ApplicationControl-CSP
Windows Defender WDAC-Richtlinien (Application Control) können von einem MDM-Server oder lokal mithilfe von PowerShell über die WMI-Brücke über den ApplicationControl-Konfigurationsdienstanbieter (CSP) verwaltet werden. Der ApplicationControl-CSP wurde in Windows 10 Version 1903 hinzugefügt. Dieser CSP bietet erweiterte Diagnosefunktionen und Unterstützung für mehrere Richtlinien (eingeführt in Windows 10 Version 1903). Es bietet auch Unterstützung für die Richtlinienbereitstellung (eingeführt in Windows 10 Version 1709) ohne Neustart. Im Gegensatz zum AppLocker-CSP erkennt der ApplicationControl-CSP ordnungsgemäß das Vorhandensein der Option "Kein Neustart" und plant daher keinen Neustart.
Vorhandene WDAC-Richtlinien (Windows Defender Application Control), die mit dem CodeIntegrity-Knoten des AppLocker-CSP bereitgestellt werden, können jetzt mithilfe des ApplicationControl-CSP-URI bereitgestellt werden. Obwohl die Bereitstellung von WDAC-Richtlinien mithilfe des AppLocker-CSP weiterhin unterstützt wird, werden alle neuen Funktionen nur im ApplicationControl-CSP ausgeführt.
In der folgenden Liste sind die ApplicationControl-Konfigurationsdienstanbieterknoten aufgeführt:
- ./Vendor/MSFT/ApplicationControl
Richtlinien
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1903 [10.0.18362] und höher |
./Vendor/MSFT/ApplicationControl/Policies
Anfang einer Unterstruktur, die alle Richtlinien enthält.
Jede Richtlinie wird durch ihre GUID (Globally Unique Identifier) identifiziert.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | node |
| Zugriffstyp | „Abrufen“ |
Richtlinien/{Richtlinien-GUID}
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1903 [10.0.18362] und höher |
./Vendor/MSFT/ApplicationControl/Policies/{Policy GUID}
Die GUID der Richtlinie.
Jeder Richtlinien-GUID-Knoten enthält einen Richtlinienknoten und einen entsprechenden PolicyInfo-Knoten.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | node |
| Zugriffstyp | „Abrufen“ |
| Dynamische Knotenbenennung | UniqueName: Der ApplicationControl-CSP erzwingt, dass das "ID"-Segment eines bestimmten Richtlinien-URI dieselbe GUID wie die Richtlinien-ID im Richtlinienblob ist. |
Richtlinien/{Richtlinien-GUID}/Richtlinie
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1903 [10.0.18362] und höher |
./Vendor/MSFT/ApplicationControl/Policies/{Policy GUID}/Policy
Die Als Base64 codierte Richtlinienbinärdatei. Der unterstützte Wert ist eine Binärdatei, die vom Cmdlet ConvertFrom-CIPolicy aus der XML-Richtliniendatei konvertiert wird.
Der Standardwert ist leer.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | b64 |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Policies/{Policy GUID}/PolicyInfo
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1903 [10.0.18362] und höher |
./Vendor/MSFT/ApplicationControl/Policies/{Policy GUID}/PolicyInfo
Informationen, die die von der GUID angegebene Richtlinie beschreiben.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | node |
| Zugriffstyp | „Abrufen“ |
Policies/{Policy GUID}/PolicyInfo/BasePolicyId
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1903 [10.0.18362] und höher |
./Vendor/MSFT/ApplicationControl/Policies/{Policy GUID}/PolicyInfo/BasePolicyId
Die BasePolicyId der Richtlinie, die von der Richtlinien-GUID angegeben wird.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | chr (Zeichenfolge) |
| Zugriffstyp | „Abrufen“ |
Policies/{Policy GUID}/PolicyInfo/FriendlyName
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1903 [10.0.18362] und höher |
./Vendor/MSFT/ApplicationControl/Policies/{Policy GUID}/PolicyInfo/FriendlyName
Der FriendlyName der Richtlinie, die von der Richtlinien-GUID angegeben wird.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | chr (Zeichenfolge) |
| Zugriffstyp | „Abrufen“ |
Policies/{Policy GUID}/PolicyInfo/IsAuthorized
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1903 [10.0.18362] und höher |
./Vendor/MSFT/ApplicationControl/Policies/{Policy GUID}/PolicyInfo/IsAuthorized
Gibt an, ob die von der GUID angegebene Richtlinie autorisiert ist, von der Erzwingungs-Engine auf dem System geladen zu werden.
