Planen der Lebenszyklusverwaltung der Windows Defender-Anwendungssteuerung

In diesem Artikel werden die Entscheidungen beschrieben, die Sie treffen müssen, um die Prozesse zum Verwalten und Verwalten von WDAC-Richtlinien (Windows Defender Application Control) einzurichten.

Richtlinien-XML-Lebenszyklusverwaltung

Der erste Schritt bei der Implementierung der Anwendungssteuerung besteht darin, zu überlegen, wie Ihre Richtlinien im Laufe der Zeit verwaltet und verwaltet werden. Die Entwicklung eines Prozesses zum Verwalten von Windows Defender-Anwendungssteuerungsrichtlinien trägt dazu bei, dass WDAC weiterhin effektiv steuert, wie Anwendungen in Ihrer Organisation ausgeführt werden dürfen.

Die meisten Windows Defender-Anwendungssteuerungsrichtlinien entwickeln sich im Laufe der Zeit weiter und durchlaufen während ihrer Lebensdauer eine Reihe von identifizierbaren Phasen. In der Regel umfassen diese Phasen Folgendes:

1. Definieren (oder verfeinern) Sie den "Vertrauenskreis" für die Richtlinie, und erstellen Sie eine Überwachungsmodusversion der Richtlinien-XML. Im Überwachungsmodus werden Blockereignisse generiert, aber die Ausführung von Dateien wird nicht verhindert.
2. Stellen Sie die Richtlinie für den Überwachungsmodus auf vorgesehenen Geräten bereit.
3. Überwachen Von Überwachungsblockereignissen von den vorgesehenen Geräten und Hinzufügen/Bearbeiten/Löschen von Regeln nach Bedarf, um unerwartete/unerwünschte Blöcke zu beheben.
4. Wiederholen Sie die Schritte 2 bis 3, bis die verbleibenden Blockereignisse die Erwartungen erfüllen.
5. Generieren Sie die Version des erzwungenen Modus der Richtlinie. Im erzwungenen Modus werden Dateien, die die Richtlinie nicht zulässt, nicht ausgeführt, und entsprechende Blockereignisse werden generiert.
6. Stellen Sie die Richtlinie für den erzwungenen Modus auf vorgesehenen Geräten bereit. Es wird empfohlen, mehrstufige Rollouts für erzwungene Richtlinien zu verwenden, um Probleme zu erkennen und darauf zu reagieren, bevor die Richtlinie allgemein bereitgestellt wird.
7. Wiederholen Sie die Schritte 1 bis 6, wenn sich der gewünschte Vertrauenskreis ändert.

Beibehalten von WDAC-Richtlinien in einer Quellcodeverwaltungs- oder Dokumentverwaltungslösung

Um Richtlinien für die Windows Defender-Anwendungssteuerung effektiv zu verwalten, sollten Sie Ihre RICHTLINIEN-XML-Dokumente in einem zentralen Repository speichern und verwalten, auf das jeder für die WDAC-Richtlinienverwaltung verantwortlich ist. Wir empfehlen eine Quellcodeverwaltungslösung wie GitHub oder eine Dokumentverwaltungslösung wie Office 365 SharePoint, die Versionskontrolle bieten und Ihnen ermöglichen, Metadaten zu den XML-Dokumenten anzugeben.

Festlegen der Metadaten PolicyName, PolicyID und Version für jede Richtlinie

Verwenden Sie das Cmdlet Set-CIPolicyIDInfo , um jeder Richtlinie einen aussagekräftigen Namen zu geben und eine eindeutige Richtlinien-ID festzulegen. Diese eindeutigen Attribute helfen Ihnen bei der Überprüfung von Windows Defender-Anwendungssteuerungsereignissen oder beim Anzeigen des RICHTLINIEN-XML-Dokuments bei der Unterscheidung der einzelnen Richtlinien. Obwohl Sie einen Zeichenfolgenwert für PolicyId angeben können, empfehlen wir für Richtlinien, die das Format mehrerer Richtlinien verwenden, die Option -ResetPolicyId zu verwenden, damit das System automatisch eine eindeutige ID für die Richtlinie generieren kann.

Darüber hinaus wird empfohlen, das Cmdlet Set-CIPolicyVersion zu verwenden, um die interne Versionsnummer der Richtlinie zu erhöhen, wenn Sie Änderungen an der Richtlinie vornehmen. Die Version muss als vierteilige Standardversionszeichenfolge definiert werden (z. B. "1.0.0.0").

