Share via


Beheer van Windows Defender-toepassingsbeheer met Configuration Manager

Van toepassing op: Configuration Manager (current branch)

Windows Defender Application Control is ontworpen om apparaten te beschermen tegen malware en andere niet-vertrouwde software. Hiermee voorkomt u dat schadelijke code wordt uitgevoerd door ervoor te zorgen dat alleen goedgekeurde code, die u kent, kan worden uitgevoerd.

Toepassingsbeheer is een op software gebaseerde beveiligingslaag die een expliciete lijst afdwingt van software die op een pc mag worden uitgevoerd. Application Control heeft zelf geen hardware- of firmwarevereisten. Beleid voor toepassingsbeheer dat is geïmplementeerd met Configuration Manager een beleid inschakelen op apparaten in doelverzamelingen die voldoen aan de minimale Windows-versie en SKU-vereisten die in dit artikel worden beschreven. Optioneel kan hypervisorgebaseerde beveiliging van toepassingsbeheerbeleid dat is geïmplementeerd via Configuration Manager worden ingeschakeld via groepsbeleid op compatibele hardware.

Zie de implementatiehandleiding voor Windows Defender Application Control voor meer informatie.

Opmerking

Deze functie stond voorheen bekend als configureerbare code-integriteit en Device Guard.

Toepassingsbeheer gebruiken met Configuration Manager

U kunt Configuration Manager gebruiken om een beleid voor toepassingsbeheer te implementeren. Met dit beleid kunt u de modus configureren waarin Application Control wordt uitgevoerd op apparaten in een verzameling.

U kunt een van de volgende modi configureren:

  1. Afdwingen ingeschakeld : alleen vertrouwde uitvoerbare bestanden mogen worden uitgevoerd.
  2. Alleen controleren : hiermee staat u toe dat alle uitvoerbare bestanden worden uitgevoerd, maar niet-vertrouwde uitvoerbare bestanden registreren die worden uitgevoerd in het gebeurtenislogboek van de lokale client.

Wat kan worden uitgevoerd wanneer u een toepassingsbeheerbeleid implementeert?

Met Toepassingsbeheer kunt u sterk bepalen wat er kan worden uitgevoerd op apparaten die u beheert. Deze functie kan handig zijn voor apparaten op afdelingen met een hoge beveiliging, waar het essentieel is dat ongewenste software niet kan worden uitgevoerd.

Wanneer u een beleid implementeert, kunnen doorgaans de volgende uitvoerbare bestanden worden uitgevoerd:

  • Onderdelen van het Windows-besturingssysteem
  • Hardware Dev Center-stuurprogramma's met Handtekeningen van Windows Hardware Quality Labs
  • Microsoft Store-apps
  • De Configuration Manager-client
  • Alle software die is geïmplementeerd via Configuration Manager die apparaten installeren nadat ze het beleid voor toepassingsbeheer hebben verwerkt
  • Updates ingebouwde Windows-onderdelen van:
    • Windows Update
    • Windows Update voor Bedrijven
    • Windows Server Update Services
    • Configuration Manager
    • Optioneel software met een goede reputatie zoals bepaald door de Microsoft Intelligent Security Graph (ISG). De ISG bevat Windows Defender SmartScreen en andere Microsoft-services. Op het apparaat moet Windows Defender SmartScreen en Windows 10 versie 1709 of hoger worden uitgevoerd om deze software te kunnen vertrouwen.

Belangrijk

Deze items bevatten geen software die niet is ingebouwd in Windows die automatisch wordt bijgewerkt vanaf internet of software-updates van derden. Deze beperking is van toepassing, ongeacht of ze worden geïnstalleerd door een van de vermelde updatemechanismen of via internet. Toepassingsbeheer staat alleen softwarewijzigingen toe die worden geïmplementeerd via de Configuration Manager-client.

Ondersteunde besturingssystemen

Als u Toepassingsbeheer wilt gebruiken met Configuration Manager, moeten op apparaten ondersteunde versies van:

  • Windows 11 of hoger, Enterprise Edition
  • Windows 10 of hoger, Enterprise-editie
  • Windows Server 2019 of hoger

Tip

Bestaande beleidsregels voor toepassingsbeheer die zijn gemaakt met Configuration Manager versie 2006 of eerder, werken niet met Windows Server. Als u Windows Server wilt ondersteunen, maakt u nieuw beleid voor toepassingsbeheer.