Folgende Werte werden unterstützt:
- True: Gibt an, dass die Richtlinie autorisiert ist, von der Erzwingungs-Engine auf dem System geladen zu werden.
- False: Gibt an, dass die Richtlinie nicht autorisiert ist, von der Erzwingungs-Engine auf dem System geladen zu werden. Dieser Wert ist der Standardwert.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | bool |
| Zugriffstyp | „Abrufen“ |
Policies/{Policy GUID}/PolicyInfo/IsBasePolicy
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1903 [10.0.18362] und höher |
./Vendor/MSFT/ApplicationControl/Policies/{Policy GUID}/PolicyInfo/IsBasePolicy
TRUE/FALSE, wenn die Richtlinie eine Basisrichtlinie im Vergleich zu einer ergänzenden Richtlinie ist.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | bool |
| Zugriffstyp | „Abrufen“ |
Policies/{Policy GUID}/PolicyInfo/IsDeployed
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1903 [10.0.18362] und höher |
./Vendor/MSFT/ApplicationControl/Policies/{Policy GUID}/PolicyInfo/IsDeployed
Gibt an, ob die durch die GUID angegebene Richtlinie auf dem System (auf dem physischen Computer) bereitgestellt wird.
Folgende Werte werden unterstützt:
- True: Gibt an, dass die Richtlinie auf dem System bereitgestellt wird und auf dem physischen Computer vorhanden ist.
- False: Gibt an, dass die Richtlinie nicht auf dem System bereitgestellt und auf dem physischen Computer nicht vorhanden ist. Dieser Wert ist der Standardwert.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | bool |
| Zugriffstyp | „Abrufen“ |
Policies/{Policy GUID}/PolicyInfo/IsEffective
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1903 [10.0.18362] und höher |
./Vendor/MSFT/ApplicationControl/Policies/{Policy GUID}/PolicyInfo/IsEffective
Gibt an, ob die von der GUID angegebene Richtlinie auf dem System wirksam ist (wird von der Erzwingungs-Engine geladen und wirksam)
Folgende Werte werden unterstützt:
- True: Gibt an, dass die Richtlinie vom Erzwingungsmodul geladen wird und auf einem System wirksam ist.
- False: Gibt an, dass die Richtlinie nicht von der Erzwingungs-Engine geladen wird und nicht auf einem System wirksam ist. Dieser Wert ist der Standardwert.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | bool |
| Zugriffstyp | „Abrufen“ |
Policies/{Policy GUID}/PolicyInfo/IsSystemPolicy
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1903 [10.0.18362] und höher |
./Vendor/MSFT/ApplicationControl/Policies/{Policy GUID}/PolicyInfo/IsSystemPolicy
TRUE/FALSE, wenn es sich bei der Richtlinie um eine Systemrichtlinie handelt, handelt es sich um eine Richtlinie, die von Microsoft als Teil des Betriebssystems verwaltet wird.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | bool |
| Zugriffstyp | „Abrufen“ |
Policies/{Policy GUID}/PolicyInfo/PolicyOptions
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1903 [10.0.18362] und höher |
./Vendor/MSFT/ApplicationControl/Policies/{Policy GUID}/PolicyInfo/PolicyOptions
Die PolicyOptions der Richtlinie, die von der Richtlinien-GUID angegeben wird.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | chr (Zeichenfolge) |
| Zugriffstyp | „Abrufen“ |
Policies/{Policy GUID}/PolicyInfo/Status
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1903 [10.0.18362] und höher |
./Vendor/MSFT/ApplicationControl/Policies/{Policy GUID}/PolicyInfo/Status
Der aktuelle Status der Richtlinie, die von der Richtlinien-GUID angegeben wird.
