Grundlegendes zum Entwurf von Richtlinienentscheidungen für die Windows Defender-Anwendungssteuerung
Hinweis
Einige Funktionen der Windows Defender-Anwendungssteuerung (WDAC) sind nur für bestimmte Windows-Versionen verfügbar. Erfahren Sie mehr über die Verfügbarkeit der Windows Defender Anwendungssteuerungsfeature.
Dieser Artikel richtet sich an IT-Experten. Er listet die Entwurfsfragen, möglichen Antworten und Auswirkungen für entscheidungen auf, die bei der Planung der Bereitstellung von Anwendungssteuerungsrichtlinien mithilfe der Windows Defender-Anwendungssteuerung (WDAC) in einer Windows-Betriebssystemumgebung getroffen werden.
Wenn Sie mit dem Entwurf und dem Planungsprozess beginnen, sollten Sie die Auswirkungen Ihrer Entwurfsoptionen berücksichtigen. Die daraus resultierenden Entscheidungen wirken sich auf Ihr Richtlinienbereitstellungsschema und die nachfolgende Wartung der Anwendungssteuerungsrichtlinie aus.
Sie sollten die Verwendung der Windows Defender-Anwendungssteuerung als Teil der Anwendungssteuerungsrichtlinien Ihrer Organisation in Betracht ziehen, wenn Folgendes zutrifft:
- Sie haben die unterstützten Versionen von Windows in Ihrer Organisation bereitgestellt oder planen die Bereitstellung.
- Sie benötigen eine verbesserte Kontrolle über den Zugriff auf die Anwendungen Ihrer Organisation und die Daten, auf die Ihre Benutzer zugreifen.
- Ihre Organisation verfügt über einen klar definierten Prozess für die Anwendungsverwaltung und -bereitstellung.
- Sie verfügen über Ressourcen, um Richtlinien anhand der Anforderungen der Organisation zu testen.
- Sie verfügen über Ressourcen, um Helpdesk einzubinden oder einen Selbsthilfeprozess für Probleme mit dem Zugriff auf Endbenutzeranwendungen zu erstellen.
- Die Anforderungen der Gruppe an Produktivität, Verwaltbarkeit und Sicherheit können durch restriktive Richtlinien gesteuert werden.
Entscheiden, welche Richtlinien erstellt werden sollen
Ab Windows 10, Version 1903, ermöglicht die Windows Defender-Anwendungssteuerung das Anwenden mehrerer gleichzeitiger Richtlinien auf jedes Gerät. Diese gleichzeitige Anwendung eröffnet Organisationen viele neue Anwendungsfälle, aber Ihre Richtlinienverwaltung kann leicht unhandlich werden, ohne einen durchdachten Plan für die Anzahl und typen der zu erstellenden Richtlinien.
Der erste Schritt besteht darin, den gewünschten "Vertrauenskreis" für Ihre WDAC-Richtlinien zu definieren. Mit "Vertrauenskreis" meinen wir eine Beschreibung der Geschäftsabsicht der Richtlinie, die in natürlicher Sprache ausgedrückt wird. Diese Definition des "Vertrauenskreises" führt Sie beim Erstellen der tatsächlichen Richtlinienregeln für Ihre Richtlinien-XML.
Die DefaultWindows-Richtlinie, die sich unter %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies befindet, richtet beispielsweise einen "Vertrauenskreis" ein, der Windows, Hardware- und Softwarekernelstreiber von Drittanbietern und Anwendungen aus dem Microsoft Store zulässt.
Configuration Manager verwendet die DefaultWindows-Richtlinie als Grundlage für die Richtlinie, ändert dann jedoch die Richtlinienregeln, um Configuration Manager und seine Abhängigkeiten zuzulassen, legt die Richtlinienregel für verwaltete Installationsprogramme fest und konfiguriert Configuration Manager zusätzlich als verwaltetes Installationsprogramm. Es kann optional auch Apps mit positivem Ruf autorisieren und eine einmalige Überprüfung der Ordnerpfade durchführen, die vom Configuration Manager-Administrator angegeben wurden, wodurch Regeln für alle Apps hinzugefügt werden, die in den angegebenen Pfaden auf dem verwalteten Endpunkt gefunden werden. Dieser Prozess richtet den "Vertrauenskreis" für die native WDAC-Integration von Configuration Manager ein.
