabled:UMCI , um die Richtlinie nur in den Kernelmodus zu konvertieren.

Wichtig

Nachdem Sie eine Richtlinie entfernt haben, starten Sie den Computer neu, damit sie wirksam wird. Sie können WDAC-Richtlinien nicht entfernen, ohne das Gerät neu zu starten.

Entfernen von WDAC-Richtlinien mithilfe von CiTool.exe

Ab dem Windows 11 2022 Update können Sie WDAC-Richtlinien mithilfe von CiTool.exe entfernen. Führen Sie in einem Befehlsfenster mit erhöhten Rechten den folgenden Befehl aus. Achten Sie darauf, den Text PolicyId GUID durch die tatsächliche PolicyId der WDAC-Richtlinie zu ersetzen, die Sie entfernen möchten:

    CiTool.exe -rp "{PolicyId GUID}" -json

Starten Sie dann den Computer neu.

Entfernen von WDAC-Richtlinien mithilfe von MDM-Lösungen wie Intune

Sie können eine Mdm-Lösung (Mobile Device Management) wie Microsoft Intune verwenden, um WDAC-Richtlinien mithilfe des ApplicationControl-CSP von Clientcomputern zu entfernen.

Wenden Sie sich an Ihren MDM-Lösungsanbieter, um spezifische Informationen zur Verwendung des ApplicationControl-CSP zu erhalten.

Starten Sie dann den Computer neu.

Entfernen von WDAC-Richtlinien mithilfe eines Skripts

Um WDAC-Richtlinien mithilfe eines Skripts zu entfernen, muss ihr Skript die Richtliniendateien vom Computer löschen. Suchen Sie bei WDAC-Richtlinien mit mehreren Richtlinienformaten (1903 und höher) an den folgenden Speicherorten nach den Richtliniendateien. Achten Sie darauf, die PolicyId-GUID durch die tatsächliche PolicyId der WDAC-Richtlinie zu ersetzen, die Sie entfernen möchten.

  • <EFI-Systempartition>\Microsoft\Boot\CiPolicies\Active\{PolicyId GUID}.cip
  • <Betriebssystemvolume>\Windows\System32\CodeIntegrity\CiPolicies\Active\{PolicyId GUID}.cip

Suchen Sie für WDAC-Richtlinien im einzelnen Richtlinienformat zusätzlich zu den beiden oben genannten Speicherorten auch nach einer Datei namens SiPolicy.p7b, die sich möglicherweise an den folgenden Speicherorten befindet:

  • <EFI-Systempartition>\Microsoft\Boot\SiPolicy.p7b
  • <Betriebssystemvolume>\Windows\System32\CodeIntegrity\SiPolicy.p7b

Starten Sie dann den Computer neu.

Beispielskript zum Löschen einer einzelnen WDAC-Richtlinie

# Set PolicyId GUID to the PolicyId from your WDAC policy XML
$PolicyId = "{PolicyId GUID}"

# Initialize variables
$SinglePolicyFormatPolicyId = "{A244370E-44C9-4C06-B551-F6016E563076}"
$SinglePolicyFormatFileName = "\SiPolicy.p7b"
$MountPoint =  $env:SystemDrive+"\EFIMount"
$SystemCodeIntegrityFolderRoot = $env:windir+"\System32\CodeIntegrity"
$EFICodeIntegrityFolderRoot = $MountPoint+"\EFI\Microsoft\Boot"
$MultiplePolicyFilePath = "\CiPolicies\Active\"+$PolicyId+".cip"

# Mount the EFI partition
$EFIPartition = (Get-Partition | Where-Object IsSystem).AccessPaths[0]
if (-Not (Test-Path $MountPoint)) { New-Item -Path $MountPoint -Type Directory -Force }
mountvol $MountPoint $EFIPartition

