Windows Defender Application Control-Bereitstellung in verschiedenen Szenarien: Gerätetypen
Hinweis
Einige Funktionen von Windows Defender Application Control (WDAC) sind nur für bestimmte Windows-Versionen verfügbar. Erfahren Sie mehr über die Verfügbarkeit der Windows Defender Anwendungssteuerungsfeature.
In der Regel erfolgt die Bereitstellung von Windows Defender Anwendungssteuerung (WDAC) am besten in Phasen, anstatt ein Feature zu sein, das Sie einfach "aktivieren". Die Auswahl und Abfolge der Phasen hängt davon ab, wie verschiedene Computer und andere Geräte in Ihrem organization verwendet werden und in welchem Umfang die IT diese Geräte verwaltet. Die folgende Tabelle hilft Ihnen bei der Entwicklung eines Plans für die Bereitstellung von WDAC in Ihrem organization. Es ist üblich, dass Organisationen Geräteanwendungsfälle für jede der beschriebenen Kategorien verwenden.
Gerätetypen
| Gerätetyp | Beziehung zwischen WDAC und diesem Gerätetyp |
|---|---|
| Kaum verwaltete Geräte: Unternehmenseigene Geräte, auf denen Benutzer beliebige Software installieren dürfen. Auf den Geräten müssen Antivirenlösungen der Organisation und Clientverwaltungstools ausgeführt werden. |
Windows Defender Anwendungssteuerung kann verwendet werden, um den Kernel zu schützen und um Problemanwendungen zu überwachen (zu überwachen), anstatt die Anwendungen einzuschränken, die ausgeführt werden können. |
| Vollständig verwaltete Geräte: Zulässige Software wird durch die IT-Abteilung eingeschränkt. Benutzer können weitere Software anfordern oder aus einer Liste von Anwendungen installieren, die von der IT-Abteilung bereitgestellt werden. Beispiele: gesperrte unternehmenseigene Desktopcomputer und Laptops |
Eine anfängliche Baseline Windows Defender Anwendungssteuerungsrichtlinie kann eingerichtet und erzwungen werden. Wenn die IT-Abteilung weitere Anwendungen genehmigt, aktualisiert sie die WDAC-Richtlinie und (bei nicht signierten BRANCHENanwendungen) den Katalog. |
| Geräte mit fester Arbeitsauslastung: Führen täglich dieselben Aufgaben aus. Die Listen der genehmigten Anwendungen ändern sich nur selten. Beispiele: Kioske, Point-of-Sale-Systeme, Callcenter-PCs |
Windows Defender Application Control kann vollständig bereitgestellt werden, und bereitstellung und laufende Verwaltung sind relativ einfach. Nach Windows Defender Bereitstellung der Anwendungssteuerung können nur genehmigte Anwendungen ausgeführt werden. Diese Regel ist aufgrund von Schutzfunktionen, die von WDAC angeboten werden. |
| BYOD (Bring Your Own Device): Mitarbeiter dürfen eigene Geräte mitbringen und diese auch privat gebrauchen. | In den meisten Fällen gilt Windows Defender Anwendungssteuerung nicht. Sie können stattdessen andere Härtungs- und Sicherheitsfeatures mit MDM-basierten Lösungen für den bedingten Zugriff in Erwägung ziehen, wie etwa Microsoft Intune. Sie können jedoch eine Richtlinie im Überwachungsmodus für diese Geräte bereitstellen oder eine Richtlinie nur für die Sperrliste verwenden, um bestimmte Apps oder Binärdateien zu verhindern, die von Ihrem organization als bösartig oder anfällig angesehen werden. |
Eine Einführung in lamna Healthcare Company
In den nächsten Artikeln untersuchen wir jedes der oben genannten Szenarien mithilfe eines fiktiven organization namens Lamna Healthcare Company.
Lamna Healthcare Company (Lamna) ist ein großer Gesundheitsdienstleister, der im USA tätig ist. Lamna beschäftigt Tausende von Mitarbeitern, von Ärzten und Krankenschwestern bis hin zu Buchhaltern, internen Anwälten und IT-Technikern. Ihre Geräteanwendungsfälle sind vielfältig und umfassen Einzelbenutzerarbeitsstationen für ihr professionelles Personal, freigegebene Kioske, die von Ärzten und Krankenschwestern für den Zugriff auf Patientenakten verwendet werden, dedizierte medizinische Geräte wie MRT-Scanner und viele andere. Darüber hinaus hat Lamna eine entspannte Bring-Your-Own-Device-Richtlinie für viele ihrer professionellen Mitarbeiter.
Lamna verwendet Microsoft Intune im Hybridmodus sowohl mit Configuration Manager als auch mit Intune. Obwohl sie Microsoft Intune verwenden, um viele Anwendungen bereitzustellen, hat Lamna immer gelockerte Anwendungsmethoden: Einzelne Teams und Mitarbeiter konnten alle Anwendungen installieren und verwenden, die sie für ihre Rolle auf ihren eigenen Arbeitsstationen für erforderlich halten. Lamna hat vor Kurzem auch damit begonnen, Microsoft Defender for Endpoint für eine bessere Endpunkterkennung und -reaktion zu verwenden.
Vor kurzem erlebte Lamna ein Ransomware-Ereignis, das einen teuren Wiederherstellungsprozess erforderte und möglicherweise Datenexfiltration durch den unbekannten Angreifer beinhaltete. Teil des Angriffs war die Installation und Ausführung schädlicher Binärdateien, die die Erkennung durch die Antivirenlösung von Lamna umgangen haben, aber durch eine Anwendungssteuerungsrichtlinie blockiert worden wären. Als Reaktion darauf hat die Lamna-Geschäftsleitung viele neue It-Sicherheitsreaktionen genehmigt, einschließlich der Verschärfung von Richtlinien für die Anwendungsnutzung und der Einführung der Anwendungssteuerung.
Weiter oben
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für