Richtlinienregelupdates

Möglicherweise müssen Sie Ihre Richtlinie überarbeiten, wenn neue Apps bereitgestellt oder vorhandene Apps vom Softwareherausgeber aktualisiert werden, um sicherzustellen, dass Die Apps ordnungsgemäß ausgeführt werden. Ob Richtlinienregelaktualisierungen erforderlich sind, hängt erheblich von den Arten von Regeln ab, die Ihre Richtlinie enthält. Regeln, die auf codesignierenden Zertifikaten basieren, bieten die größte Resilienz gegenüber App-Änderungen, während Regeln, die auf Dateiattributen oder Hash basieren, höchstwahrscheinlich Updates erfordern, wenn Apps geändert werden. Wenn Sie die Verwaltete Installationsprogrammfunktionalität von WDAC verwenden und alle Apps und deren Updates konsistent über Ihr verwaltetes Installationsprogramm bereitstellen, ist die Wahrscheinlichkeit geringer, dass Sie Richtlinienupdates benötigen.

WDAC-Ereignisverwaltung

Jedes Mal, wenn WDAC einen Prozess blockiert, werden Ereignisse entweder in das Ereignisprotokoll CodeIntegrity\Operational oder in die Windows-Ereignisprotokolle AppLocker\MSI und Script geschrieben. Das Ereignis beschreibt die Datei, die ausgeführt werden soll, die Attribute dieser Datei und ihre Signaturen sowie den Prozess, der versucht hat, die blockierte Datei auszuführen.

Das Sammeln dieser Ereignisse an einem zentralen Ort kann Ihnen helfen, Ihre Windows Defender-Anwendungssteuerungsrichtlinie zu verwalten und Probleme mit der Regelkonfiguration zu beheben. Sie können den Azure Monitor-Agent verwenden , um Ihre WDAC-Ereignisse automatisch zur Analyse zu erfassen.

Darüber hinaus sammelt Microsoft Defender für Endpunkt WDAC-Ereignisse, die mithilfe der erweiterten Suchfunktion abgefragt werden können.

Anwendungs- und Benutzersupportrichtlinie

Zu den Überlegungen gehören:

• Welche Art von Endbenutzerunterstützung wird für blockierte Anwendungen bereitgestellt?
• Wie werden der Richtlinie neue Regeln hinzugefügt?
• Wie werden vorhandene Regeln aktualisiert?
• Werden Ereignisse zur Überprüfung weitergeleitet?

Helpdesk-Support

Wenn In Ihrer Organisation eine Helpdesk-Supportabteilung eingerichtet ist, sollten Sie beim Bereitstellen von Windows Defender-Anwendungssteuerungsrichtlinien die folgenden Punkte berücksichtigen:

• Welche Dokumentation benötigt Ihre Supportabteilung für neue Richtlinienbereitstellungen?
• Welche kritischen Prozesse in den einzelnen Unternehmensgruppen sowohl im Arbeitsablauf als auch im Zeitlichen Ablauf sind von Anwendungssteuerungsrichtlinien betroffen, und wie können sie sich auf die Workload Ihrer Supportabteilung auswirken?
• Wer sind die Kontakte in der Supportabteilung?
• Wie löst die Supportabteilung Probleme bei der Anwendungssteuerung zwischen dem Endbenutzer und den Ressourcen, die die Windows Defender-Anwendungssteuerungsregeln verwalten?

Endbenutzersupport

Da die Windows Defender-Anwendungssteuerung die Ausführung nicht genehmigter Apps verhindert, ist es wichtig, dass Ihre Organisation sorgfältig plant, wie Endbenutzersupport bereitgestellt werden kann. Zu den Überlegungen gehören:

• Möchten Sie eine Intranetwebsite als Support für Benutzer verwenden, die versuchen, eine blockierte App auszuführen?
• Wie möchten Sie Ausnahmen von der Richtlinie unterstützen? Erlauben Sie Benutzern, ein Skript auszuführen, um vorübergehend den Zugriff auf eine blockierte App zuzulassen?

Dokumentieren Ihres Plans

Nachdem Sie entschieden haben, wie Ihre Organisation Ihre Windows Defender-Anwendungssteuerungsrichtlinie verwaltet, notieren Sie Ihre Ergebnisse.

• Supportrichtlinie für Endbenutzer. Dokumentieren Sie den Prozess, den Sie für die Behandlung von Anrufen von Benutzern verwenden, die versucht haben, eine blockierte App auszuführen, und stellen Sie sicher, dass supportmitarbeiter klare Eskalationsschritte haben, damit der Administrator die Windows Defender-Anwendungssteuerungsrichtlinie bei Bedarf aktualisieren kann.
• Ereignisverarbeitung. Dokumentieren Sie, ob Ereignisse an einem zentralen Ort gesammelt werden, der als Speicher bezeichnet wird, wie dieser Speicher archiviert wird und ob die Ereignisse zur Analyse verarbeitet werden.
• Richtlinienverwaltung. Beschreiben Sie, welche Richtlinien geplant sind, wie sie verwaltet werden und wie Regeln im Laufe der Zeit beibehalten werden.