Übersicht über Windows Defender-Anwendungssteuerung und AppLocker
Hinweis
Einige Funktionen von Windows Defender Application Control (WDAC) sind nur für bestimmte Windows-Versionen verfügbar. Erfahren Sie mehr über die Verfügbarkeit von WDAC-Features.
Windows 10 und Windows 11 enthalten zwei Technologien, die je nach den spezifischen Szenarien und Anforderungen Ihrer organization für die Anwendungssteuerung verwendet werden können: Windows Defender Anwendungssteuerung (WDAC) und AppLocker.
Windows Defender-Anwendungssteuerung
WDAC wurde mit Windows 10 eingeführt und ermöglicht Es Organisationen zu steuern, welche Treiber und Anwendungen auf ihren Windows-Clients ausgeführt werden dürfen. Es wurde als Sicherheitsfeature unter den Wartungskriterien entworfen, die vom Microsoft Security Response Center (MSRC) definiert werden.
WDAC-Richtlinien gelten für den gesamten verwalteten Computer und betreffen alle Benutzer des Geräts. WDAC-Regeln können basierend auf Folgenden definiert werden:
- Attribute der Codesigningzertifikate, die zum Signieren einer App und deren Binärdateien verwendet werden
- Attribute der Binärdateien der App, die aus den signierten Metadaten für die Dateien stammen, z. B. Originaldateiname und -version oder der Hash der Datei
- Der Ruf der App, der durch den Intelligent Security Graph von Microsoft bestimmt wird
- Die Identität des Prozesses, der die Installation der App und ihrer Binärdateien initiiert hat (verwaltetes Installationsprogramm)
- Der Pfad, aus dem die App oder Datei gestartet wird (ab Windows 10 Version 1903).
- Der Prozess, der die App oder Binärdatei gestartet hat
Hinweis
WDAC wurde ursprünglich als Teil von Device Guard veröffentlicht und als konfigurierbare Codeintegrität bezeichnet. Device Guard und konfigurierbare Codeintegrität werden nicht mehr verwendet, außer um zu ermitteln, wo die WDAC-Richtlinie über Gruppenrichtlinie bereitgestellt werden soll.
WDAC-Systemanforderungen
WDAC-Richtlinien können auf jede Clientedition von Windows 10 oder Windows 11 oder auf Windows Server 2016 und höher erstellt und angewendet werden. WDAC-Richtlinien können über eine Mobile Geräteverwaltung-Lösung (MDM) bereitgestellt werden, z. B. Intune, eine Verwaltungsschnittstelle wie Configuration Manager oder einen Skripthost wie PowerShell. Gruppenrichtlinie können auch zum Bereitstellen von WDAC-Richtlinien verwendet werden, sind jedoch auf Richtlinien im Einzelrichtlinienformat beschränkt, die unter Windows Server 2016 und 2019 funktionieren.
Weitere Informationen dazu, welche einzelnen WDAC-Features für bestimmte WDAC-Builds verfügbar sind, finden Sie unter Verfügbarkeit von WDAC-Features.
AppLocker
AppLocker wurde mit Windows 7 eingeführt und ermöglicht Es Organisationen zu steuern, welche Anwendungen auf ihren Windows-Clients ausgeführt werden dürfen. AppLocker verhindert, dass Endbenutzer nicht genehmigte Software auf ihren Computern ausführen, erfüllt jedoch nicht die Wartungskriterien als Sicherheitsfeature.
AppLocker-Richtlinien können für alle Benutzer auf einem Computer oder für einzelne Benutzer und Gruppen gelten. AppLocker-Regeln können basierend auf Folgendem definiert werden:
- Attribute der codesignierenden Zertifikate, die zum Signieren einer App und deren Binärdateien verwendet werden.
- Attribute der Binärdateien der App, die aus den signierten Metadaten für die Dateien stammen, z. B. Originaldateiname und -version oder der Hash der Datei.
- Der Pfad, aus dem die App oder Datei gestartet wird.
AppLocker wird auch von einigen Features von WDAC verwendet, einschließlich des verwalteten Installationsprogramms und des Intelligent Security Graph.
AppLocker-Systemanforderungen
AppLocker-Richtlinien können nur auf Geräten konfiguriert und angewendet werden, die unter den unterstützten Versionen und Editionen des Windows-Betriebssystems ausgeführt werden. Weitere Informationen finden Sie unter Anforderungen für die Verwendung von AppLocker. AppLocker-Richtlinien können mit Gruppenrichtlinie oder MDM bereitgestellt werden.
Auswählen, wann WDAC oder AppLocker verwendet werden soll
Im Allgemeinen sollten Kunden, die die Anwendungssteuerung mithilfe von WDAC anstelle von AppLocker implementieren können, dies tun. WDAC wird ständig verbessert und erhält zusätzlichen Support von Microsoft-Verwaltungsplattformen. Obwohl AppLocker weiterhin Sicherheitskorrekturen erhält, werden keine neuen Featureverbesserungen bereitgestellt.
In einigen Fällen ist AppLocker jedoch möglicherweise die geeignetere Technologie für Ihre organization. AppLocker eignet sich am besten in folgenden Fällen:
- Sie verfügen über eine gemischte Windows-Betriebssystemumgebung und müssen die gleichen Richtliniensteuerelemente auf Windows 10 und frühere Versionen des Betriebssystems anwenden.
- Sie müssen unterschiedliche Richtlinien für verschiedene Benutzer oder Gruppen auf gemeinsam genutzten Computern anwenden.
- Sie möchten keine Anwendungssteuerung für Anwendungsdateien wie DLLs oder Treiber erzwingen.
AppLocker kann auch als Ergänzung zu WDAC bereitgestellt werden, um benutzer- oder gruppenspezifische Regeln für Szenarien mit gemeinsam genutzten Geräten hinzuzufügen, in denen es wichtig ist, zu verhindern, dass einige Benutzer bestimmte Apps ausführen. Als bewährte Methode sollten Sie WDAC auf möglichst restriktiver Ebene für Ihre organization erzwingen und dann AppLocker verwenden, um die Einschränkungen weiter zu optimieren.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für