# Check if the PolicyId to be removed is the system reserved GUID for single policy format.
# If so, the policy may exist as both SiPolicy.p7b in the policy path root as well as
# {GUID}.cip in the CiPolicies\Active subdirectory
if ($PolicyId -eq $SinglePolicyFormatPolicyId) {$NumFilesToDelete = 4} else {$NumFilesToDelete = 2}

$Count = 1
while ($Count -le $NumFilesToDelete)
{

    # Set the $PolicyPath to the file to be deleted, if exists
    Switch ($Count)
    {
        1 {$PolicyPath = $SystemCodeIntegrityFolderRoot+$MultiplePolicyFilePath}
        2 {$PolicyPath = $EFICodeIntegrityFolderRoot+$MultiplePolicyFilePath}
        3 {$PolicyPath = $SystemCodeIntegrityFolderRoot+$SinglePolicyFormatFileName}
        4 {$PolicyPath = $EFICodeIntegrityFolderRoot+$SinglePolicyFormatFileName}
    }

    # Delete the policy file from the current $PolicyPath
    Write-Host "Attempting to remove $PolicyPath..." -ForegroundColor Cyan
    if (Test-Path $PolicyPath) {Remove-Item -Path $PolicyPath -Force -ErrorAction Continue}

    $Count = $Count + 1
}

# Dismount the EFI partition
mountvol $MountPoint /D

Hinweis

Sie müssen das Skript als Administrator ausführen, um WDAC-Richtlinien auf Ihrem Computer zu entfernen.

Entfernen von WDAC-Richtlinien, die zu Startstoppfehlern führen

Eine WDAC-Richtlinie, die startkritische Treiber blockiert, kann zu einem Startstoppfehler (Boot Stop Failure, BSOD) führen. Dies kann jedoch durch Festlegen von Option 10 Aktiviert:Startüberwachung bei Fehlern in Ihren Richtlinien behoben werden. Darüber hinaus schützen signierte WDAC-Richtlinien die Richtlinie vor administrativer Manipulation und Schadsoftware, die Zugriff auf das System auf Administratorebene erhalten hat. Aus diesem Grund sind signierte WDAC-Richtlinien auch für Administratoren absichtlich schwieriger zu entfernen als nicht signierte Richtlinien. Das Manipulieren oder Entfernen einer signierten WDAC-Richtlinie führt zu einem BSOD.

So entfernen Sie eine Richtlinie, die Startstoppfehler verursacht:

  1. Wenn es sich bei der Richtlinie um eine signierte WDAC-Richtlinie handelt, deaktivieren Sie den sicheren Start über das UEFI-BIOS-Menü. Wenn Sie Hilfe bei der Suche nach dem Deaktivieren des sicheren Starts in Ihrem BIOS-Menü benötigen, wenden Sie sich an Den Originalgerätehersteller (OEM).
  2. Greifen Sie auf das Menü Erweiterte Startoptionen auf Ihrem Computer zu, und wählen Sie die Option Treibersignaturerzwingung deaktivieren aus. Anweisungen zum Zugriff auf das Menü Erweiterte Startoptionen während des Startvorgangs erhalten Sie von Ihrem OEM. Mit dieser Option werden alle Codeintegritätsprüfungen, einschließlich WDAC, für eine einzelne Startsitzung angehalten.
  3. Starten Sie Windows normal, und melden Sie sich an. Entfernen Sie dann WDAC-Richtlinien mithilfe eines Skripts.
  4. Wenn Sie den sicheren Start in Schritt 1 oben deaktiviert haben und Ihr Laufwerk durch BitLocker geschützt ist, setzen Sie den BitLocker-Schutz aus , und aktivieren Sie dann den sicheren Start über Das UEFI-BIOS-Menü.
  5. Starten Sie den Computer neu.

Hinweis

Wenn Ihr Laufwerk durch BitLocker geschützt ist, benötigen Sie möglicherweise Ihre Bitlocker-Wiederherstellungsschlüssel, um die oben genannten Schritte 1 bis 2 auszuführen.