Verwenden von Codesignatur für zusätzliche Steuerung und Schutz mit Windows Defender Application Control
Hinweis
Einige Funktionen von Windows Defender Anwendungssteuerung sind nur in bestimmten Windows-Versionen verfügbar. Weitere Informationen finden Sie unter Verfügbarkeit Windows Defender Anwendungssteuerungsfeatures.
Was ist codesignieren und warum ist sie wichtig?
Die Codesignierung bietet einige wichtige Vorteile für Anwendungssicherheitsfeatures wie Windows Defender Application Control (WDAC). Erstens kann das System kryptografisch überprüfen, ob eine Datei seit dem Signierten und vor der Ausführung von Code nicht manipuliert wurde. Zweitens ordnet es die Datei einer realen Identität zu, z. B. einem Unternehmen oder einem einzelnen Entwickler. Diese Identität kann Ihre Richtlinienvertrauensentscheidungen vereinfachen und reale Konsequenzen ermöglichen, wenn Codesignatur missbraucht oder böswillig verwendet wird. Obwohl Windows softwareentwickler ihren Code nicht digital signieren muss, verwenden die meisten großen unabhängigen Softwarehersteller (ISV) die Codesignatur für einen Großteil ihres Codes. Metadaten, die ein Entwickler in den Ressourcenheader einer Datei einschließt (. RSRC), z. B. OriginalFileName oder ProductName, kann mit dem Signaturzertifikat der Datei kombiniert werden, um den Umfang der Vertrauensentscheidungen einzuschränken. Anstatt beispielsweise alles zuzulassen, was von Microsoft signiert wurde, können Sie nur dateien zulassen, die von Microsoft signiert wurden, wobei ProductName "Microsoft Teams" ist. Verwenden Sie dann andere Regeln, um alle anderen Dateien zu autorisieren, die ausgeführt werden müssen.
Wenn möglich, sollten Sie festlegen, dass alle App-Binärdateien und -skripts als Teil Ihrer App-Akzeptanzkriterien mit Code signiert sind. Außerdem sollten Sie sicherstellen, dass entwickler von internen branchenspezifischen Apps Zugriff auf Codesignaturzertifikate haben, die von Ihrem organization gesteuert werden.
Katalogsignierung
App-Binärdateien und Skripts sind in der Regel entweder eingebettet oder katalogsigniert. Eingebettete Signaturen werden Teil der Datei selbst und werden mit der Datei gespeichert, wo immer sie kopiert oder verschoben wird. Katalogsignaturen hingegen werden von den einzelnen Dateien getrennt. Stattdessen wird eine separate "Katalogdatei" erstellt, die Hashwerte für eine oder mehrere zu signierte Dateien enthält. Diese Katalogdatei wird dann digital signiert und auf jeden Computer angewendet, auf dem die Signatur vorhanden sein soll. Jede Datei, deren Hashwert im signierten Katalog enthalten ist, erbt die Signatur von der Katalogdatei. Eine Datei kann mehrere Signaturen aufweisen, einschließlich einer Mischung aus eingebetteten und Katalogsignaturen.
Sie können Katalogdateien verwenden, um einer vorhandenen Anwendung ganz einfach eine Signatur hinzuzufügen, ohne zugriff auf die ursprünglichen Quelldateien und ohne aufwendiges Neupacken. Sie können sogar Katalogdateien verwenden, um eine eigene Signatur zu einer ISV-App hinzuzufügen, wenn Sie nicht alles, was der ISV direkt signiert, selbst vertrauen möchten. Anschließend stellen Sie einfach den signierten Katalog zusammen mit der App für alle Verwalteten Endpunkte bereit.
Hinweis
Da Kataloge die von ihnen signierten Dateien per Hash identifizieren, kann jede Änderung an der Datei die Signatur ungültig machen. Sie müssen aktualisierte Katalogsignaturen bereitstellen, wenn die Anwendung aktualisiert wird. Die Integration der Codesignatur in Ihre App-Entwicklungs- oder App-Bereitstellungsprozesse ist im Allgemeinen der beste Ansatz. Beachten Sie selbst aktualisierende Apps, da sich deren App-Binärdateien ohne Ihr Wissen ändern können.
Informationen zum Erstellen und Verwalten von Katalogdateien für vorhandene Apps finden Sie unter Bereitstellen von Katalogdateien zur Unterstützung Windows Defender Anwendungssteuerung.
Signierte WDAC-Richtlinien
Während eine WDAC-Richtlinie als XML-Dokument beginnt, wird sie vor der Bereitstellung in eine binärcodierte Datei konvertiert. Diese binäre Version Ihrer Richtlinie kann wie jede andere Anwendungsbinärdatei mit Code signiert werden, was viele der oben beschriebenen Vorteile für signierten Code bietet. Darüber hinaus werden signierte Richtlinien speziell von WDAC behandelt und tragen zum Schutz vor Manipulation oder Entfernung einer Richtlinie auch durch einen Administratorbenutzer bei.
Weitere Informationen zur Verwendung signierter Richtlinien finden Sie unter Verwenden signierter Richtlinien zum Schutz Windows Defender Anwendungssteuerung vor Manipulationen.
Abrufen von Codesignaturzertifikaten für Ihre eigene Verwendung
Es gibt einige Möglichkeiten zum Abrufen von Codesignaturzertifikaten für Ihre eigene Verwendung:
- Verwenden Sie den Vertrauensvolle Signatur-Dienst von Microsoft.
- Erwerben Sie ein Codesignaturzertifikat von einem der Teilnehmer des Microsoft Trusted Root Program.
- Informationen zum Verwenden Ihres eigenen digitalen Zertifikats oder ihrer Public Key-Infrastruktur (Public Key Infrastructure, PKI) zum Ausstellen von Codesignaturzertifikaten finden Sie unter Optional: Erstellen eines Codesignaturzertifikats für Windows Defender Application Control.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für