Der Standardwert ist 0, was angibt, dass die Richtlinie status istOK.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | „Abrufen“ |
Policies/{Policy GUID}/PolicyInfo/Version
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1903 [10.0.18362] und höher |
./Vendor/MSFT/ApplicationControl/Policies/{Policy GUID}/PolicyInfo/Version
Version der Richtlinie, die von der GUID als Zeichenfolge angegeben wird. Verwenden Sie beim Analysieren einen uint64 als enthaltenden Datentyp.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | chr (Zeichenfolge) |
| Zugriffstyp | „Abrufen“ |
Token
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1903 [10.0.18362] und höher |
./Vendor/MSFT/ApplicationControl/Tokens
Anfang einer Unterstruktur, die alle Token enthält.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | node |
| Zugriffstyp | „Abrufen“ |
Token/{ID}
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1903 [10.0.18362] und höher |
./Vendor/MSFT/ApplicationControl/Tokens/{ID}
Beliebige ID, die zur Unterscheidung von Token verwendet wird.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | node |
| Zugriffstyp | „Abrufen“ |
| Dynamische Knotenbenennung | UniqueName: Der ApplicationControl-CSP erzwingt, dass das "ID"-Segment eines angegebenen Token-URI eindeutig ist. |
Token/{ID}/Token
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1903 [10.0.18362] und höher |
./Vendor/MSFT/ApplicationControl/Tokens/{ID}/Token
Die Als Base64 codierte Tokenbinärdatei. Der unterstützte Wert ist eine Binärdatei, die von OneCoreDeviceUnlockService abgerufen wird.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | b64 |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Token/{ID}/TokenInfo
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1903 [10.0.18362] und höher |
./Vendor/MSFT/ApplicationControl/Tokens/{ID}/TokenInfo
Informationen, die das token beschreiben, das durch die entsprechende ID angegeben wird.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | node |
| Zugriffstyp | „Abrufen“ |
Token/{ID}/TokenInfo/Status
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1903 [10.0.18362] und höher |
./Vendor/MSFT/ApplicationControl/Tokens/{ID}/TokenInfo/Status
Der aktuelle Status des Von der Token-ID angegebenen Tokens.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | „Abrufen“ |
Token/{ID}/TokenInfo/Type
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1903 [10.0.18362] und höher |
./Vendor/MSFT/ApplicationControl/Tokens/{ID}/TokenInfo/Type
Der Tokentyp, der von der Token-ID angegeben wird.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | „Abrufen“ |
IsAuthorized-, IsDeployed- und IsEffective-Werte
Die folgende Tabelle enthält das Ergebnis dieser Richtlinie basierend auf verschiedenen Werten der Knoten IsAuthorized, IsDeployed und IsEffective:
| Isauthorized | IsDeployed | IsEffective | Resultierende |
|---|---|---|---|
| True | True | True | Die Richtlinie wird derzeit ausgeführt und ist in Kraft. |
| True | True | False | Die Richtlinie erfordert, dass ein Neustart wirksam wird. |
| Wahr | False | Wahr | Die Richtlinie erfordert einen Neustart, um aus CI entladen zu können. |
| False | True | True | Nicht erreichbar. |
| Wahr | False | False | *Nicht erreichbar. |
| False | Wahr | False | *Nicht erreichbar. |
| False | False | Wahr | Nicht erreichbar. |
| False | Falsch | False | *Nicht erreichbar. |
* bezeichnet einen gültigen Zwischenzustand; Wenn jedoch eine MDM-Transaktion zu dieser Zustandskonfiguration führt, führt die END_COMMAND_PROCESSING zu einem Fehler.
Microsoft Intune-Verwendungsleitfaden
Informationen zu Kunden, die Intune eigenständige oder hybride Verwaltung mit Configuration Manager verwenden, um benutzerdefinierte Richtlinien über den ApplicationControl-CSP bereitzustellen, finden Sie unter Bereitstellen Windows Defender Anwendungssteuerungsrichtlinien mithilfe von Microsoft Intune.
