Konfigurieren der App-Steuerung für Unternehmen mithilfe von OSConfig

• Gilt für::

  ✅ Windows Server 2025

App Control for Business ist eine softwarebasierte Sicherheitsebene, die die Angriffsfläche reduziert, indem eine explizite Liste der Software erzwungen wird, die ausgeführt werden darf. Microsoft hat eine Standardrichtlinie für Windows Server 2025 entwickelt, die Sie mithilfe von Windows PowerShell-Cmdlets auf dem Server implementieren können. Die Implementierung der App-Steuerung wird über die OSConfig-Sicherheitskonfigurationsplattform erleichtert und bietet zwei Hauptbetriebsmodi:

• Überwachungsmodus: Ermöglicht die Ausführung nicht vertrauenswürdiger Code, während Ereignisse aufgezeichnet werden.
• Erzwingungsmodus: Unzulässig, dass nicht vertrauenswürdiger Code ausgeführt wird, während Ereignisse aufgezeichnet werden.

Weitere Informationen zu diesen Sicherheitsereignisprotokollen finden Sie unter Grundlegendes zu App-Steuerelementereignissen und Grundlegendes zu App Control-Ereignistags.

Da app Control eine Komponente von Windows Server 2025 ist, bietet die Bereitstellung ihrer Richtlinien einfacheren Zugriff auf den Überwachungsmodus und den Erzwingungsmodus über PowerShell. Standardmäßig sind Richtlinien für die App-Steuerung im Überwachungsmodus nicht in Windows Server 2025 festgelegt. Organisationen können stattdessen das OSConfig-Tool verwenden, um diese Richtlinien hinzuzufügen. OSConfig enthält Basisrichtlinien (nicht signiert), die mit ergänzenden Richtlinien angepasst werden können, um bestimmte Geschäftliche Anforderungen zu erfüllen. Weitere Informationen zu dieser Sicherheitsverbesserung finden Sie unter Anwendungssteuerung für Windows.

Hinweis

Eine Azure Monitor-Arbeitsmappe vereinfacht den Prozess der Überprüfung von Überwachungs- oder Blockierungsereignissen, die das Betriebssystem ausgibt, wenn app Control aktiviert wird. Diese Arbeitsmappe bietet Einblicke in die Dateiüberwachung und die Blockierung von Aktivitäten sowie:

• Sammeln und Senden von Windows-Ereignisprotokollen für App Control for Business an Ihren Log Analytics-Arbeitsbereich.
• Identifizieren von Datei- und Richtlinienereignisaktivitäten mithilfe verschiedener Dashboards, Diagramme, Filter und Exportfunktionen. Diese Features helfen Ihnen, die Auswirkungen und den Status Ihrer App-Steuerelementrichtlinien zu analysieren und zu beheben.
• Verfeinern Sie Ihre App-Steuerelementrichtlinien, indem Sie die Arbeitsmappendaten exportieren und im WDAC-Assistenten aufnehmen.

Informationen zur Verwendung der Azure Monitor-Arbeitsmappe für App Control for Business finden Sie unter "So erhalten Sie Einblicke in App Control for Business (WDAC)-Ereignisse.To begin using the Azure Monitor workbook for App Control for Business for Business, see How to get insights into App Control for Business (WDAC)-Ereignisse.

Voraussetzungen

• Sie müssen einen produktionssignierten Windows Server 2025-Build auf Ihrem Gerät ausführen. Diese Anforderung stellt die Einhaltung der App Control for Business-Richtlinien sicher.

  Achtung

  Flight-signierte Binärdateien sind nicht zulässig. Die Nichteinhaltung dieser Anforderung führt dazu, dass ihr Gerät nicht gestartet werden kann.

• Das OSConfig PowerShell-Modul muss auf Ihrem Servergerät installiert sein. Details finden Sie unter Installieren des OSConfig PowerShell-Moduls .

• Sie müssen Windows 10, Version 1909 oder höher, auf Ihrem Clientgerät ausführen und den WDAC-Assistenten installiert haben.

Hinweis

Wenn auf dem Clientgerät .NET Desktop Runtime 8.0 oder höher nicht installiert ist, werden Sie vom WDAC-Assistenten aufgefordert, diese Anwendung herunterzuladen und zu installieren.

