Bereitstellen von App Control for Business-Richtlinien mithilfe von Gruppenrichtlinie

Hinweis

Einige Funktionen von App Control for Business sind nur für bestimmte Windows-Versionen verfügbar. Erfahren Sie mehr über die Verfügbarkeit von App Control-Features.

Wichtig

Aufgrund eines bekannten Problems sollten Sie immer neue signierte App Control Base-Richtlinien mit einem Neustart auf Systemen mit aktivierter Speicherintegrität aktivieren. Anstatt Gruppenrichtlinie, stellen Sie neue signierte App Control Base-Richtlinien per Skript bereit, und aktivieren Sie die Richtlinie mit einem Systemneustart.

Dieses Problem wirkt sich nicht auf Updates von signierten Basisrichtlinien aus, die bereits auf dem System aktiv sind, die Bereitstellung von nicht signierten Richtlinien oder die Bereitstellung zusätzlicher Richtlinien (signiert oder unsigniert). Dies wirkt sich auch nicht auf Bereitstellungen auf Systemen aus, auf denen keine Speicherintegrität ausgeführt wird.

App Control for Business-Richtlinien im Einzelrichtlinienformat (Richtlinienschema vor 1903) können problemlos mit Gruppenrichtlinie bereitgestellt und verwaltet werden.

Wichtig

Gruppenrichtlinie-basierte Bereitstellung von App Control for Business-Richtlinien unterstützt nur App Control-Richtlinien im Einzelrichtlinienformat. Um App Control auf Geräten zu verwenden, auf denen Windows 10 1903 und höher oder Windows 11 ausgeführt wird, empfehlen wir die Verwendung einer alternativen Methode für die Richtlinienbereitstellung.

Sie sollten nun eine App Control-Richtlinie in binäre Form konvertiert haben. Führen Sie andernfalls die unter Bereitstellen von Richtlinien für App Control for Business beschriebenen Schritte aus.

Das folgende Verfahren führt Sie durch die Bereitstellung einer App Control-Richtlinie namens SiPolicy.p7b in einer Test-Organisationseinheit namens App Control Enabled PCs mithilfe eines Gruppenrichtlinienobjekts namens Contoso GPO Test.

So stellen Sie eine App Control for Business-Richtlinie mit Gruppenrichtlinie bereit und verwalten sie:

  1. Öffnen Sie auf einem Clientcomputer, auf dem RSAT installiert ist, die GPMC, indem Sie GPMC.MSC ausführen.

  2. Erstellen Eines neuen Gruppenrichtlinienobjekts: Klicken Sie mit der rechten Maustaste auf eine Organisationseinheit, und wählen Sie dann Gruppenrichtlinienobjekt in dieser Domäne erstellen aus, und verknüpfen Sie es hier.

    Hinweis

    Sie können einen beliebigen Organisationseinheitsnamen verwenden. Darüber hinaus ist das Filtern von Sicherheitsgruppen eine Option, wenn Sie verschiedene Möglichkeiten in Betracht ziehen, App Control-Richtlinien zu kombinieren (oder sie getrennt zu halten), wie unter Planen der Lebenszyklus-Richtlinienverwaltung von App Control for Business erläutert.

    Gruppenrichtlinie Verwaltung erstellen Sie ein Gruppenrichtlinienobjekt.

  3. Name des neuen GPO. Sie können einen beliebigen Namen wählen.

  4. Öffnen Sie die Gruppenrichtlinie Management Editor: Klicken Sie mit der rechten Maustaste auf das neue Gruppenrichtlinienobjekt, und wählen Sie dann Bearbeiten aus.

  5. Navigieren Sie im ausgewählten Gruppenrichtlinienobjekt zu Computerkonfiguration\Administrative Vorlagen\System\Device Guard. Klicken Sie mit der rechten Maustaste auf App-Steuerung für Unternehmen bereitstellen , und wählen Sie dann Bearbeiten aus.

    Bearbeiten Sie die Gruppenrichtlinie für App Control for Business.

  6. Wählen Sie im Dialogfeld App Control for Business bereitstellen die Option Aktiviert aus, und geben Sie dann den Bereitstellungspfad der App Control-Richtlinie an.

    In dieser Richtlinieneinstellung geben Sie entweder den lokalen Pfad an, in dem die Richtlinie auf jedem Clientcomputer vorhanden ist, oder einen UNC-Pfad (Universal Naming Convention), den die Clientcomputer suchen, um die neueste Version der Richtlinie abzurufen. Der Pfad zu "SiPolicy.p7b" mit den unter Deploying App Control for Business policies beschriebenen Schritten lautet z. B. %USERPROFILE%\Desktop\SiPolicy.p7b.

    Hinweis

    Diese Richtliniendatei muss nicht auf jeden Computer kopiert werden. Sie können stattdessen die App-Steuerungsrichtlinien in eine Dateifreigabe kopieren, auf die alle Computerkonten Zugriff haben. Die hier ausgewählte Richtlinie wird in „SIPolicy.p7b“ umgewandelt, wenn Sie auf einzelnen Clientcomputern bereitgestellt wird.

    Gruppenrichtlinie als Deploy App Control for Business bezeichnet.

    Hinweis

    Möglicherweise haben Sie bemerkt, dass die GPO-Einstellung auf eine P7B-Datei verweist, aber die Dateierweiterung und der Name der Richtlinienbinärdatei spielen keine Rolle. Unabhängig davon, wie Sie Ihre Richtlinienbinärdatei benennen, werden sie alle in SIPolicy.p7b konvertiert, wenn sie auf die Clientcomputer angewendet werden, auf denen Windows 10 ausgeführt wird. Wenn Sie verschiedene App Control-Richtlinien für verschiedene Gerätegruppen bereitstellen, sollten Sie jeder Ihrer App-Steuerungsrichtlinien einen Anzeigenamen zuweisen und dem System erlauben, die Richtliniennamen für Sie zu konvertieren, um sicherzustellen, dass die Richtlinien leicht zu unterscheiden sind, wenn sie in einer Freigabe oder einem anderen zentralen Repository angezeigt werden.

  7. Schließen Sie die Gruppenrichtlinie Management Editor, und starten Sie dann den Windows-Testcomputer neu. Beim Neustarten des Computers wird die App-Steuerungsrichtlinie aktualisiert.