Windows Defender Anwendungssteuerungsverwaltung mit Configuration Manager

Gilt für: Configuration Manager (Current Branch)

Windows Defender Application Control wurde entwickelt, um Geräte vor Schadsoftware und anderer nicht vertrauenswürdiger Software zu schützen. Dadurch wird verhindert, dass bösartiger Code ausgeführt wird, indem sichergestellt wird, dass nur genehmigter Code ausgeführt werden kann, den Sie kennen.

Application Control ist eine softwarebasierte Sicherheitsebene, die eine explizite Liste von Software erzwingt, die auf einem PC ausgeführt werden darf. Für die Anwendungssteuerung sind keine Hardware- oder Firmwarevoraussetzungen erforderlich. Anwendungssteuerungsrichtlinien, die mit Configuration Manager bereitgestellt werden, ermöglichen eine Richtlinie auf Geräten in gezielten Sammlungen, die die in diesem Artikel beschriebenen Mindestanforderungen für Windows Version und SKU erfüllen. Optional kann der hypervisorbasierte Schutz von Anwendungssteuerungsrichtlinien, die über Configuration Manager bereitgestellt werden, über Gruppenrichtlinien auf fähiger Hardware aktiviert werden.

Weitere Informationen finden Sie im Windows Defender Anwendungssteuerungs-Bereitstellungshandbuch.

Hinweis

Dieses Feature wurde zuvor als konfigurierbare Codeintegrität und Device Guard bezeichnet.

Verwenden der Anwendungssteuerung mit Configuration Manager

Sie können Configuration Manager verwenden, um eine Anwendungssteuerungsrichtlinie bereitzustellen. Mit dieser Richtlinie können Sie den Modus konfigurieren, in dem die Anwendungssteuerung auf Geräten in einer Sammlung ausgeführt wird.

Sie können einen der folgenden Modi konfigurieren:

  1. Erzwingung aktiviert – Nur vertrauenswürdige ausführbare Dateien dürfen ausgeführt werden.
  2. Nur überwachen – Ausführung aller ausführbaren Dateien zulassen, aber nicht vertrauenswürdige ausführbare Dateien protokollieren, die im lokalen Clientereignisprotokoll ausgeführt werden.

Was kann ausgeführt werden, wenn Sie eine Anwendungssteuerungsrichtlinie bereitstellen?

Mit der Anwendungssteuerung können Sie stark steuern, was auf geräten ausgeführt werden kann, die Sie verwalten. Dieses Feature kann für Geräte in Hochsicherheitsabteilungen nützlich sein, in denen es wichtig ist, dass unerwünschte Software nicht ausgeführt werden kann.

Wenn Sie eine Richtlinie bereitstellen, können in der Regel die folgenden ausführbaren Dateien ausgeführt werden:

  • Windows von Betriebssystemkomponenten
  • Hardware Dev Center Treiber mit Windows Signaturen von Hardware Quality Labs
  • Windows Store-Apps
  • Der Configuration Manager-Client
  • Alle Software, die über Configuration Manager bereitgestellt wird, die Geräte installieren, nachdem sie die Anwendungssteuerungsrichtlinie verarbeitet haben
  • Updates für integrierte Windows-Komponenten von:
    • Windows Update
    • Windows Update for Business
    • Windows Server Update Services
    • Configuration Manager
    • Optional software with a good reputation as determined by the Microsoft Intelligent Security Graph (ISG). Die ISG umfasst Windows Defender SmartScreen und andere Microsoft-Dienste. Das Gerät muss Windows Defender SmartScreen und Windows 10 Version 1709 oder höher ausgeführt werden, damit diese Software vertrauenswürdig ist.

Wichtig

Diese Elemente enthalten keine Software, die nicht in Windows integriert ist, die automatisch aus dem Internet oder Softwareupdates von Drittanbietern aktualisiert wird. Diese Einschränkung gilt unabhängig davon, ob sie von einem der aufgeführten Updatemechanismen oder aus dem Internet installiert werden. Die Anwendungssteuerung lässt nur Softwareänderungen zu, die über den Configuration Manager-Client bereitgestellt werden.

Unterstützte Betriebssysteme

Um die Anwendungssteuerung mit Configuration Manager verwenden zu können, müssen auf Geräten unterstützte Versionen von folgenden Versionen ausgeführt werden:

  • Windows 11 oder höher, Enterprise Edition
  • Windows 10 oder höher, Enterprise Edition
  • Windows Server 2019 oder höher

Tipp

Vorhandene Anwendungssteuerungsrichtlinien, die mit Configuration Manager Version 2006 oder früher erstellt wurden, funktionieren nicht mit Windows Server. Um Windows Server zu unterstützen, erstellen Sie neue Anwendungssteuerungsrichtlinien.

