Bereitstellen Windows Defender WDAC-Richtlinien (Application Control)
Gilt für
- Windows 10
- Windows 11
- Windows Server 2016 und höher
Hinweis
Einige Funktionen von Windows Defender Anwendungssteuerung sind nur in bestimmten Windows-Versionen verfügbar. Erfahren Sie mehr über die Verfügbarkeit der Windows Defender Anwendungssteuerungsfeature.
Sie sollten jetzt über eine oder mehrere Windows Defender Anwendungssteuerungsrichtlinien (WDAC) verfügen, die bereitgestellt werden können. Wenn Sie die im WDAC-Entwurfshandbuch beschriebenen Schritte noch nicht abgeschlossen haben, tun Sie dies jetzt, bevor Sie fortfahren.
Konvertieren Der WDAC-Richtlinien-XML in binär
Bevor Sie Ihre WDAC-Richtlinien bereitstellen, müssen Sie zuerst den XML-Code in seine binäre Form konvertieren. Dazu können Sie das folgende PowerShell-Beispiel verwenden. Sie müssen die variable $WDACPolicyXMLFile so festlegen, dass sie auf Die XML-Datei der WDAC-Richtlinie verweist.
## Update the path to your WDAC policy XML
$WDACPolicyXMLFile = $env:USERPROFILE + "\Desktop\MyWDACPolicy.xml"
[xml]$WDACPolicy = Get-Content -Path $WDACPolicyXMLFile
if (($WDACPolicy.SiPolicy.PolicyID) -ne $null) ## Multiple policy format (For Windows builds 1903+ only, including Server 2022)
{
$PolicyID = $WDACPolicy.SiPolicy.PolicyID
$PolicyBinary = $PolicyID+".cip"
}
else ## Single policy format (Windows Server 2016 and 2019, and Windows 10 1809 LTSC)
{
$PolicyBinary = "SiPolicy.p7b"
}
## Binary file will be written to your desktop
ConvertFrom-CIPolicy -XmlFilePath $WDACPolicyXMLFile -BinaryFilePath $env:USERPROFILE\Desktop\$PolicyBinary
Planen Der Bereitstellung
Wie bei jeder bedeutenden Änderung ihrer Umgebung kann die Implementierung der Anwendungssteuerung unbeabsichtigte Folgen haben. Um die besten Erfolgschancen zu gewährleisten, sollten Sie sichere Bereitstellungsmethoden befolgen und Ihre Bereitstellung sorgfältig planen. Identifizieren Sie die Geräte, die Sie mit WDAC verwalten, und teilen Sie sie in Bereitstellungsringe auf. Auf diese Weise können Sie die Geschwindigkeit und Skalierung der Bereitstellung steuern und reagieren, wenn etwas schief geht. Definieren Sie die Erfolgskriterien, die bestimmen, wann es sicher ist, von einem Ring zum nächsten fortzufahren.
Alle Windows Defender Anwendungssteuerungsrichtlinienänderungen sollten im Überwachungsmodus bereitgestellt werden, bevor sie mit der Erzwingung fortfahren. Überwachen Sie ereignisse von Geräten, auf denen die Richtlinie bereitgestellt wurde, sorgfältig, um sicherzustellen, dass die block-Ereignisse, die Sie beobachten, Ihren Erwartungen entsprechen, bevor Sie die Bereitstellung auf andere Bereitstellungsringe erweitern. Wenn Ihre Organisation Microsoft Defender for Endpoint verwendet, können Sie das Feature Erweiterte Suche verwenden, um WDAC-bezogene Ereignisse zentral zu überwachen. Andernfalls wird empfohlen, eine Ereignisprotokollweiterleitungslösung zu verwenden, um relevante Ereignisse von Ihren verwalteten Endpunkten zu sammeln.
Auswählen der Bereitstellung von WDAC-Richtlinien
Wichtig
Aufgrund eines bekannten Problems sollten Sie immer neue signierte WDAC-Basisrichtlinien mit einem Neustart auf Systemen mit aktivierter Speicherintegrität aktivieren. In diesem Fall wird die Bereitstellung per Skript empfohlen.
Dieses Problem wirkt sich nicht auf Updates von signierten Basisrichtlinien aus, die bereits auf dem System aktiv sind, die Bereitstellung von nicht signierten Richtlinien oder die Bereitstellung zusätzlicher Richtlinien (signiert oder unsigniert). Dies wirkt sich auch nicht auf Bereitstellungen auf Systemen aus, auf denen keine Speicherintegrität ausgeführt wird.
Es gibt mehrere Optionen zum Bereitstellen Windows Defender Anwendungssteuerungsrichtlinien für verwaltete Endpunkte, einschließlich: