Bereitstellen von Windows Defender-Anwendungssteuerungsrichtlinien mithilfe von GruppenrichtlinienDeploy Windows Defender Application Control policies by using Group Policy

Gilt für:Applies to:

  • Windows 10Windows10
  • Windows Server 2016WindowsServer 2016

WDAC-Richtlinien können mithilfe von „Gruppenrichtlinie“ einfach bereitgestellt und verwaltet werden.WDAC policies can easily be deployed and managed with Group Policy. Mit Windows Defender können Sie die hardwarebasierten Sicherheitsfeatures und Windows Defender-Anwendungssteuerungsrichtlinien für die Bereitstellung von Windows Defender vereinfachen.Windows Defender allows you to simplify deployment Windows Defender hardware-based security features and Windows Defender Application Control policies. Im folgenden Verfahren wird eine WDAC-Richtlinie mit dem Namen DeviceGuardPolicy.bin bereitgestellt, um mithilfe eines GPOs mit dem Namen Contoso PCs Test eine OU mit dem Namen DG Enabled PCs zu testen.The following procedure walks you through how to deploy a WDAC policy called DeviceGuardPolicy.bin to a test OU called DG Enabled PCs by using a GPO called Contoso GPO Test.

Hinweis

Für diese Vorgehensweise ist es erforderlich, dass Sie zuvor eine WDAC-Richtlinie erstellt haben und über einen Computer unter Windows10 verfügen, auf dem Sie eine Gruppenrichtlinienbereitstellung testen.This walkthrough requires that you have previously created a WDAC policy and have a computer running Windows 10 on which to test a Group Policy deployment. Weitere Informationen zum Erstellen einer WDAC-Richtlinie finden Sie weiter oben in diesem Thema unter Erstellen einer Windows Defender-Anwendungssteuerungsrichtlinie anhand eines Referenzcomputers.For more information about how to create a WDAC policy, see Create a Windows Defender Application Control policy from a reference computer, earlier in this topic.

Hinweis

Signierte WDAC-Richtlinien können Startfehler verursachen, wenn Sie bereitgestellt wurden.Signed WDAC policies can cause boot failures when deployed. Es wird empfohlen, die signierten WDAC-Richtlinien sorgfältig auf jeder Hardwareplattform zu testen, bevor die Unternehmensbereitstellung erfolgt.We recommend that signed WDAC policies be thoroughly tested on each hardware platform before enterprise deployment.

So stellen Sie eine WDAC-Richtlinie mithilfe von „Gruppenrichtlinie“ bereit und verwalten Sie sie:To deploy and manage a WDAC policy with Group Policy:

  1. Öffnen Sie auf einem Clientcomputer, auf dem die Remote-Verwaltungskonsole installiert ist, die GPMC, indem Sie GPMC. msc ausführen.On a client computer on which RSAT is installed, open the GPMC by running GPMC.MSC

  2. Erstellen Sie ein neues Gruppenrichtlinienobjekt: Klicken Sie mit der rechten Maustaste auf eine Organisationseinheit, und klicken Sie dann auf Gruppenrichtlinienobjekt in dieser Domäne erstellen, und verknüpfen Sie es hier.Create a new GPO: right-click an OU and then click Create a GPO in this domain, and Link it here.

    Hinweis

    Sie können einen beliebigen OU-Namen verwenden.You can use any OU name. Darüber hinaus ist die Filterung von Sicherheitsgruppen eine Option, wenn Sie verschiedene Methoden zum Kombinieren von WDAC-Richtlinien (oder getrennt halten) in den Griff finden, wie in Plan für die Richtlinienverwaltung für die Windows Defender-Anwendungssteuerungerläutert.Also, security group filtering is an option when you consider different ways of combining WDAC policies (or keeping them separate), as discussed in Plan for Windows Defender Application Control policy management.

    Gruppenrichtlinienverwaltung, Erstellen eines Gruppenrichtlinienobjekts

  3. Name des neuen GPO.Name the new GPO. Sie können einen beliebigen Namen wählen.You can choose any name.

  4. Klicken Sie zum Öffnen des Gruppenrichtlinienverwaltungs-Editors mit der rechten Maustaste auf das neue GPO, und klicken Sie dann auf Bearbeiten.Open the Group Policy Management Editor: right-click the new GPO, and then click Edit.