Vorbereitende Schritte

  • Sobald eine Richtlinie auf einem Gerät erfolgreich verarbeitet wurde, wird Configuration Manager als verwaltetes Installationsprogramm auf diesem Client konfiguriert. Nach den Richtlinienprozessen wird die von Configuration Manager bereitgestellte Software automatisch als vertrauenswürdig eingestuft. Bevor das Gerät die Anwendungssteuerungsrichtlinie verarbeitet, wird die von Configuration Manager installierte Software nicht automatisch als vertrauenswürdig eingestuft.

    Hinweis

    Sie können z. B. den Schritt "Anwendung installieren" in einer Tasksequenz nicht verwenden, um Anwendungen während einer Betriebssystembereitstellung zu installieren. Weitere Informationen finden Sie unter Tasksequenzschritte – Anwendung installieren.

  • Der Standardmäßige Zeitplan für die Konformitätsbewertung für Anwendungssteuerungsrichtlinien ist täglich. Dieser Zeitplan kann während der Richtlinienbereitstellung konfiguriert werden. Wenn Sie Probleme bei der Richtlinienverarbeitung feststellen, konfigurieren Sie den Zeitplan für die Compliancebewertung so, dass er häufiger ist. Zum Beispiel jede Stunde. Dieser Zeitplan bestimmt, wie oft Clients eine Anwendungssteuerungsrichtlinie erneut aufladen, wenn ein Fehler auftritt.

  • Unabhängig vom ausgewählten Erzwingungsmodus können Geräte bei der Bereitstellung einer Anwendungssteuerungsrichtlinie keine HTML-Anwendungen mit der .hta Dateierweiterung ausführen.

Erstellen einer Anwendungssteuerungsrichtlinie

  1. Wechseln Sie in der Configuration Manager-Konsole zum Arbeitsbereich Assets und Konformität.

  2. Erweitern Sie Endpoint Protection, und wählen Sie dann den Knoten Windows Defender Anwendungssteuerung aus.

  3. Wählen Sie auf der Registerkarte " Start " im Menüband in der Gruppe "Erstellen " die Option "Anwendungssteuerungsrichtlinie erstellen" aus.

  4. Geben Sie auf der Seite "Allgemein " des Assistenten zum Erstellen von Anwendungssteuerungsrichtlinien die folgenden Einstellungen an:

    • Name: Geben Sie einen eindeutigen Namen für diese Anwendungssteuerungsrichtlinie ein.

    • Beschreibung: Geben Sie optional eine Beschreibung für die Richtlinie ein, mit der Sie sie in der Configuration Manager Konsole identifizieren können.

    • Erzwingen Eines Neustarts von Geräten, damit diese Richtlinie für alle Prozesse erzwungen werden kann: Nachdem das Gerät die Richtlinie verarbeitet hat, wird ein Neustart auf dem Client gemäß dem Client Einstellungen für den Computerneustart geplant. Anwendungen, die derzeit auf dem Gerät ausgeführt werden, wenden die neue Anwendungssteuerungsrichtlinie erst nach einem Neustart an. Anwendungen, die nach der Anwendung der Richtlinie gestartet werden, berücksichtigen jedoch die neue Richtlinie.

    • Erzwingungsmodus: Wählen Sie eine der folgenden Erzwingungsmethoden aus:

      • Erzwingung aktiviert: Nur vertrauenswürdige Anwendungen dürfen ausgeführt werden.

      • Nur überwachen: Zulassen, dass alle Anwendungen ausgeführt werden, aber nicht vertrauenswürdige Programme protokollieren, die ausgeführt werden. Die Überwachungsmeldungen befinden sich im lokalen Clientereignisprotokoll.

  5. Wählen Sie auf der Registerkarte "Einschlüsse" des Assistenten zum Erstellen von Anwendungssteuerungsrichtlinien aus, ob Sie Software autorisieren möchten, die von der Graph "Intelligente Sicherheit" als vertrauenswürdig eingestuft wird.

  6. Wenn Sie eine Vertrauensstellung für bestimmte Dateien oder Ordner auf Geräten hinzufügen möchten, wählen Sie "Hinzufügen" aus. Im Dialogfeld " Vertrauenswürdige Datei oder Ordner hinzufügen " können Sie eine lokale Datei oder einen ordnerbasierten Pfad angeben. Sie können auch einen Datei- oder Ordnerpfad auf einem Remotegerät angeben, auf dem Sie über die Berechtigung zum Herstellen einer Verbindung verfügen. Wenn Sie eine Vertrauensstellung für bestimmte Dateien oder Ordner in einer Anwendungssteuerungsrichtlinie hinzufügen, haben Sie folgende Möglichkeiten:

    • Beheben Sie Probleme mit verwalteten Installer-Verhalten.

    • Vertrauen Sie Branchen-Apps, die Sie nicht mit Configuration Manager bereitstellen können.

