Verwalten von gepackten Apps mit Windows Defender Anwendungssteuerung

• Gilt für::

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Hinweis

Einige Funktionen von Windows Defender Application Control (WDAC) sind nur für bestimmte Windows-Versionen verfügbar. Erfahren Sie mehr über die Verfügbarkeit von WDAC-Features.

In diesem Artikel für IT-Experten werden Konzepte und Verfahren beschrieben, mit denen Sie gepackte Apps mit Windows Defender Application Control (WDAC) als Teil Ihrer gesamten Strategie für die Anwendungssteuerung verwalten können.

Vergleich von klassischen Windows-Apps und gepackten Apps

Die größte Herausforderung bei der Einführung der Anwendungssteuerung ist das Fehlen einer starken App-Identität für klassische Windows-Apps, auch bekannt als Win32-Apps. Eine typische Win32-App besteht aus mehreren Komponenten, einschließlich des Installationsprogramms, das zum Installieren der App verwendet wird, und einer oder mehreren EXE-Dateien, DLLs oder Skripts. Eine App kann aus Hunderten oder sogar Tausenden von einzelnen Binärdateien bestehen, die zusammenarbeiten, um die Funktionalität bereitzustellen, die Ihre Benutzer als App verstehen. Ein Teil dieses Codes kann vom Softwareherausgeber signiert werden, einige von anderen Unternehmen und einige davon sind möglicherweise überhaupt nicht signiert. Ein Großteil des Codes kann von einem gängigen Satz von Installationsprogrammen auf den Datenträger geschrieben werden, aber einige sind möglicherweise bereits installiert und einige bei Bedarf heruntergeladen. Einige der Binärdateien verfügen über allgemeine Ressourcenheadermetadaten, z. B. Produktname und Produktversion, aber andere Dateien teilen diese Informationen nicht mit. Obwohl Sie in der Lage sein möchten, Regeln wie "App Foo zulassen" ausdrücken zu können, ist dies nicht etwas, was Windows für klassische Windows-Apps grundsätzlich versteht. Stattdessen müssen Sie möglicherweise viele WDAC-Regeln erstellen, um alle Dateien zuzulassen, aus denen die App besteht.

Verpackte Apps hingegen, auch bekannt als MSIX, stellen sicher, dass alle Dateien, aus denen eine App besteht, dieselbe Identität und eine gemeinsame Signatur aufweisen. Daher ist es mit gepackten Apps möglich, die gesamte App mit einer einzelnen WDAC-Regel zu steuern.

Verwenden von WDAC zum Verwalten von gepackten Apps

Wichtig

Beim Steuern von gepackten Apps müssen Sie zwischen Signaturgeberregeln oder PFN-Regeln (Paketfamilienname) wählen. Wenn eine PFN-Regel (Paketfamilienname) in Ihrer WDAC-Basisrichtlinie oder einer ihrer ergänzenden Richtlinien verwendet wird, müssen alle gepackten Apps ausschließlich mithilfe von PFN-Regeln gesteuert werden. Sie können PFN-Regeln nicht mit signaturbasierten Regeln innerhalb des Gültigkeitsbereichs einer bestimmten Basisrichtlinie kombinieren und abgleichen. Dies wirkt sich auf viele Posteingangs-System-Apps wie das Startmenü aus. Sie können In PFN-Regeln auf Windows 11 MitPlatzhaltern die Erstellung von Regeln vereinfachen.

Erstellen von signaturbasierten Regeln für verpackte Apps

Alle Dateien, aus denen eine MSIX-App besteht, werden mit einer gemeinsamen Katalogsignatur signiert. Mithilfe des PowerShell-Cmdlets New-CIPolicyRule können Sie eine Signaturgeberregel aus der Installationsdatei der MSIX-App (MSIX oder MSIXbundle) oder aus der Datei AppxSignature.p7x im Installationsordner der App unter %ProgramFiles%\WindowsApps\ erstellen. Zum Beispiel:

Erstellen einer Signaturgeberregel aus MSIX/MSIXBUNDLE

$FilePath = $env:USERPROFILE+'\Downloads\WDACWizard_2.1.0.1_x64_8wekyb3d8bbwe.MSIX'
$Rules = New-CIPolicyRule -DriverFilePath $FilePath -Level Publisher

Verwenden Sie dann das PowerShell-Cmdlet Merge-CIPolicy , um Ihre neue Regel in Ihrem vorhandenen WDAC-Richtlinien-XML zusammenzuführen.