Verwalten von Standardrichtlinien

Konfigurieren

Um die Standardrichtlinien für die App-Steuerung im Überwachungsmodus zu konfigurieren, öffnen Sie PowerShell als Administrator, und führen Sie den folgenden Befehl aus:

Set-OSConfigDesiredConfiguration -Scenario AppControl\WS2025\DefaultPolicy\Audit -Default
Set-OSConfigDesiredConfiguration -Scenario AppControl\WS2025\AppBlockList\Audit -Default

Um die Standardrichtlinien für die App-Steuerung im Erzwingungsmodus zu konfigurieren, öffnen Sie PowerShell als Administrator, und führen Sie den folgenden Befehl aus:

Set-OSConfigDesiredConfiguration -Scenario AppControl\WS2025\DefaultPolicy\Enforce -Default
Set-OSConfigDesiredConfiguration -Scenario AppControl\WS2025\AppBlockList\Enforce -Default

Überprüfen

Um zu überprüfen, ob die App-Steuerelementrichtlinie angewendet wurde, führen Sie den folgenden Befehl aus, und wählen Sie zweimal die EINGABETASTE aus:

citool -lp | findstr /I "WS2025"

Wenn Sie Richtlinien im Überwachungsmodus konfiguriert haben, sollten Sie die folgende Ausgabe erwarten:

Friendly Name: BlockUMCI_Microsoft_WS2025_Audit
Friendly Name: AllowMicrosoft_WS2025_Audit

Wenn Sie Richtlinien im Erzwingungsmodus konfiguriert haben, sollten Sie die folgende Ausgabe erwarten:

Friendly Name: BlockUMCI_Microsoft_WS2025_Enforce
Friendly Name: AllowMicrosoft_WS2025_Enforce

Remove

Um die Standardrichtlinien für die App-Steuerung aus dem Überwachungsmodus zu entfernen, öffnen Sie PowerShell als Administrator, und führen Sie den folgenden Befehl aus:

Remove-OSConfigDesiredConfiguration -Scenario AppControl\WS2025\DefaultPolicy\Audit
Remove-OSConfigDesiredConfiguration -Scenario AppControl\WS2025\AppBlockList\Audit

Um die standardmäßigen Richtlinien für die App-Steuerung aus dem Erzwingungsmodus zu entfernen, öffnen Sie PowerShell als Administrator, und führen Sie den folgenden Befehl aus:

Remove-OSConfigDesiredConfiguration -Scenario AppControl\WS2025\DefaultPolicy\Enforce
Remove-OSConfigDesiredConfiguration -Scenario AppControl\WS2025\AppBlockList\Enforce

Nachdem Sie eine Richtlinie entfernt haben, sollte es keine Ausgabe geben, wenn Sie zur Überprüfung ausgeführt citool -lp | findstr /I "WS2025" werden.

Achtung

Das manuelle Entfernen von App-Steuerelementrichtlinien oder durch citool.exe das Entfernen bewirkt, dass der Drift control-Schutz von OSConfig die Richtlinien nach einem Aktualisierungszeitraum von vier Stunden standardmäßig neu einrichten kann. Es wird empfohlen, osConfig zu verwenden, um alle App-Steuerelementrichtlinien zu entfernen, die Sie mithilfe von OSConfig festgelegt haben.

Überwachen von Ereignisprotokollen

Wenn Sie erfasste Ereignisse anzeigen möchten, nachdem Sie die App-Steuerelementrichtlinie angewendet haben, wählen Sie eine beliebige Drittanbieteranwendung aus, die Auf Ihrem Gerät ausgeführt werden soll. Wenn Sie die App-Steuerelementrichtlinie im Überwachungsmodus festlegen, überprüfen Sie, ob die Ereignis-ID 3076 des Betriebssystems für alle Anwendungen von Drittanbietern ausgegeben wurde. Wenn Sie die Richtlinie im Erzwingungsmodus festlegen, überprüfen Sie, ob die Ereignis-ID 3077 des Betriebssystems ausgegeben wurde.

Das System erkennt Versuche der Drittanbieteranwendung, auf eingeschränkte Inhalte zuzugreifen, und ergreift Maßnahmen, um den Zugriff zu blockieren. Führen Sie die folgenden Schritte aus, um diese Ereignisprotokolle anzuzeigen und zu exportieren:

Ansicht

1. Klicken Sie mit der rechten Maustaste auf "Start", und wählen Sie dann Ereignisanzeige aus.
2. Wechseln Sie im linken Bereich zu "Anwendungen und Dienstprotokolle\Microsoft\Windows\CodeIntegrity\Operational".
3. Suchen Sie im mittleren Bereich nach der Ereignis-ID 3076 für den Überwachungsmodus oder 3077 für den Erzwingungsmodus.

Export

1. Wechseln Sie im linken Bereich zu "Anwendungen und Dienstprotokolle\Microsoft\Windows\CodeIntegrity".
2. Klicken Sie mit der rechten Maustaste auf das Betriebsprotokoll, und wählen Sie dann "Aktuelles Protokoll filtern" aus.
3. Wählen Sie im Dialogfeld "Aktuelles Protokoll filtern" die Option "Löschen" aus, geben Sie "3076" in das <Feld "Alle Ereignis-IDs>" ein, und wählen Sie dann "OK" aus.
4. Klicken Sie erneut mit der rechten Maustaste auf das Betriebsprotokoll , und wählen Sie dann "Gefilterte Protokolldatei speichern unter" aus.
5. Geben Sie im Dialogfeld "Speichern unter " einen Namen und einen Speicherort Ihrer Wahl für die .evtx Datei ein, und wählen Sie dann "OK" aus.
6. Im Dialogfeld "Informationen anzeigen" wird gefragt, ob die Ereignisprotokollinformationen in einer anderen Sprache angezeigt werden müssen. Wählen Sie die entsprechende Option basierend auf Ihren Anforderungen aus, und wählen Sie dann "OK" aus.

