Bereitstellen von WDAC-Richtlinien (Windows Defender Application Control)

Hinweis

Einige Funktionen von Windows Defender Anwendungssteuerung sind nur in bestimmten Windows-Versionen verfügbar. Erfahren Sie mehr über die Verfügbarkeit der Windows Defender Anwendungssteuerungsfeature.

Sie sollten jetzt über eine oder mehrere Windows Defender Anwendungssteuerungsrichtlinien (WDAC) verfügen, die bereitgestellt werden können. Wenn Sie die im WDAC-Entwurfshandbuch beschriebenen Schritte noch nicht abgeschlossen haben, tun Sie dies jetzt, bevor Sie fortfahren.

Konvertieren der WDAC-Richtlinien-XML in binär

Bevor Sie Ihre WDAC-Richtlinien bereitstellen, müssen Sie zuerst den XML-Code in die binäre Form konvertieren. Dazu können Sie das folgende PowerShell-Beispiel verwenden. Sie müssen die variable $WDACPolicyXMLFile so festlegen, dass sie auf Die XML-Datei der WDAC-Richtlinie verweist.

 ## Update the path to your WDAC policy XML
 $WDACPolicyXMLFile = $env:USERPROFILE + "\Desktop\MyWDACPolicy.xml"
 [xml]$WDACPolicy = Get-Content -Path $WDACPolicyXMLFile
 if (($WDACPolicy.SiPolicy.PolicyID) -ne $null) ## Multiple policy format (For Windows builds 1903+ only, including Server 2022)
 {
     $PolicyID = $WDACPolicy.SiPolicy.PolicyID
     $PolicyBinary = $PolicyID+".cip"
 }
 else ## Single policy format (Windows Server 2016 and 2019, and Windows 10 1809 LTSC)
 {
     $PolicyBinary = "SiPolicy.p7b"
 }
 
 ## Binary file will be written to your desktop
 ConvertFrom-CIPolicy -XmlFilePath $WDACPolicyXMLFile -BinaryFilePath $env:USERPROFILE\Desktop\$PolicyBinary

Planen Der Bereitstellung

Wie bei jeder bedeutenden Änderung ihrer Umgebung kann die Implementierung der Anwendungssteuerung unbeabsichtigte Folgen haben. Um die besten Erfolgschancen zu gewährleisten, sollten Sie sichere Bereitstellungsmethoden befolgen und Ihre Bereitstellung sorgfältig planen. Identifizieren Sie die Geräte, die Sie mit WDAC verwalten, und teilen Sie sie in Bereitstellungsringe auf. Auf diese Weise können Sie die Geschwindigkeit und Skalierung der Bereitstellung steuern und reagieren, wenn etwas schief geht. Definieren Sie die Erfolgskriterien, die bestimmen, wann es sicher ist, von einem Ring zum nächsten fortzufahren.

Alle Windows Defender Anwendungssteuerungsrichtlinienänderungen sollten im Überwachungsmodus bereitgestellt werden, bevor sie mit der Erzwingung fortfahren. Überwachen Sie Ereignisse von Geräten, auf denen die Richtlinie bereitgestellt wurde, sorgfältig, um sicherzustellen, dass die block-Ereignisse, die Sie beobachten, Ihren Erwartungen entsprechen, bevor Sie die Bereitstellung auf andere Bereitstellungsringe erweitern. Wenn Ihr organization Microsoft Defender for Endpoint verwendet, können Sie das Feature Erweiterte Suche verwenden, um WDAC-bezogene Ereignisse zentral zu überwachen. Andernfalls wird empfohlen, eine Ereignisprotokollweiterleitungslösung zu verwenden, um relevante Ereignisse von Ihren verwalteten Endpunkten zu sammeln.

Auswählen der Bereitstellung von WDAC-Richtlinien

Wichtig

Aufgrund eines bekannten Problems sollten Sie immer neue signierte WDAC-Basisrichtlinien mit einem Neustart auf Systemen mit aktivierter Speicherintegrität aktivieren. In diesem Fall wird die Bereitstellung per Skript empfohlen.

Dieses Problem wirkt sich nicht auf Updates von signierten Basisrichtlinien aus, die bereits auf dem System aktiv sind, die Bereitstellung von nicht signierten Richtlinien oder die Bereitstellung zusätzlicher Richtlinien (signiert oder unsigniert). Dies wirkt sich auch nicht auf Bereitstellungen auf Systemen aus, auf denen keine Speicherintegrität ausgeführt wird.

Es gibt mehrere Optionen zum Bereitstellen Windows Defender Anwendungssteuerungsrichtlinien für verwaltete Endpunkte, einschließlich: