Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Hinweis
Einige Funktionen von App Control for Business sind nur für bestimmte Windows-Versionen verfügbar. Erfahren Sie mehr über die Verfügbarkeit von App Control-Features.
Ab Windows 10 Version 1903 unterstützt App Control for Business die Erstellung mehrerer aktiver Richtlinien auf einem Gerät. Mit einer oder mehreren zusätzlichen Richtlinien können Kunden eine Basisrichtlinie für die App-Steuerung erweitern, um den Vertrauenskreis der Richtlinie zu erhöhen. Eine ergänzende Richtlinie kann nur eine Basisrichtlinie erweitern, aber mehrere Ergänzungen können dieselbe Basisrichtlinie erweitern. Wenn zusätzliche Richtlinien verwendet werden, dürfen Anwendungen, die von der Basis oder einer ihrer zusätzlichen Richtlinien zugelassen werden, ausgeführt werden.
Auf erforderliche Informationen zur App-Steuerung kann über das App-Steuerelement-Entwurfshandbuch zugegriffen werden. Auf dieser Seite werden die Schritte zum Erstellen einer ergänzenden App-Steuerungsrichtlinie, zum Konfigurieren der Richtlinienoptionen sowie der Signaturgeber- und Dateiregeln beschrieben.
Erweitern einer Basisrichtlinie
Nachdem auf der Seite Neue Richtlinie der Typ "Ergänzende Richtlinie" ausgewählt wurde, können die Dialogfeldfelder "Richtlinienname" und "Datei" verwendet werden, um die ergänzende Richtlinie zu benennen und zu speichern. Im nächsten Schritt muss eine Basisrichtlinie ausgewählt werden, die erweitert werden soll. Um eine Basisrichtlinie zu erweitern, muss die Basis zusätzliche Richtlinien zulassen. Der App-Steuerelement-Assistent überprüft, ob die Basisrichtlinie Ergänzungen zulässt, und zeigt die folgende Bestätigung an.
Wenn die Basisrichtlinie nicht für zusätzliche Richtlinien konfiguriert ist, versucht der Assistent, die Richtlinie in eine Richtlinie zu konvertieren, die ergänzt werden kann. Nach erfolgreicher Ausführung zeigt der Assistent ein Dialogfeld an, das zeigt, dass das Hinzufügen der Regel Zusätzliche Richtlinie zulassen abgeschlossen wurde.
Richtlinien, die nicht ergänzt werden können, für instance eine weitere ergänzende Richtlinie, werden vom Assistenten erkannt und zeigen den folgenden Fehler an. Nur eine Basispolitik kann ergänzt werden. Weitere Informationen zu ergänzenden Richtlinien finden Sie in unserem Artikel Mehrere Richtlinien.
Konfigurieren von Richtlinienregeln
Beim Seitenstart werden Richtlinienregeln abhängig von der ausgewählten Basisrichtlinie auf der vorherigen Seite automatisch aktiviert/deaktiviert. Die meisten ergänzenden Richtlinienregeln werden von der Basisrichtlinie geerbt. Der Assistent analysiert die Basisrichtlinie automatisch und legt die erforderlichen zusätzlichen Richtlinienregeln fest, um den Basisrichtlinienregeln zu entsprechen. Geerbte Richtlinienregeln sind abgeblendet und können auf der Benutzeroberfläche nicht geändert werden.
Eine kurze Beschreibung der Regel wird am unteren Rand der Seite angezeigt, wenn der Cursor auf dem Regeltitel platziert wird.
Beschreibung der konfigurierbaren ergänzenden Richtlinienregeln
Zusätzliche Richtlinien können nur drei Richtlinienregeln konfigurieren. In der folgenden Tabelle werden die einzelnen Richtlinienregeln beschrieben, beginnend mit der Spalte ganz links. Wenn Sie die Bezeichnung + Erweiterte Optionen auswählen, wird eine weitere Spalte mit Richtlinienregeln angezeigt, die erweiterten Richtlinienregeln.
