Entfernen von App Control for Business-Richtlinien

• Gilt für::

  ✅ Windows 11, ✅ Windows 10

Hinweis

Einige Funktionen von App Control for Business sind nur für bestimmte Windows-Versionen verfügbar. Erfahren Sie mehr über die Verfügbarkeit von App Control-Features.

Entfernen von App Control-Richtlinien

Es kann vorkommen, dass Sie eine oder mehrere App Control-Richtlinien entfernen oder alle app Control-Richtlinien entfernen möchten, die Sie bereitgestellt haben. In diesem Artikel werden die verschiedenen Möglichkeiten zum Entfernen von App Control-Richtlinien beschrieben.

Wichtig

Signierte Basis-App-Steuerungsrichtlinie

Wenn die Basisrichtlinie, die Sie entfernen möchten, eine signierte App Control-Richtlinie ist, müssen Sie zuerst eine signierte Ersatzrichtlinie bereitstellen, die Option 6 Aktiviert:Nicht signierte Systemintegritätsrichtlinie enthält.

Die Ersetzungsrichtlinie muss dieselbe PolicyId aufweisen wie die, die sie ersetzt, und eine Version, die gleich oder größer als die vorhandene Richtlinie ist. Die Ersetzungsrichtlinie muss auch UpdatePolicySigners> enthalten<.

Um wirksam zu werden, muss diese Richtlinie mit einem Zertifikat signiert werden, das <im Abschnitt UpdatePolicySigners> der ursprünglichen Richtlinie enthalten ist, die Sie ersetzen möchten.

Anschließend müssen Sie den Computer neu starten, damit der UEFI-Schutz der Richtlinie deaktiviert wird. Andernfalls führt dies zu einem Startfehler.

Signierte ergänzende App-Steuerungsrichtlinien können auf die gleiche Weise entfernt werden wie nicht signierte Richtlinien, ohne dass die oben genannten Schritte ausgeführt werden müssen.

Bevor Sie eine Richtlinie entfernen, müssen Sie zuerst die Methode deaktivieren, die für die Bereitstellung verwendet wird (z. B. Gruppenrichtlinie oder MDM). Andernfalls kann die Richtlinie erneut auf dem Computer bereitgestellt werden.

Damit eine Richtlinie vor dem Entfernen effektiv inaktiv ist, können Sie die Richtlinie zunächst durch eine neue Richtlinie ersetzen, die die folgenden Änderungen enthält:

1. Ersetzen Sie die Richtlinienregeln durch "Allow *"-Regeln.
2. Option 3 Aktiviert festlegen: Überwachungsmodus , um die Richtlinie nur in den Überwachungsmodus zu ändern;
3. Festlegen von Option 11 Deaktiviert: Skripterzwingung;
4. Alle COM-Objekte zulassen. Weitere Informationen finden Sie unter Zulassen der COM-Objektregistrierung in einer App Control-Richtlinie.
5. Entfernen Sie ggf. Option 0 Enabled:UMCI , um die Richtlinie nur in den Kernelmodus zu konvertieren.

Entfernen von App Control-Richtlinien mithilfe von CiTool.exe

Ab dem Windows 11 Update 2022 können Sie App-Steuerungsrichtlinien mithilfe von CiTool.exe entfernen. Führen Sie in einem Befehlsfenster mit erhöhten Rechten den folgenden Befehl aus. Achten Sie darauf, den Text PolicyId GUID durch die tatsächliche PolicyId der App Control-Richtlinie zu ersetzen, die Sie entfernen möchten:

CiTool.exe -rp "{PolicyId GUID}" -json

Hinweis

Ab dem Windows 11 2024-Update können nicht signierte Richtlinien mithilfe von CiTool.exe entfernt werden, ohne dass ein Neustart erforderlich ist. In früheren Versionen von Windows ist jedoch ein Neustart erforderlich, um den Entfernungsprozess abzuschließen.

Entfernen von App Control-Richtlinien mithilfe von MDM-Lösungen wie Intune

Sie können eine Mobile Geräteverwaltung (MDM)-Lösung wie Microsoft Intune verwenden, um App Control-Richtlinien mithilfe des ApplicationControl-CSP von Clientcomputern zu entfernen.

Wenden Sie sich an Ihren MDM-Lösungsanbieter, um spezifische Informationen zur Verwendung des ApplicationControl-CSP zu erhalten.

Starten Sie dann den Computer neu.

Entfernen von App Control-Richtlinien mithilfe eines Skripts

Um App Control-Richtlinien mithilfe eines Skripts zu entfernen, muss Ihr Skript die Richtliniendateien vom Computer löschen. Suchen Sie bei App Control-Richtlinien mit mehreren Richtlinienformaten (1903 und höher) an den folgenden Speicherorten nach den Richtliniendateien. Achten Sie darauf, die PolicyId-GUID durch die tatsächliche PolicyId der App-Steuerungsrichtlinie zu ersetzen, die Sie entfernen möchten.

• <EFI-Systempartition>\Microsoft\Boot\CiPolicies\Active\{PolicyId GUID}.cip
• <Betriebssystemvolume>\Windows\System32\CodeIntegrity\CiPolicies\Active\{PolicyId GUID}.cip

Suchen Sie für App Control-Richtlinien im Einzelrichtlinienformat zusätzlich zu den beiden oben genannten Speicherorten auch nach einer Datei namens SiPolicy.p7b, die sich möglicherweise an den folgenden Speicherorten befindet:

• <EFI-Systempartition>\Microsoft\Boot\SiPolicy.p7b
• <Betriebssystemvolume>\Windows\System32\CodeIntegrity\SiPolicy.p7b

Starten Sie dann den Computer neu.