    • Vertrauenswürdige Apps, die in einem Betriebssystembereitstellungsimage enthalten sind.

  7. Schließen Sie den Assistenten ab.

Bereitstellen einer Anwendungssteuerungsrichtlinie

  1. Wechseln Sie in der Configuration Manager-Konsole zum Arbeitsbereich Assets und Konformität.

  2. Erweitern Sie Endpoint Protection, und wählen Sie dann den Knoten Windows Defender Anwendungssteuerung aus.

  3. Wählen Sie in der Liste der Richtlinien die Richtlinie aus, die Sie bereitstellen möchten. Wählen Sie auf der Registerkarte " Start " im Menüband in der Gruppe "Bereitstellung " die Option "Anwendungssteuerungsrichtlinie bereitstellen" aus.

  4. Wählen Sie im Dialogfeld "Anwendungssteuerungsrichtlinie bereitstellen " die Sammlung aus, für die Sie die Richtlinie bereitstellen möchten. Konfigurieren Sie dann einen Zeitplan für die Auswertung der Richtlinie durch Clients. Wählen Sie abschließend aus, ob der Client die Richtlinie außerhalb eines konfigurierten Wartungsfensters auswerten kann.

  5. Wenn Sie fertig sind, wählen Sie "OK " aus, um die Richtlinie bereitzustellen.

Überwachen einer Anwendungssteuerungsrichtlinie

Verwenden Sie im Allgemeinen die Informationen im Artikel "Complianceeinstellungen überwachen" . Anhand dieser Informationen können Sie überwachen, dass die bereitgestellte Richtlinie ordnungsgemäß auf alle Geräte angewendet wurde.

Verwenden Sie die folgende Protokolldatei auf Geräten, um die Verarbeitung einer Anwendungssteuerungsrichtlinie zu überwachen:

%WINDIR%\CCM\Logs\DeviceGuardHandler.log

Informationen zum Überprüfen der spezifischen Software, die blockiert oder überwacht wird, finden Sie in den folgenden lokalen Clientereignisprotokollen:

  • Verwenden Sie zum Blockieren und Überwachen ausführbarer Dateien Applications and Services LogsMicrosoft > > Windows > Code IntegrityOperational > .

  • Zum Blockieren und Überwachen von Windows Installer- und Skriptdateien verwenden Sie Applications and Services LogsMicrosoft > > Windows > AppLockerMSI > und Script.

Sicherheits- und Datenschutzinformationen

  • Geräte, für die eine Richtlinie im Modus "Nur überwachen " oder " Erzwingung aktiviert" bereitgestellt wurde, aber nicht neu gestartet wurden, um die Richtlinie zu erzwingen, sind anfällig für nicht vertrauenswürdige Software, die installiert wird. In diesem Fall kann die Software auch dann weiterhin ausgeführt werden, wenn das Gerät neu gestartet wird oder eine Richtlinie im Modus "Erzwingung aktiviert" empfangen wird.

  • Um die Effektivität der Anwendungssteuerungsrichtlinie zu verbessern, bereiten Sie das Gerät zunächst in einer Laborumgebung vor. Stellen Sie eine Richtlinie mit aktivierter Erzwingung bereit, und starten Sie das Gerät neu. Sobald Sie überprüft haben, ob die Apps funktionieren, geben Sie das Gerät dem Benutzer.

  • Stellen Sie keine Richtlinie mit aktivierter Erzwingung bereit, und stellen Sie dann später eine Richtlinie mit "Nur überwachen " auf demselben Gerät bereit. Diese Konfiguration kann dazu führen, dass nicht vertrauenswürdige Software ausgeführt werden kann.

  • Wenn Sie Configuration Manager verwenden, um die Anwendungssteuerung auf Geräten zu aktivieren, verhindert die Richtlinie nicht, dass Benutzer mit lokalen Administratorrechten die Anwendungssteuerungsrichtlinien umgehen oder anderweitig nicht vertrauenswürdige Software ausführen.

  • Die einzige Möglichkeit, Benutzer mit lokalen Administratorrechten daran zu hindern, die Anwendungssteuerung zu deaktivieren, besteht darin, eine signierte binäre Richtlinie bereitzustellen. Diese Bereitstellung ist über Gruppenrichtlinien möglich, wird aber derzeit in Configuration Manager nicht unterstützt.

  • Das Einrichten Configuration Manager als verwaltetes Installationsprogramm auf Geräten verwendet eine Windows AppLocker-Richtlinie. AppLocker wird nur verwendet, um verwaltete Installationsprogramme zu identifizieren. Die gesamte Erzwingung erfolgt mit der Anwendungssteuerung.

Nächste Schritte

Verwalten von Richtlinien und Firewalleinstellungen für Antischadsoftware