Leitfaden zur Verwendung des generischen MDM-Servers
Um den ApplicationControl-CSP ohne verwendung von Intune verwenden zu können, müssen Sie:
- Kennen Sie die GUID einer generierten Richtlinie, die im Richtlinien-XML als
<PolicyID>oder<PolicyTypeID>für Systeme vor 1903 zu finden ist. - Konvertieren Sie die Richtlinien mithilfe des Cmdlets in das
ConvertFrom-CIPolicyBinärformat, um bereitgestellt zu werden. Die binäre Richtlinie kann signiert oder unsigniert sein. - Erstellen Sie mithilfe
certutil -encodedes Befehlszeilentools einen Richtlinienknoten (ein Base64-codiertes Blob der binären Richtliniendarstellung).
Im Folgenden finden Sie ein Beispiel für einen certutil-Aufruf:
certutil -encode WinSiPolicy.p7b WinSiPolicy.cer
Eine Alternative zur Verwendung von certutil wäre die Verwendung des folgenden PowerShell-Aufrufs:
[Convert]::toBase64String($(Get-Content -Encoding Byte -ReadCount 0 -Path <bin file>))
Bereitstellen von Richtlinien
Um eine neue Basisrichtlinie mithilfe des CSP bereitzustellen, führen Sie eine ADD-Datei unter ./Vendor/MSFT/ApplicationControl/Policies/Policy GUID/Policy mithilfe des Base64-codierten Richtlinienknotens als {Data} aus. Weitere Informationen finden Sie im Abschnitt Format im folgenden Beispiel 1.
So stellen Sie eine Basisrichtlinie und zusätzliche Richtlinien bereit:
- Führen Sie eine ADD-Datei unter ./Vendor/MSFT/ApplicationControl/Policies/Policy GUID/Policy aus, indem Sie den Base64-codierten Richtlinienknoten als {Data} mit der GUID und den Richtliniendaten für die Basisrichtlinie verwenden.
- Wiederholen Sie dies für jede Basis- oder ergänzende Richtlinie (mit eigener GUID und Eigenen Daten).
Das folgende Beispiel zeigt die Bereitstellung von zwei Basisrichtlinien und einer ergänzenden Richtlinie (die bereits die Basisrichtlinie angibt, die sie ergänzt und nicht benötigt, dass dies in ADD widerzuspiegeln ist).
Beispiel 1: Hinzufügen der ersten Basisrichtlinie
<Add>
<CmdID>1</CmdID>
<Item>
<Target>
<LocURI>./Vendor/MSFT/ApplicationControl/Policies/{Base1GUID}/Policy</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">b64</Format>
</Meta>
<Data> {Base1Data} </Data>
</Item>
</Add>
Beispiel 2: Hinzufügen einer zweiten Basisrichtlinie
<Add>
<CmdID>1</CmdID>
<Item>
<Target>
<LocURI>./Vendor/MSFT/ApplicationControl/Policies/{Base2GUID}/Policy</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">b64</Format>
</Meta>
<Data> {Base2Data} </Data>
</Item>
</Add>
Beispiel 3: Hinzufügen einer zusätzlichen Richtlinie
<Add>
<CmdID>1</CmdID>
<Item>
<Target>
<LocURI>./Vendor/MSFT/ApplicationControl/Policies/{Supplemental1GUID}/Policy</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">b64</Format>
</Meta>
<Data> {Supplemental1Data} </Data>
</Item>
</Add>
Abrufen von Richtlinien
Führen Sie eine GET-Datei mithilfe der GUID einer bereitgestellten Richtlinie aus, um die Richtlinie selbst oder Informationen dazu abzufragen/zu überprüfen.