Beispielskript zum Löschen einer einzelnen App Control-Richtlinie

# Set PolicyId GUID to the PolicyId from your App Control policy XML
$PolicyId = "{PolicyId GUID}"

# Initialize variables
$SinglePolicyFormatPolicyId = "{A244370E-44C9-4C06-B551-F6016E563076}"
$SinglePolicyFormatFileName = "\SiPolicy.p7b"
$MountPoint =  $env:SystemDrive+"\EFIMount"
$SystemCodeIntegrityFolderRoot = $env:windir+"\System32\CodeIntegrity"
$EFICodeIntegrityFolderRoot = $MountPoint+"\EFI\Microsoft\Boot"
$MultiplePolicyFilePath = "\CiPolicies\Active\"+$PolicyId+".cip"

# Mount the EFI partition
$EFIPartition = (Get-Partition | Where-Object IsSystem).AccessPaths[0]
if (-Not (Test-Path $MountPoint)) { New-Item -Path $MountPoint -Type Directory -Force }
mountvol $MountPoint $EFIPartition

# Check if the PolicyId to be removed is the system reserved GUID for single policy format.
# If so, the policy may exist as both SiPolicy.p7b in the policy path root as well as
# {GUID}.cip in the CiPolicies\Active subdirectory
if ($PolicyId -eq $SinglePolicyFormatPolicyId) {$NumFilesToDelete = 4} else {$NumFilesToDelete = 2}

$Count = 1
while ($Count -le $NumFilesToDelete)
{

    # Set the $PolicyPath to the file to be deleted, if exists
    Switch ($Count)
    {
        1 {$PolicyPath = $SystemCodeIntegrityFolderRoot+$MultiplePolicyFilePath}
        2 {$PolicyPath = $EFICodeIntegrityFolderRoot+$MultiplePolicyFilePath}
        3 {$PolicyPath = $SystemCodeIntegrityFolderRoot+$SinglePolicyFormatFileName}
        4 {$PolicyPath = $EFICodeIntegrityFolderRoot+$SinglePolicyFormatFileName}
    }

    # Delete the policy file from the current $PolicyPath
    Write-Host "Attempting to remove $PolicyPath..." -ForegroundColor Cyan
    if (Test-Path $PolicyPath) {Remove-Item -Path $PolicyPath -Force -ErrorAction Continue}

    $Count = $Count + 1
}

# Dismount the EFI partition
mountvol $MountPoint /D

Hinweis

Sie müssen das Skript als Administrator ausführen, um App Control-Richtlinien auf Ihrem Computer zu entfernen.

Entfernen von App Control-Richtlinien, die Startstoppfehler verursachen

Eine App-Steuerungsrichtlinie, die startkritische Treiber blockiert, kann zu einem Startstoppfehler (Boot Stop Failure, BSOD) führen. Dies kann jedoch durch Festlegen von Option 10 Aktiviert:Startüberwachung bei Fehlern in Ihren Richtlinien behoben werden. Darüber hinaus schützen signierte App Control-Richtlinien die Richtlinie vor administrativer Manipulation und Schadsoftware, die Zugriff auf das System auf Administratorebene erhalten hat. Aus diesem Grund sind signierte App Control-Richtlinien auch für Administratoren absichtlich schwieriger zu entfernen als nicht signierte Richtlinien. Das Manipulieren oder Entfernen einer signierten App Control-Richtlinie führt zu einem BSOD.

So entfernen Sie eine Richtlinie, die Startstoppfehler verursacht:

1. Wenn es sich bei der Richtlinie um eine signierte App-Steuerungsrichtlinie handelt, deaktivieren Sie den sicheren Start über das UEFI-BIOS-Menü. Wenn Sie Hilfe bei der Suche nach dem Deaktivieren des sicheren Starts in Ihrem BIOS-Menü benötigen, wenden Sie sich an Den Originalgerätehersteller (OEM).
2. Greifen Sie auf das Menü Erweiterte Startoptionen auf Ihrem Computer zu, und wählen Sie die Option Treibersignaturerzwingung deaktivieren aus. Anweisungen zum Zugriff auf das Menü Erweiterte Startoptionen während des Startvorgangs erhalten Sie von Ihrem OEM. Mit dieser Option werden alle Codeintegritätsprüfungen, einschließlich der App-Steuerung, für eine einzelne Startsitzung angehalten.
3. Starten Sie Windows normal, und melden Sie sich an. Entfernen Sie dann App Control-Richtlinien mithilfe eines Skripts.
4. Wenn Sie den sicheren Start in Schritt 1 oben deaktiviert haben und Ihr Laufwerk durch BitLocker geschützt ist, setzen Sie den BitLocker-Schutz aus , und aktivieren Sie dann den sicheren Start über Das UEFI-BIOS-Menü.
5. Starten Sie den Computer neu.

Hinweis

Wenn Ihr Laufwerk durch BitLocker geschützt ist, benötigen Sie möglicherweise Ihre Bitlocker-Wiederherstellungsschlüssel, um die oben genannten Schritte 1 bis 2 auszuführen.