Beispiel für Basisrichtlinien für App Control for Business
Hinweis
Einige Funktionen von App Control for Business sind nur für bestimmte Windows-Versionen verfügbar. Erfahren Sie mehr über die Verfügbarkeit von App Control-Features.
Wenn Sie Richtlinien für die Verwendung mit App Control for Business erstellen, beginnen Sie mit einer vorhandenen Basisrichtlinie, und fügen Sie dann Regeln hinzu oder entfernen Sie sie, um Ihre eigene benutzerdefinierte Richtlinie zu erstellen. Windows enthält mehrere Beispielrichtlinien, die Sie verwenden können. Diese Beispielrichtlinien werden "unverändert" bereitgestellt. Sie sollten die von Ihnen bereitgestellten Richtlinien mit sicheren Bereitstellungsmethoden gründlich testen.
| Beispielbasisrichtlinie | Beschreibung | Wo sie zu finden ist |
|---|---|---|
| DefaultWindows_*.xml | Diese Beispielrichtlinie ist sowohl im Überwachungsmodus als auch im erzwungenen Modus verfügbar. Sie enthält Regeln zum Zulassen von Windows, Hardware- und Softwarekernelstreibern von Drittanbietern sowie Windows Store-Apps. Wird als Grundlage für die Microsoft Intune Produktfamilienrichtlinien verwendet. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\DefaultWindows_*.xml %ProgramFiles%\WindowsApps\Microsoft.App Control.WDACWizard*\DefaultWindows_Audit.xml |
| AllowMicrosoft.xml | Diese Beispielrichtlinie enthält die Regeln aus DefaultWindows und fügt Regeln hinzu, um Apps zu vertrauen, die vom Stammzertifikat des Microsoft-Produkts signiert sind. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\AllowMicrosoft.xml %ProgramFiles%\WindowsApps\Microsoft.App Control.WDACWizard*\AllowMicrosoft.xml |
| AllowAll.xml | Diese Beispielrichtlinie ist beim Erstellen einer Sperrliste nützlich. Alle Blockrichtlinien sollten Regeln enthalten, mit denen der gesamte andere Code ausgeführt werden kann, und dann die DENY-Regeln für die Anforderungen Ihrer organization hinzufügen. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\AllowAll.xml |
| AllowAll_EnableHVCI.xml | Diese Beispielrichtlinie kann verwendet werden, um die Speicherintegrität (auch als hypervisorgeschützte Codeintegrität bezeichnet) mithilfe der App-Steuerung zu aktivieren. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\AllowAll_EnableHVCI.xml |
| DenyAllAudit.xml | Warnung: Führt zu Startproblemen unter Windows Server 2019 und früheren Versionen. Verwenden Sie nicht auf diesen Betriebssystemen. Stellen Sie diese Beispielrichtlinie nur im Überwachungsmodus bereit, um alle Binärdateien nachzuverfolgen, die auf kritischen Systemen ausgeführt werden, oder um gesetzliche Anforderungen zu erfüllen. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\DenyAllAudit.xml |
| Microsoft Configuration Manager | Kunden, die Configuration Manager verwenden, können eine Richtlinie mit der integrierten App Control-Integration von Configuration Manager bereitstellen und dann die generierte Richtlinien-XML als Beispielbasisrichtlinie verwenden. | %OSDrive%\Windows\CCM\DeviceGuard auf einem verwalteten Endpunkt |
| SmartAppControl.xml | Diese Beispielrichtlinie enthält Regeln, die auf smarten App-Steuerelementen basieren und sich gut für leicht verwaltete Systeme eignen. Diese Richtlinie enthält eine Regel, die für Unternehmens-App-Steuerungsrichtlinien nicht unterstützt wird und entfernt werden muss. Weitere Informationen zur Verwendung dieser Beispielrichtlinie finden Sie unter Erstellen einer benutzerdefinierten Basisrichtlinie mithilfe einer Beispielbasisrichtlinie. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\SmartAppControl.xml %ProgramFiles%\WindowsApps\Microsoft.App Control.WDACWizard*\SignedReputable.xml |
| Beispiel für eine ergänzende Richtlinie | In dieser Beispielrichtlinie wird gezeigt, wie Sie eine ergänzende Richtlinie verwenden, um die DefaultWindows_Audit.xml eine einzelne von Microsoft signierte Datei zuzulassen. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\DefaultWindows_Supplemental.xml |
| Von Microsoft empfohlene Sperrliste | Diese Richtlinie enthält eine Liste von Windows- und von Microsoft signierten Code, den Microsoft bei verwendung der App-Steuerung nach Möglichkeit blockiert. |
Von Microsoft empfohlene Regeln zum Blockieren %ProgramFiles%\WindowsApps\Microsoft.App Control.WDACWizard*\Recommended_UserMode_Blocklist.xml |
| Von Microsoft empfohlene Treiberblockierungsliste | Diese Richtlinie enthält Regeln zum Blockieren bekannter anfälliger oder böswilliger Kerneltreiber. |
Von Microsoft empfohlene Treiberblockierungsregeln %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\RecommendedDriverBlock_Enforced.xml %ProgramFiles%\WindowsApps\Microsoft.App Control.WDACWizard*\Recommended_Driver_Blocklist.xml |
| Windows S-Modus | Diese Richtlinie enthält die Regeln, die zum Erzwingen des Windows S-Modus verwendet werden. | %ProgramFiles%\WindowsApps\Microsoft.App Control.WDACWizard*\WinSiPolicy.xml.xml |
| Windows 11 SE | Diese Richtlinie enthält die Regeln, die zum Erzwingen von Windows 11 SE verwendet werden, einer Windows-Version, die für die Verwendung in Schulen entwickelt wurde. | %ProgramFiles%\WindowsApps\Microsoft.App Control.WDACWizard*\WinSEPolicy.xml.xml |
Hinweis
Nicht alle unter %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies angezeigten Richtlinien sind in allen Versionen von Windows verfügbar.