Erstellen einer Signaturgeberregel aus AppxSignature.p7x

$FilePath = $env:ProgramFiles+'\WindowsApps\Microsoft.WDAC.WDACWizard_2.1.0.1_x64__8wekyb3d8bbwe\AppxSignature.p7x'
$Rules = New-CIPolicyRule -DriverFilePath $FilePath -Level Publisher

Verwenden Sie dann das PowerShell-Cmdlet Merge-CIPolicy , um Ihre neue Regel in Ihrem vorhandenen WDAC-Richtlinien-XML zusammenzuführen.

Erstellen von PackageFamilyName-Regeln für verpackte Apps

Erstellen von PFN-Regeln aus PowerShell

Sie können PFN-Regeln direkt aus gepackten Apps erstellen, die derzeit mit den PowerShell-Cmdlets Get-AppXPackage und New-CIPolicyRule installiert sind. Zum Beispiel:

# Query for the packaged apps. This example looks for all packages from Microsoft.
$Packages = Get-AppXPackage -Name Microsoft.*
foreach ($Package in $Packages)
{
   $Rules += New-CIPolicyRule -Package $Package
}

Verwenden Sie dann das PowerShell-Cmdlet Merge-CIPolicy , um Ihre neuen Regel(en) in Ihrem vorhandenen WDAC-Richtlinien-XML zusammenzuführen.

Erstellen von PFN-Regeln mithilfe des WDAC-Assistenten

Erstellen einer PFN-Regel aus einer installierten MSIX-App

Führen Sie die folgenden Schritte aus, um eine WDAC-PFN-Regel für eine App zu erstellen, die auf dem System installiert ist:

1. Wählen Sie im WDAC-Assistenten auf der Seite Richtliniensignaturregeln die Option Benutzerdefinierte Regel hinzufügen aus.
2. Aktivieren Sie Die Benutzermodusregel als Regelbereich, falls nicht aktiviert.
3. Wählen Sie entweder Zulassen oder Verweigern für Ihre Regelaktion aus.
4. Wählen Sie Als Regeltyp die Option Gepackte App aus.
5. Geben Sie im Feld Paketname einen zu durchsuchenden Zeichenfolgenwert ein. Sie können oder * in der Suchzeichenfolge verwenden?. Wählen Sie dann Suchen aus.
6. Aktivieren Sie im Ergebnisfeld eine oder mehrere Apps, für die Sie Regeln erstellen möchten.
7. Wählen Sie Regel erstellen aus.
8. Erstellen Sie alle anderen gewünschten Regeln, und schließen Sie dann den Assistenten ab.

Erstellen einer PFN-Regel mithilfe einer benutzerdefinierten Zeichenfolge

Führen Sie die folgenden Schritte aus, um eine PFN-Regel mit einem benutzerdefinierten Zeichenfolgenwert zu erstellen:

1. Wiederholen Sie die Schritte 1 bis 4 im vorherigen Beispiel.
2. Aktivieren Sie das Kontrollkästchen Benutzerdefinierte Paketfamilie verwenden. Die Bezeichnung der Schaltfläche Suchen ändert sich in Erstellen.
3. Geben Sie im Feld Paketname einen Zeichenfolgenwert für Ihre PFN-Regel ein. Sie können - oder * -Wildcards verwenden?, wenn Sie Windows 11 Geräte als Ziel verwenden. Wählen Sie dann Erstellen aus.
4. Aktivieren Sie im Ergebnisfeld eine oder mehrere Apps, für die Sie Regeln erstellen möchten.
5. Wählen Sie Regel erstellen aus.
6. Erstellen Sie alle anderen gewünschten Regeln, und schließen Sie dann den Assistenten ab.