Voordat u van start gaat

  • Zodra een beleid is verwerkt op een apparaat, wordt Configuration Manager geconfigureerd als een beheerd installatieprogramma op die client. Nadat het beleid is verwerkt, wordt software die is geïmplementeerd door Configuration Manager automatisch vertrouwd. Voordat het apparaat het beleid voor toepassingsbeheer verwerkt, wordt software die is geïnstalleerd door Configuration Manager niet automatisch vertrouwd.

    Opmerking

    U kunt bijvoorbeeld de stap Toepassing installeren in een takenreeks niet gebruiken om toepassingen te installeren tijdens een implementatie van het besturingssysteem. Zie Takenreeksstappen - Toepassing installeren voor meer informatie.

  • Het standaardschema voor nalevingsevaluatie voor toepassingsbeheerbeleid is elke dag. Deze planning kan worden geconfigureerd tijdens de beleidsimplementatie. Als u problemen ondervindt bij het verwerken van beleid, configureert u het evaluatieschema voor naleving zodat deze vaker voorkomt. Bijvoorbeeld elk uur. Deze planning bepaalt hoe vaak clients een toepassingsbeheerbeleid moeten verwerken als er een fout optreedt.

  • Ongeacht de afdwingingsmodus die u selecteert, kunnen op apparaten geen HTML-toepassingen met de .hta bestandsextensie worden uitgevoerd wanneer u een beleid voor toepassingsbeheer implementeert.

Een beleid voor toepassingsbeheer maken

  1. Ga in de Configuration Manager-console naar de werkruimte Activa en naleving.

  2. Vouw Endpoint Protection uit en selecteer vervolgens het knooppunt Windows Defender Application Control .

  3. Selecteer op het tabblad Start van het lint in de groep Maken de optie Toepassingsbeheerbeleid maken.

  4. Geef op de pagina Algemeen van de wizard Toepassingsbeheerbeleid maken de volgende instellingen op:

    • Naam: voer een unieke naam in voor dit beleid voor toepassingsbeheer.

    • Beschrijving: voer eventueel een beschrijving in voor het beleid waarmee u het kunt identificeren in de Configuration Manager-console.

    • Een herstart van apparaten afdwingen, zodat dit beleid kan worden afgedwongen voor alle processen: nadat het apparaat het beleid heeft verwerkt, wordt opnieuw opstarten gepland op de client volgens de clientinstellingen voor computer opnieuw opstarten. Toepassingen die momenteel op het apparaat worden uitgevoerd, passen het nieuwe beleid voor toepassingsbeheer pas toe nadat ze opnieuw zijn opgestart. Toepassingen die worden gestart nadat het beleid van toepassing is, zullen echter aan het nieuwe beleid worden uitgevoerd.

    • Afdwingingsmodus: kies een van de volgende afdwingingsmethoden:

      • Afdwingen ingeschakeld: alleen vertrouwde toepassingen mogen worden uitgevoerd.

      • Alleen controleren: toestaan dat alle toepassingen worden uitgevoerd, maar niet-vertrouwde programma's die worden uitgevoerd, registreren. De auditberichten bevinden zich in het gebeurtenislogboek van de lokale client.

  5. Kies op het tabblad Insluitingen van de wizard Toepassingsbeheerbeleid maken of u software wilt autoriseren die wordt vertrouwd door Intelligent Security Graph.

  6. Als u een vertrouwensrelatie wilt toevoegen voor specifieke bestanden of mappen op apparaten, selecteert u Toevoegen. In het dialoogvenster Vertrouwd bestand of map toevoegen kunt u een lokaal bestand of een mappad opgeven dat u wilt vertrouwen. U kunt ook een bestands- of mappad opgeven op een extern apparaat waarop u bent gemachtigd om verbinding te maken. Wanneer u een vertrouwensrelatie toevoegt voor specifieke bestanden of mappen in een toepassingsbeheerbeleid, kunt u het volgende doen:

    • Problemen met het gedrag van beheerde installatieprogramma's oplossen.