Die folgenden Fragen können Ihnen helfen, Ihre Windows Defender-Anwendungssteuerungsbereitstellung zu planen und den richtigen "Vertrauenskreis" für Ihre Richtlinien zu bestimmen. Sie haben keine Priorität oder sequenzielle Reihenfolge und sind nicht als erschöpfende Entwurfsüberlegungen gedacht.
Überlegungen zum WDAC-Entwurf
Wie werden Apps in Ihrer Organisation verwaltet und bereitgestellt?
Organisationen mit klar definierten, zentral verwalteten App-Verwaltungs- und Bereitstellungsprozessen können restriktivere und sicherere Richtlinien erstellen. Andere Organisationen können die Windows Defender-Anwendungssteuerung möglicherweise mit gelockerten Regeln bereitstellen oder WDAC im Überwachungsmodus bereitstellen, um einen besseren Einblick in die in ihrer Organisation verwendeten Apps zu erhalten.
| Mögliche Antworten | Überlegungen zum Entwurf |
|---|---|
| Alle Apps werden zentral verwaltet und mithilfe von Endpunktverwaltungstools wie Microsoft Intune bereitgestellt. | Organisationen, die alle Apps zentral verwalten, eignen sich am besten für die Anwendungssteuerung. Windows Defender-Anwendungssteuerungsoptionen wie das verwaltete Installationsprogramm können das Autorisieren von Apps erleichtern, die von der App-Verteilungsverwaltungslösung der Organisation bereitgestellt werden. |
| Einige Apps werden zentral verwaltet und bereitgestellt, aber Teams können andere Apps für ihre Mitglieder installieren. | Zusätzliche Richtlinien können verwendet werden, um teamspezifische Ausnahmen für Ihre unternehmensweite Windows Defender-Anwendungssteuerungsrichtlinie zuzulassen. Alternativ können Teams verwaltete Installationsprogramme verwenden, um ihre teamspezifischen Apps zu installieren, oder Nur-Administrator-Dateipfadregeln können verwendet werden, um apps zuzulassen, die von Administratorbenutzern installiert werden. |
| Benutzern und Teams steht es frei, Apps herunterzuladen und zu installieren, aber die Organisation möchte dieses Recht nur auf weit verbreitete und seriöse Apps beschränken. | Windows Defender Application Control kann in Den Intelligent Security Graph von Microsoft integriert werden (die gleiche Informationsquelle, die Microsoft Defender Antivirus und Windows Defender SmartScreen unterstützt), um nur Apps und Binärdateien zuzulassen, die einen positiven Ruf haben. |
| Benutzer und Teams können Apps uneingeschränkt herunterladen und installieren. | Windows Defender-Anwendungssteuerungsrichtlinien können im Überwachungsmodus bereitgestellt werden, um Einblicke in die Apps und Binärdateien zu erhalten, die in Ihrer Organisation ausgeführt werden, ohne die Produktivität von Benutzern und Teams zu beeinträchtigen. |
Werden intern entwickelte Branchen-Apps und -Apps, die von Drittanbietern entwickelt wurden, digital signiert?
Herkömmliche Win32-Apps unter Windows können ausgeführt werden, ohne digital signiert zu sein. Diese Vorgehensweise kann Windows-Geräte mit schädlichem oder manipuliertem Code aussetzen und stellt ein Sicherheitsrisiko für Ihre Windows-Geräte dar. Die Einführung von Codesignatur als Teil der App-Entwicklungsmethoden Ihrer Organisation oder das Erweitern von Apps mit signierten Katalogdateien als Teil Ihrer App-Erfassung und -Verteilung kann die Integrität und Sicherheit der verwendeten Apps erheblich verbessern.
