Verwenden mehrerer Windows Defender Anwendungssteuerungsrichtlinien

Gilt für:

  • Windows 10
  • Windows 11
  • Windows Server 2016 und höher

Hinweis

Einige Funktionen von Windows Defender Anwendungssteuerung sind nur in bestimmten Windows-Versionen verfügbar. Erfahren Sie mehr über die Verfügbarkeit der Windows Defender Anwendungssteuerungsfeature.

Vor Windows 10 1903 unterstützte WDAC zu einem bestimmten Zeitpunkt nur eine einzelne aktive Richtlinie auf einem System. Dies beschränkte Kunden in Situationen, in denen mehrere Richtlinien mit unterschiedlichen Absichten nützlich wären. Ab Windows 10 Version 1903 unterstützt WDAC bis zu 32 aktive Richtlinien auf einem Gerät gleichzeitig, um die folgenden Szenarien zu ermöglichen:

  1. Paralleles Erzwingen und Überwachen
    • Um Richtlinienänderungen vor der Bereitstellung im Erzwingungsmodus zu überprüfen, können Benutzer jetzt eine Basisrichtlinie für den Überwachungsmodus parallel zu einer vorhandenen Richtlinie für den Erzwingungsmodus bereitstellen.
  2. Mehrere Basisrichtlinien
    • Benutzer können zwei oder mehr Basisrichtlinien gleichzeitig erzwingen, um eine einfachere Richtlinienadressierung für Richtlinien mit unterschiedlichem Umfang/zweck zu ermöglichen.
    • Wenn zwei Basisrichtlinien auf einem Gerät vorhanden sind, muss eine Anwendung von beiden ausgeführt werden dürfen.
  3. Ergänzende Richtlinien
    • Benutzer können eine oder mehrere zusätzliche Richtlinien bereitstellen, um eine Basisrichtlinie zu erweitern.
    • Eine ergänzende Richtlinie erweitert eine einzelne Basisrichtlinie, und mehrere ergänzende Richtlinien können dieselbe Basisrichtlinie erweitern.
    • Bei ergänzenden Richtlinien dürfen Anwendungen ausgeführt werden, die entweder von der Basisrichtlinie oder deren ergänzenden Richtlinien/Richtlinien zugelassen sind.

Hinweis

Vor 1903 unterstützen Systeme nicht die Verwendung von WDAC-Richtlinien im Mehrfachrichtlinienformat.

Grundlegende und ergänzende Richtlinieninteraktion

  • Mehrere Basisrichtlinien: Schnittmenge
    • Nur anwendungen, die von beiden Richtlinien zulässig sind, werden ausgeführt, ohne Blockereignisse zu generieren
  • Basis+ ergänzende Richtlinie: Union
    • Dateien, die entweder von der Basisrichtlinie oder der ergänzenden Richtlinie zugelassen sind, werden nicht blockiert.

Erstellen von WDAC-Richtlinien im Format für mehrere Richtlinien

Damit mehrere Richtlinien vorhanden sind und auf einem einzigen System wirksam werden können, müssen Richtlinien mit dem neuen Format für mehrere Richtlinien erstellt werden. Die Option "MultiplePolicyFormat" in New-CIPolicy führt zu 1) eindeutigen GUIDs, die für die Richtlinien-ID generiert werden, und 2) dem Richtlinientyp, der als Basis angegeben wird. Nachfolgend finden Sie ein Beispiel für das Erstellen einer neuen Richtlinie im Format für mehrere Richtlinien.

New-CIPolicy -MultiplePolicyFormat -ScanPath "<path>" -UserPEs -FilePath ".\policy.xml" -Level Publisher -Fallback Hash

Optional können Sie festlegen, dass die neue Basisrichtlinie ergänzende Richtlinien zulässt.

Set-RuleOption -FilePath <string> -Option 17

Damit signierte Basisrichtlinien ergänzende Richtlinien zulassen, stellen Sie sicher, dass ergänzende Signierer definiert sind. Verwenden Sie die Option "Ergänzung" in "Add-SignerRule", um zusätzliche Signierer bereitzustellen.