    • Line-Of-Business-apps vertrouwen die u niet kunt implementeren met Configuration Manager.

    • Vertrouw apps die zijn opgenomen in een installatiekopieën van een besturingssysteemimplementatie.

  7. Voltooi de wizard.

Een toepassingsbeheerbeleid implementeren

  1. Ga in de Configuration Manager-console naar de werkruimte Activa en naleving.

  2. Vouw Endpoint Protection uit en selecteer vervolgens het knooppunt Windows Defender Application Control .

  3. Selecteer in de lijst met beleidsregels het beleid dat u wilt implementeren. Selecteer op het tabblad Start van het lint in de groep Implementatie de optie Toepassingsbeheerbeleid implementeren.

  4. Selecteer in het dialoogvenster Toepassingsbeheerbeleid implementeren de verzameling waarin u het beleid wilt implementeren. Configureer vervolgens een planning voor wanneer clients het beleid evalueren. Selecteer ten slotte of de client het beleid buiten geconfigureerde onderhoudsvensters kan evalueren.

  5. Wanneer u klaar bent, selecteert u OK om het beleid te implementeren.

Een toepassingsbeheerbeleid bewaken

Gebruik in het algemeen de informatie in het artikel Nalevingsinstellingen bewaken . Deze informatie kan u helpen controleren of het geïmplementeerde beleid correct is toegepast op alle apparaten.

Als u de verwerking van een toepassingsbeheerbeleid wilt bewaken, gebruikt u het volgende logboekbestand op apparaten:

%WINDIR%\CCM\Logs\DeviceGuardHandler.log

Als u wilt controleren of de specifieke software wordt geblokkeerd of gecontroleerd, raadpleegt u de volgende lokale clientgebeurtenislogboeken:

  • Voor het blokkeren en controleren van uitvoerbare bestanden gebruikt u Application and Services Logs>Microsoft>Windows>Code Integrity>Operational.

  • Voor het blokkeren en controleren van Windows Installer- en scriptbestanden gebruikt u Application and Services Logs>Microsoft>Windows>AppLocker>MSI and Script.

Informatie over beveiliging en privacy

  • Apparaten waarvoor een beleid is geïmplementeerd in de modus Alleen controleren of Afdwinging ingeschakeld , maar die niet opnieuw zijn opgestart om het beleid af te dwingen, zijn kwetsbaar voor niet-vertrouwde software die wordt geïnstalleerd. In deze situatie kan de software blijven werken, zelfs als het apparaat opnieuw wordt opgestart of een beleid ontvangt in de modus Afdwinging ingeschakeld .

  • Om de effectiviteit van het toepassingsbeheerbeleid te helpen, bereidt u het apparaat eerst voor in een testomgeving. Implementeer een beleid met afdwinging ingeschakeld en start het apparaat opnieuw op. Zodra u hebt gecontroleerd of de apps werken, geeft u het apparaat aan de gebruiker.

  • Implementeer geen beleid met Afdwinging ingeschakeld en implementeer later een beleid met Alleen controleren op hetzelfde apparaat. Deze configuratie kan ertoe leiden dat niet-vertrouwde software mag worden uitgevoerd.

  • Wanneer u Configuration Manager gebruikt om Toepassingsbeheer in te schakelen op apparaten, voorkomt het beleid niet dat gebruikers met lokale beheerdersrechten het toepassingsbeheerbeleid omzeilen of anderszins niet-vertrouwde software uitvoeren.

  • De enige manier om te voorkomen dat gebruikers met lokale beheerdersrechten Toepassingsbeheer uitschakelen, is door een ondertekend binair beleid te implementeren. Deze implementatie is mogelijk via groepsbeleid, maar wordt momenteel niet ondersteund in Configuration Manager.

  • Voor het instellen van Configuration Manager als een beheerd installatieprogramma op apparaten wordt een Windows AppLocker-beleid gebruikt. AppLocker wordt alleen gebruikt om beheerde installatieprogramma's te identificeren. Alle afdwinging vindt plaats met Toepassingsbeheer.

Volgende stappen

Antimalwarebeleid en firewallinstellingen beheren