| Mögliche Antworten | Überlegungen zum Entwurf |
|---|---|
| Alle apps, die in Ihrer Organisation verwendet werden, müssen signiert sein. | Organisationen, die codesigning für den gesamten ausführbaren Code erzwingen, sind am besten positioniert, um ihre Windows-Computer vor der Ausführung von schädlichem Code zu schützen. Windows Defender-Anwendungssteuerungsregeln können erstellt werden, um Apps und Binärdateien von den internen Entwicklungsteams der Organisation und von vertrauenswürdigen unabhängigen Softwareanbietern (ISV) zu autorisieren. |
| Apps, die in Ihrer Organisation verwendet werden, müssen keine Codesigning-Anforderungen erfüllen. | Organisationen können integrierte Windows-Tools verwenden , um im Rahmen des App-Bereitstellungsprozesses organisationsspezifische App-Katalogsignaturen zu vorhandenen Apps hinzuzufügen, die zum Autorisieren der Codeausführung verwendet werden können. Lösungen wie Microsoft Intune bieten mehrere Möglichkeiten zum Verteilen signierter App-Kataloge. |
Gibt es bestimmte Gruppen in Ihrer Organisation, die angepasste Anwendungssteuerungsrichtlinien benötigen?
Die meisten Geschäftsteams oder Abteilungen haben bestimmte Sicherheitsanforderungen, die sich auf den Datenzugriff und die Anwendungen beziehen, die für den Zugriff auf diese Daten verwendet werden. Berücksichtigen Sie den Umfang des Projekts für jede Gruppe und die Prioritäten der Gruppe, bevor Sie Anwendungssteuerungsrichtlinien für die gesamte Organisation bereitstellen. Bei der Verwaltung von Richtlinien ist ein Mehraufwand verbunden, der Dazu führen kann, dass Sie zwischen umfassenden, organisationsweiten Richtlinien und mehreren teamspezifischen Richtlinien wählen können.
| Mögliche Antworten | Überlegungen zum Entwurf |
|---|---|
| Ja | WDAC-Richtlinien können pro Team eindeutig erstellt werden, oder teamspezifische ergänzende Richtlinien können verwendet werden, um das zu erweitern, was durch eine gemeinsame, zentral definierte Basisrichtlinie zulässig ist. |
| Nein | WDAC-Richtlinien können global auf Anwendungen angewendet werden, die auf PCs mit Windows 10 und Windows 11 installiert sind. Abhängig von der Anzahl der Apps, die Sie steuern müssen, kann es schwierig sein, alle Regeln und Ausnahmen zu verwalten. |
Verfügt Ihre IT-Abteilung über Ressourcen zum Analysieren der Anwendungsnutzung und zum Entwerfen und Verwalten der Richtlinien?
Die Zeit und die Ressourcen, die Ihnen für die Durchführung der Recherche und Analyse zur Verfügung stehen, können sich auf die Details Ihres Plans und der Prozesse für die fortlaufende Richtlinienverwaltung und -wartung auswirken.
| Mögliche Antworten | Überlegungen zum Entwurf |
|---|---|
| Ja | Investieren Sie Die Zeit, um die Anwendungssteuerungsanforderungen Ihrer Organisation zu analysieren und eine vollständige Bereitstellung zu planen, die so konstruierte Regeln wie möglich verwendet. |
| Nein | Erwägen Sie eine fokussierte und stufenweise Bereitstellung für bestimmte Gruppen, indem Sie einige Regeln verwenden. Wenn Sie Steuerelemente auf Anwendungen in einer bestimmten Gruppe anwenden, lernen Sie aus dieser Bereitstellung, um Ihre nächste Bereitstellung zu planen. Alternativ können Sie eine Richtlinie mit einem breiten Vertrauensprofil erstellen, um so viele Apps wie möglich zu autorisieren. |
Verfügt Ihre Organisation über Helpdesk-Support?
Wenn Sie verhindern, dass Ihre Benutzer auf bekannte, bereitgestellte oder persönliche Anwendungen zugreifen, führt dies zunächst zu einer Zunahme der Endbenutzerunterstützung. Es ist notwendig, die verschiedenen Supportprobleme in Ihrer Organisation zu beheben, damit Sicherheitsrichtlinien befolgt werden und der Geschäftsworkflow nicht beeinträchtigt wird.
| Mögliche Antworten | Überlegungen zum Entwurf |
|---|---|
| Ja | Binden Sie die Supportabteilung frühzeitig in die Planungsphase ein, da Ihre Benutzer möglicherweise versehentlich daran gehindert werden, ihre Anwendungen zu verwenden, oder sie können Ausnahmen suchen, um bestimmte Anwendungen zu verwenden. |
| Nein | Investieren Sie Zeit in die Entwicklung von Onlinesupportprozessen und -dokumentationen vor der Bereitstellung. |