COM-Objektregistrierung in einer Windows Defender-anwendungssteuerungsrichtlinie zulassen

Betrifft

  • Windows 10
  • Windows Server 2016
  • Windows Server 2019

Wichtig

Einige Informationen beziehen sich auf die Vorabversion, an der bis zur kommerziellen Veröffentlichung unter Umständen noch grundsätzliche Änderungen vorgenommen werden. Microsoft übernimmt keine Garantie, weder ausdrücklich noch stillschweigend, für die hier bereitgestellten Informationen.

Das Microsoft-Komponentenobjektmodell (com) ist ein plattformunabhängiges, verteiltes objektorientiertes System zum Erstellen binärer Softwarekomponenten, die interagieren können. Com gibt ein Objektmodell und Programmieranforderungen an, mit denen COM-Objekte mit anderen Objekten interagieren können.

Konfigurierbarkeit von COM-Objekten in der WDAC-Richtlinie

Vor dem Windows 10 1903-Update hat Windows Defender Application Control (WDAC) eine integrierte Zulassungsliste für die COM-Objektregistrierung erzwungen. Während dieser Mechanismus für die meisten gängigen Anwendungs Nutzungsszenarien geeignet ist, haben Kundenfeedback darüber bereitgestellt, dass es Fälle gibt, in denen zusätzliche com-Objekte zugelassen werden müssen. Das 1903-Update für Windows 10 führt die Möglichkeit ein, zulässige com-Objekte über ihre GUID in der WDAC-Richtlinie anzugeben.

Hinweis: Wenn Sie diese Funktion anderen Versionen von Windows 10 hinzufügen möchten, können Sie die folgenden oder späteren Updates installieren:

COM-Objekt-GUID abrufen

Führen Sie eine der folgenden Methoden aus, um die GUID der Anwendung zu ermöglichen:

  • Finden eines Block Ereignisses in der Ereignisanzeige (Anwendungs-und Dienstprotokolle #a0 Microsoft #a1 Windows #a2 AppLocker-#a3 MSI und-Skript) und Extrahieren der GUID
  • Erstellen von Überwachungsrichtlinien (mithilfe von New-CIPolicy – Audit), möglicherweise mit einem bestimmten Anbieter, und Verwenden von Informationen aus Blockierungs Ereignissen zum Abrufen von GUIDs

Richtlinieneinstellung "Autor" zum Zulassen oder Verweigern der COM-Objekt-GUID

Drei Elemente:

  • Anbieter: Plattform, auf der Code ausgeführt wird (Werte sind PowerShell, WSH, IE, VBA, MSI oder ein Platzhalter "AllHostIds")
  • Schlüssel: GUID für das Programm, mit dem Sie ausgeführt werden, im Format Key ={33333333-4444-4444-1616-161616161616}""
  • Wertname: muss auf "EnterpriseDefinedClsId" gesetzt werden

Ein Attribut:

  • Wert: muss "true" für allow und "false" für "verweigern" sein.
    • Beachten Sie, dass Deny nur in Basisrichtlinien funktioniert, nicht in Ergänzung
  • Die Einstellung muss in der Reihenfolge der ASCII-Werte (zuerst nach Anbieter, dann Schlüssel und dann auf Wertname) positioniert werden.

Beispiele

Beispiel 1: ermöglicht die Registrierung aller COM-Objekt-GUIDs in einem beliebigen Anbieter

<Setting Provider="AllHostIds" Key="AllKeys" ValueName="EnterpriseDefinedClsId">
  <Value>
    <Boolean>true</Boolean>
  </Value>
</Setting>

Beispiel 2: blockiert das Registrieren eines bestimmten COM-Objekts über Internet Explorer (IE)

<Setting Provider="IE" Key="{00000000-4444-4444-1616-161616161616}" ValueName="EnterpriseDefinedClsId">
  <Value>
    <Boolean>false</Boolean>
  </Value>
</Setting>

Beispiel 3: ermöglicht das Registrieren eines bestimmten COM-Objekts in PowerShell

<Setting Provider="PowerShell" Key="{33333333-4444-4444-1616-161616161616}" ValueName="EnterpriseDefinedClsId">
  <Value>
    <Boolean>true</Boolean>
  </Value>
</Setting>