Dieser Anweisungssatz dient zum Exportieren von Ereignisprotokollen, wenn Sie Ihre Umgebung für den Überwachungsmodus konfiguriert haben. Um Protokolle zu exportieren, in denen Sie den Erzwingungsmodus verwendet haben, filtern Sie stattdessen im Feld "Alle Ereignis-IDs>" nach Ereignis-ID 3077.<

Konfigurieren zusätzlicher Richtlinien

Führen Sie die folgenden Schritte aus, um zusätzliche App-Steuerungsrichtlinien zu erstellen:

1. Kopieren Sie die .evtx Protokolldatei von Ihrem Server auf Ihr Clientgerät.
2. Öffnen Sie auf dem Clientgerät den WDAC-Assistenten.
3. Wählen Sie auf dem Startbildschirm den Richtlinien-Editor aus.
4. Wählen Sie auf dem Bildschirm " Richtlinien-Editor " die Option "Ereignisprotokoll in eine WDAC-Richtlinie konvertieren" aus. Wählen Sie dann unter "Parse Event Log evtx Files to Policy" die Option "Parse Log File(s)" aus.
5. Suchen Sie in den Ereignisprotokollen auswählen, die in das Richtliniendialogfeld konvertiert werden sollen, suchen Sie Ihre .evtx Datei, und wählen Sie dann "Öffnen" aus. Wählen Sie in der Eingabeaufforderung "OK" und dann "Weiter" aus.
6. Wählen Sie auf dem Bildschirm "Dateiregeln " unter "Dateiname" die Datei aus, die Sie der Richtlinie hinzufügen möchten.
7. Wählen Sie unter "Regeltyp" "Pfad" und dann "+Zulassen" aus.
8. Wiederholen Sie Schritt 7 für alle Elemente, die Sie der Richtlinie hinzufügen möchten, und wählen Sie dann "Weiter" aus.

Hinweis

Standardmäßig werden ergänzende Richtlinien im XML-Format " C:\Users\Username\Documents " gespeichert.

Nachdem die ergänzende Richtlinie generiert wurde, kopieren Sie die XML-Datei auf Ihren Server, und führen Sie das folgende Skript aus:

$policyPath = "<Path to the XML policy file>" 

# Reset GUID (best practice)  

Set-CIPolicyIdInfo -FilePath $policyPath -ResetPolicyID 

# Set policy version (VersionEx in the XML file)  

$policyVersion = "1.0.0.1" 

Set-CIPolicyVersion -FilePath $policyPath -Version $policyVersion 

# Set policy info (PolicyName and PolicyID in the XML file)  

Set-CIPolicyIdInfo -FilePath $policyPath -PolicyID "<App name>-Policy_$policyVersion" -PolicyName "<App name>-Policy" # E.g. Set-CIPolicyIdInfo -FilePath $policyPath -PolicyID "Chrome-Policy_$policyVersion" -PolicyName "Chrome-Policy" 

$base = "{9214D8EE-9B0F-4972-9073-A04E917D7989}" 

Set-CIPolicyIdInfo -FilePath $policyPath -SupplementsBasePolicyID $base 

#Set the new policy into the system  

Set-OSConfigDesiredConfiguration -Scenario AppControl -Name Policies -Value $policyPath

Um zu überprüfen, ob die zusätzlichen Richtlinien angewendet wurden, überwachen Sie ereignis-IDs 3076 und 3077 , wie weiter oben in Monitor-Ereignisprotokollen beschrieben. Stellen Sie sicher, dass das Betriebssystem keine neuen Ereignisse generiert hat.

Abfragerichtlinien

Führen Sie den folgenden Befehl aus, um die derzeit in Ihrer Umgebung wirksamen Richtlinien anzuzeigen:

(Get-OSConfigDesiredConfiguration -Scenario AppControl).Value.PolicyInfo | Where-Object { $_.IsEffective -eq $true }

Um Richtlinien anzuzeigen, die derzeit in Ihrer Umgebung inaktiv sind, führen Sie den folgenden Befehl aus:

(Get-OSConfigDesiredConfiguration -Scenario AppControl).Value.PolicyInfo | Where-Object { $_.IsEffective -eq $false }

Die Ausgabe für diese Abfragen variiert je nach Ihren Richtlinienkonfigurationsanforderungen.

Zugehöriger Inhalt

• Technische Referenz zu CiTool
• ConfigCI PowerShell-Referenz