  5. Navigieren Sie im ausgewählten GPO zu „Computerkonfiguration\Administrative Vorlagen\System\Device Guard“.In the selected GPO, navigate to Computer Configuration\Administrative Templates\System\Device Guard. Klicken Sie mit der rechten Maustaste auf Bereitstellen der Windows Defender-Anwendungssteuerung, und klicken Sie dann auf Bearbeiten.Right-click Deploy Windows Defender Application Control and then click Edit.

    Bearbeiten der Gruppenrichtlinie für die Windows Defender-Anwendungssteuerung

  6. Wählen Sie im Dialogfeld Windows Defender-Anwendungssteuerung bereitstellen die Option Aktiviert aus, und geben Sie dann den Bereitstellungspfad für die Codeintegritätsrichtlinie an.In the Deploy Windows Defender Application Control dialog box, select the Enabled option, and then specify the code integrity policy deployment path.

    In dieser Richtlinieneinstellung geben Sie den lokalen Pfad, an dem sich die Richtlinie befindet, auf dem Clientcomputer oder einen Universal Naming Convention-Pfad (UNC) an, den die Clientcomputer durchsuchen, um die neueste Version der Richtlinie abzurufen.In this policy setting, you specify either the local path in which the policy will exist on the client computer or a Universal Naming Convention (UNC) path that the client computers will look to retrieve the latest version of the policy. Beispielsweise wäre mit DeviceGuardPolicy. bin auf dem Testcomputer der Beispiel Dateipfad C:\Windows\System32\CodeIntegrity\DeviceGuardPolicy.bin.For example, with DeviceGuardPolicy.bin on the test computer, the example file path would be C:\Windows\System32\CodeIntegrity\DeviceGuardPolicy.bin.

    Hinweis

    Diese Richtliniendatei muss nicht auf jeden Computer kopiert werden.This policy file does not need to be copied to every computer. Sie können stattdessen die WDAC-Richtlinien auf eine Dateifreigabe kopieren, auf die alle Computerkonten zugreifen können.You can instead copy the WDAC policies to a file share to which all computer accounts have access. Die hier ausgewählte Richtlinie wird in „SIPolicy.p7b“ umgewandelt, wenn Sie auf einzelnen Clientcomputern bereitgestellt wird.Any policy selected here is converted to SIPolicy.p7b when it is deployed to the individual client computers.

    Gruppenrichtlinie mit dem Namen Bereitstellen der Windows Defender-Anwendungssteuerung

    Hinweis

    Sie haben möglicherweise bemerkt, dass die GPO-Einstellung eine P7B-Datei referenziert und in diesem Beispiel eine BIN-Datei für die Richtlinie verwendet wird.You may have noticed that the GPO setting references a .p7b file and this example uses a .bin file for the policy. Sie werden unabhängig vom Richtlinientyp, den Sie bereitstellen (BIN, P7B oder P7), alle in „SIPolicy.p7b“ umgewandelt, wenn sie auf Clientcomputern unter Windows 10 abgelegt werden.Regardless of the type of policy you deploy (.bin, .p7b, or .p7), they are all converted to SIPolicy.p7b when dropped on the client computer running Windows 10. Gestalten Sie Ihre WDAC-Richtlinien anzeigefreundlich, und ermöglichen Sie dem System die Umwandlung der Richtliniennamen für Sie, um sicherzustellen, dass die Richtlinien einfach unterschieden werden können, wenn Sie auf einer Freigabe oder in einem anderen zentralen Repository angezeigt werden.Make your WDAC policies friendly and allow the system to convert the policy names for you to ensure that the policies are easily distinguishable when viewed in a share or any other central repository.

  7. Schließen Sie den Gruppenrichtlinienverwaltungs-Editor, und starten Sie den Testcomputer unter Windows 10 anschließend neu.Close the Group Policy Management Editor, and then restart the Windows 10 test computer. Durch das Neustarten des Computers wird die WDAC-Richtlinie aktualisiert.Restarting the computer updates the WDAC policy. Informationen zum Überwachen von WDAC-Richtlinien finden Sie unter über Wachen von Windows Defender-Anwendungssteuerungsrichtlinien.For information about how to audit WDAC policies, see Audit Windows Defender Application Control policies.