Beispiel für Basisrichtlinien für Windows Defender-Anwendungssteuerung
Hinweis
Einige Funktionen von Windows Defender Anwendungssteuerung sind nur in bestimmten Windows-Versionen verfügbar. Weitere Informationen finden Sie unter Verfügbarkeit Windows Defender Anwendungssteuerungsfeatures.
Wenn Sie Richtlinien für die Verwendung mit Windows Defender Anwendungssteuerung (WDAC) erstellen, beginnen Sie mit einer vorhandenen Basisrichtlinie, und fügen Sie dann Regeln hinzu, oder entfernen Sie sie, um Ihre eigene benutzerdefinierte Richtlinie zu erstellen. Windows enthält mehrere Beispielrichtlinien, die Sie verwenden können. Diese Beispielrichtlinien werden "unverändert" bereitgestellt. Sie sollten die von Ihnen bereitgestellten Richtlinien mit sicheren Bereitstellungsmethoden gründlich testen.
Beispielbasisrichtlinie | Beschreibung | Wo sie zu finden ist |
---|---|---|
DefaultWindows_*.xml | Diese Beispielrichtlinie ist sowohl im Überwachungsmodus als auch im erzwungenen Modus verfügbar. Sie enthält Regeln zum Zulassen von Windows, Hardware- und Softwarekernelstreibern von Drittanbietern sowie Windows Store-Apps. Wird als Grundlage für die Microsoft Intune Produktfamilienrichtlinien verwendet. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\DefaultWindows_*.xml %ProgramFiles%\WindowsApps\Microsoft.WDAC.WDACWizard*\DefaultWindows_Audit.xml |
AllowMicrosoft.xml | Diese Beispielrichtlinie enthält die Regeln aus DefaultWindows und fügt Regeln hinzu, um Apps zu vertrauen, die vom Stammzertifikat des Microsoft-Produkts signiert sind. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\AllowMicrosoft.xml %ProgramFiles%\WindowsApps\Microsoft.WDAC.WDACWizard*\AllowMicrosoft.xml |
AllowAll.xml | Diese Beispielrichtlinie ist beim Erstellen einer Sperrliste nützlich. Alle Blockrichtlinien sollten Regeln enthalten, mit denen der gesamte andere Code ausgeführt werden kann, und dann die DENY-Regeln für die Anforderungen Ihrer organization hinzufügen. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\AllowAll.xml |
AllowAll_EnableHVCI.xml | Diese Beispielrichtlinie kann verwendet werden, um die Speicherintegrität (auch als hypervisorgeschützte Codeintegrität bezeichnet) mithilfe von WDAC zu aktivieren. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\AllowAll_EnableHVCI.xml |
DenyAllAudit.xml | Warnung: Führt zu Startproblemen unter Windows Server 2019 und früheren Versionen. Verwenden Sie nicht auf diesen Betriebssystemen. Stellen Sie diese Beispielrichtlinie nur im Überwachungsmodus bereit, um alle Binärdateien nachzuverfolgen, die auf kritischen Systemen ausgeführt werden, oder um gesetzliche Anforderungen zu erfüllen. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\DenyAllAudit.xml |
Microsoft Configuration Manager | Kunden, die Configuration Manager verwenden, können eine Richtlinie mit der integrierten WDAC-Integration von Configuration Manager bereitstellen und dann die generierte Richtlinien-XML als Beispielbasisrichtlinie verwenden. | %OSDrive%\Windows\CCM\DeviceGuard auf einem verwalteten Endpunkt |
SmartAppControl.xml | Diese Beispielrichtlinie enthält Regeln, die auf smarten App-Steuerelementen basieren und sich gut für leicht verwaltete Systeme eignen. Diese Richtlinie enthält eine Regel, die für WDAC-Unternehmensrichtlinien nicht unterstützt wird und entfernt werden muss. Weitere Informationen zur Verwendung dieser Beispielrichtlinie finden Sie unter Erstellen einer benutzerdefinierten Basisrichtlinie mithilfe einer Beispielbasisrichtlinie. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\SmartAppControl.xml %ProgramFiles%\WindowsApps\Microsoft.WDAC.WDACWizard*\SignedReputable.xml |
Beispiel für eine ergänzende Richtlinie | In dieser Beispielrichtlinie wird gezeigt, wie Sie eine ergänzende Richtlinie verwenden, um die DefaultWindows_Audit.xml eine einzelne von Microsoft signierte Datei zuzulassen. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\DefaultWindows_Supplemental.xml |
Von Microsoft empfohlene Sperrliste | Diese Richtlinie enthält eine Liste von Windows- und von Microsoft signierten Code, den Microsoft bei verwendung von WDAC nach Möglichkeit blockiert. | Von Microsoft empfohlene Regeln zum Blockieren %ProgramFiles%\WindowsApps\Microsoft.WDAC.WDACWizard*\Recommended_UserMode_Blocklist.xml |
Von Microsoft empfohlene Treiberblockierungsliste | Diese Richtlinie enthält Regeln zum Blockieren bekannter anfälliger oder böswilliger Kerneltreiber. | Von Microsoft empfohlene Treiberblockierungsregeln %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\RecommendedDriverBlock_Enforced.xml %ProgramFiles%\WindowsApps\Microsoft.WDAC.WDACWizard*\Recommended_Driver_Blocklist.xml |
Windows S-Modus | Diese Richtlinie enthält die Regeln, die zum Erzwingen des Windows S-Modus verwendet werden. | %ProgramFiles%\WindowsApps\Microsoft.WDAC.WDACWizard*\WinSiPolicy.xml.xml |
Windows 11 SE | Diese Richtlinie enthält die Regeln, die zum Erzwingen von Windows 11 SE verwendet werden, einer Windows-Version, die für die Verwendung in Schulen entwickelt wurde. | %ProgramFiles%\WindowsApps\Microsoft.WDAC.WDACWizard*\WinSEPolicy.xml.xml |
Hinweis
Nicht alle unter %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies angezeigten Richtlinien sind in allen Versionen von Windows verfügbar.
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für