Add-SignerRule -FilePath <string> -CertificatePath <string> [-Kernel] [-User] [-Update] [-Supplemental] [-Deny]  [<CommonParameters>]

Erstellen zusätzlicher Richtlinien

Um eine ergänzende Richtlinie zu erstellen, erstellen Sie zunächst eine neue Richtlinie im Format "Mehrere Richtlinien", wie oben gezeigt. Verwenden Sie von dort aus Set-CIPolicyIdInfo, um sie in eine ergänzende Richtlinie zu konvertieren und anzugeben, welche Basisrichtlinie erweitert wird. Sie können entweder SupplementBasePolicyID oder BasePolicyToSupplementPath verwenden, um die Basisrichtlinie anzugeben.

  • "SupplementBasePolicyID": GUID der Basisrichtlinie, für die die ergänzende Richtlinie gilt
  • "BasePolicyToSupplementPath": Pfad zur Basisrichtliniendatei, für die die ergänzende Richtlinie gilt
Set-CIPolicyIdInfo [-FilePath] <string> [-PolicyName <string>] [-SupplementsBasePolicyID <guid>] [-BasePolicyToSupplementPath <string>] [-ResetPolicyID] [-PolicyId <string>]  [<CommonParameters>]

Hinweis

ResetPolicyId setzt eine ergänzende Richtlinie auf eine Basisrichtlinie zurück und setzt die Richtlinien-GUIDs auf eine zufällige GUID zurück.

Zusammenführen von Richtlinien

Beim Zusammenführen werden der Richtlinientyp und die ID der am weitesten links/ersten Richtlinie angegebenen Richtlinie verwendet. Wenn es sich bei der äußersten linken Seite um eine Basisrichtlinie mit ID <ID> handelt, ist die zusammengeführte Richtlinie unabhängig davon, welche GUIDs und Typen für nachfolgende Richtlinien vorhanden sind, eine Basisrichtlinie mit <ID> ID.

Bereitstellen mehrerer Richtlinien

Um mehrere WDAC-Richtlinien bereitzustellen, müssen Sie sie entweder lokal bereitstellen, indem Sie die *.cip Richtliniendateien in den richtigen Ordner kopieren oder den ApplicationControl-CSP verwenden, der vom benutzerdefinierten OMA-URI-Feature von MEM Intune unterstützt wird.

Lokales Bereitstellen mehrerer Richtlinien

Führen Sie die folgenden Schritte aus, um Richtlinien lokal mithilfe des neuen Mehrfachrichtlinienformats bereitzustellen:

  1. Stellen Sie sicher, dass binäre Richtliniendateien das richtige Namensformat {PolicyGUID}.cip aufweisen.
    • Stellen Sie sicher, dass der Name der binären Richtliniendatei exakt mit der PolicyID-GUID in der Richtlinie übereinstimmt.
    • Wenn z. B. der Richtlinien-XML-Code die ID <PolicyID>{A6D7FBBF-9F6B-4072-BF37-693741E1D745}</PolicyID> "" aufzeichnet, lautet der richtige Name für die binäre Richtliniendatei {A6D7FBBF-9F6B-4072-BF37-693741E1D745}.cip .
  2. Kopieren Sie binäre Richtlinien in C:\Windows\System32\CodeIntegrity\CiPolicies\Active .
  3. Starten Sie das System neu.

Bereitstellen mehrerer Richtlinien über ApplicationControl CSP

Mehrere WDAC-Richtlinien können von einem MDM-Server über ApplicationControl Configuration Service Provider (CSP) verwaltet werden. Der CSP bietet auch Unterstützung für die Bereitstellung von Richtlinien ohne Neustart.

Wenn Richtlinien jedoch von einem MDM-Server nicht registriert werden, versucht der CSP, jede Richtlinie von Geräten zu entfernen, nicht nur die vom CSP hinzugefügten Richtlinien. Der Grund dafür ist, dass der ApplicationControl-Konfigurationsdienstanbieter keine Registrierungsquellen für einzelne Richtlinien nachverfolgt, obwohl alle Richtlinien auf einem Gerät abgefragt werden, unabhängig davon, ob sie vom CSP bereitgestellt wurden.

Weitere Informationen zum Bereitstellen mehrerer Richtlinien, optional mithilfe der benutzerdefinierten OMA-URI-Funktion von MEM Intune, finden Sie unter ApplicationControl CSP.

Hinweis

WMI und GP unterstützen derzeit nicht mehrere Richtlinien. Stattdessen sollten Kunden, die nicht direkt auf den MDM-Stapel zugreifen können, den ApplicationControl-CSP über den WMI-Anbieter der MDM-Brücke verwenden, um WDAC-Richtlinien mit mehreren Richtlinienformaten zu verwalten.