In der folgenden Tabelle wird das Ergebnis des Get-Vorgangs auf verschiedenen Knoten angezeigt:
| Knoten | Ergebnisse abrufen |
|---|---|
| ./Vendor/MSFT/ApplicationControl/Policies/Policy GUID/Policy | raw p7b |
| ./Vendor/MSFT/ApplicationControl/Policies/Policy GUID/PolicyInfo/Version | Richtlinienversion |
| ./Vendor/MSFT/ApplicationControl/Policies/Policy GUID/PolicyInfo/IsEffective | Ist die Richtlinie in Kraft? |
| ./Vendor/MSFT/ApplicationControl/Policies/Policy GUID/PolicyInfo/IsDeployed | Ist die Richtlinie für das System? |
| ./Vendor/MSFT/ApplicationControl/Policies/Policy GUID/PolicyInfo/IsAuthorized | Ist die Richtlinie auf dem System autorisiert? |
| ./Vendor/MSFT/ApplicationControl/Policies/Policy GUID/PolicyInfo/Status | War die Bereitstellung erfolgreich? |
| ./Vendor/MSFT/ApplicationControl/Policies/Policy GUID/PolicyInfo/FriendlyName | Anzeigename gemäß Richtlinie |
Ein Beispiel für den Befehl Get ist:
<Get>
<CmdID>1</CmdID>
<Item>
<Target>
<LocURI>./Vendor/MSFT/ApplicationControl/Policies/{PolicyGUID}/Policy</LocURI>
</Target>
</Item>
</Get>
Richtlinien löschen
Neustartloses Löschen
Nach dem Löschen werden richtlinien, die über den ApplicationControl-CSP bereitgestellt werden, aus dem System entfernt, bleiben aber bis zum nächsten Neustart in Kraft. Um einen neustartlosen Löschvorgang durchzuführen, ersetzen Sie zuerst die vorhandene Richtlinie durch eine Richtlinie Alle zulassen (C:\Windows\schemas\CodeIntegrity\ExamplePolicies\AllowAll.xml), und löschen Sie dann die aktualisierte Richtlinie. Diese Sequenz verhindert sofort, dass etwas blockiert wird, und die Richtlinie wird beim nächsten Neustart vollständig deaktiviert.
Nicht signierte Richtlinien
Um eine nicht signierte Richtlinie zu löschen, führen Sie eine DELETE-Datei unter ./Vendor/MSFT/ApplicationControl/Policies/Policy GUID/Policy aus.
Signierte Richtlinien
Hinweis
Eine signierte Richtlinie kann standardmäßig nur durch eine andere signierte Richtlinie ersetzt werden. Daher reicht das Ausführen einer DELETE-Datei unter ./Vendor/MSFT/ApplicationControl/Policies/Policy GUID/Policy nicht aus, um eine signierte Richtlinie zu löschen.
So löschen Sie eine signierte Richtlinie:
- Ersetzen Sie es durch ein signiertes Update, das eine nicht signierte Richtlinie zulässt.
- Stellen Sie ein weiteres Update mit der Richtlinie "Alle zulassen" ohne Vorzeichen bereit.
- Führen Sie den Löschvorgang aus.
Ein Beispiel für den Delete-Befehl ist:
<Delete>
<CmdID>1</CmdID>
<Item>
<Target>
<LocURI>./Vendor/MSFT/ApplicationControl/Policies/{PolicyGUID}/Policy</LocURI>
</Target>
</Item>
</Delete>
Leitfaden zur Verwendung von PowerShell- und WMI-Brücken
Der ApplicationControl-CSP kann auch lokal über PowerShell oder über das Tasksequenzskripting von Configuration Manager mithilfe des WMI-Bridge-Anbieters verwaltet werden.
Setup für die Verwendung der WMI-Brücke
Konvertieren Sie Ihre WDAC-Richtlinie in Base64.
Öffnen Sie PowerShell im Kontext des lokalen Systems (über PSExec oder ähnliches).
WMI-Schnittstelle verwenden:
$namespace = "root\cimv2\mdm\dmmap" $policyClassName = "MDM_ApplicationControl_Policies01_01" $policyBase64 = "<base64policy>"
Bereitstellen einer Richtlinie über WMI-Brücke
Führen Sie den folgenden Befehl aus. PolicyID ist eine GUID, die sich im Richtlinien-XML-Code befindet und hier ohne geschweifte Klammern verwendet werden sollte.
New-CimInstance -Namespace $namespace -ClassName $policyClassName -Property @{ParentID="./Vendor/MSFT/ApplicationControl/Policies";InstanceID="<PolicyID>";Policy=$policyBase64}
Abfragen aller Richtlinien über WMI-Brücke
Get-CimInstance -Namespace $namespace -ClassName $policyClassName
Verwandte Artikel
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für