| Regeloption | Beschreibung |
|---|---|
| Intelligent Security Graph Authorization | Verwenden Sie diese Option, um Anwendungen mit einem "bekannten guten" Ruf gemäß Der Definition von Microsoft Intelligent Security Graph (ISG) automatisch zuzulassen. |
| Verwaltetes Installationsprogramm | Verwenden Sie diese Option, um Anwendungen automatisch zuzulassen, die von einer Softwareverteilungslösung wie Microsoft Configuration Manager installiert werden, die als verwaltetes Installationsprogramm definiert wurde. |
| Deaktivieren des Laufzeitdateipfad-Regelschutzes | Diese Option deaktiviert die standardmäßige Laufzeitüberprüfung, die nur FilePath-Regeln für Pfade zulässt, die nur von einem Administrator geschrieben werden können. |
Erstellen benutzerdefinierter Dateiregeln
Dateiregeln in einer App Control-Richtlinie geben die Ebene an, auf der Anwendungen identifiziert und vertrauenswürdig sind. Dateiregeln sind der Standard Mechanismus zum Definieren der Vertrauensstellung in der App-Steuerungsrichtlinie. Wenn Sie + Benutzerdefinierte Regeln auswählen, wird der Bereich für benutzerdefinierte Dateiregelbedingungen geöffnet, um zielorientierte Dateiregeln für Ihre Richtlinie zu erstellen und anzupassen. Der Assistent unterstützt vier Arten von Dateiregeln:
Herausgeberregeln
Der Dateiregeltyp Verleger verwendet Eigenschaften in der Codesignaturzertifikatkette für Basisdateiregeln. Sobald die Datei ausgewählt ist, auf der die Regel basieren soll, die als Verweisdatei bezeichnet wird, verwenden Sie den Schieberegler, um die Spezifität der Regel anzugeben. Die folgende Tabelle zeigt die Beziehung zwischen der Platzierung des Schiebereglers, der entsprechenden App Control for Business-Regelebene und der zugehörigen Beschreibung. Je niedriger die Platzierung in der Tabelle und dem UI-Schieberegler ist, desto größer ist die Spezifität der Regel.
| Regelbedingung | App-Steuerungsregelebene | Beschreibung |
|---|---|---|
| Ausstellende Zertifizierungsstelle | PCACertificate | Das höchste verfügbare Zertifikat wird den Signierern hinzugefügt. Dieses Zertifikat ist in der Regel das PCA-Zertifikat, das eine Ebene unterhalb des Stammzertifikats liegt. Alle von diesem Zertifikat signierten Dateien sind betroffen. |
| Herausgeber | Herausgeber | Diese Regel ist eine Kombination aus der PCACertificate-Regel und dem allgemeinen Namen (Common Name, CN) des Blattzertifikats. Jede Datei, die von einer großen Zertifizierungsstelle signiert wurde, aber mit einem Blatt von einem bestimmten Unternehmen, z. B. einem Gerätetreiberherausgeber, ist betroffen. |
| Dateiversion | SignedVersion | Diese Regel ist eine Kombination aus der REGEL PCACertificate und publisher und einer Versionsnummer. Alle Elemente des angegebenen Herausgebers mit einer Version, die mindestens der angegebenen Version entspricht, sind betroffen. |
| Dateiname | FilePublisher | Am spezifischsten. Kombination aus Dateiname, Herausgeber und PCA-Zertifikat und einer Mindestversionsnummer. Dateien vom Herausgeber mit dem angegebenen Namen und größer oder gleich der angegebenen Version sind betroffen. |
Dateipfadregeln
Filepath-Regeln bieten nicht die gleichen Sicherheitsgarantien wie explizite Signaturgeberregeln, da sie auf änderbaren Zugriffsberechtigungen basieren. Um eine Dateipfadregel zu erstellen, wählen Sie die Datei mithilfe der Schaltfläche Durchsuchen aus.
Dateiattributesregeln
Der Assistent unterstützt die Erstellung von Dateinamenregeln basierend auf authentifizierten Dateiattributen. Dateinamenregeln sind nützlich, wenn eine Anwendung und ihre Abhängigkeiten (z. B. DLLs) für instance denselben Produktnamen verwenden können. Mit dieser Regelebene können Benutzer auf einfache Weise zielorientierte Richtlinien basierend auf dem Produktnamen-Dateinamen erstellen. Um das Dateiattribute auszuwählen, um die Regel zu erstellen, verschieben Sie den Schieberegler im Assistenten auf das gewünschte Attribut. In der folgenden Tabelle werden die einzelnen unterstützten Dateiattribute beschrieben, aus denen eine Regel erstellt werden soll.
| Regelebene | Beschreibung |
|---|---|
| Ursprünglicher Dateiname | Gibt den ursprünglichen Dateinamen der Binärdatei oder den Namen an, mit dem die Datei zuerst erstellt wurde. |
| Dateibeschreibung | Gibt die vom Entwickler der Binärdatei bereitgestellte Dateibeschreibung an. |
| Produktname | Gibt den Namen des Produkts an, mit dem die Binärdatei ausgeliefert wird. |
| Interner Name | Gibt den internen Namen der Binärdatei an. |
Dateihashregeln
Schließlich unterstützt der Assistent das Erstellen von Dateiregeln mithilfe des Dateihashs. Obwohl diese Ebene spezifisch ist, kann sie zusätzlichen Verwaltungsaufwand verursachen, um die Hashwerte der aktuellen Produktversionen beizubehalten. Nach jedem Aktualisieren einer Binärdatei wird der Hashwert geändert, wodurch eine Richtlinienaktualisierung erforderlich wird. Standardmäßig verwendet der Assistent dateihash als Fallback für den Fall, dass eine Dateiregel nicht mit der angegebenen Dateiregelebene erstellt werden kann.
Signaturregeln werden gelöscht.
Die Tabelle links auf der Seite dokumentiert die Zulassungs- und Verweigerungsregeln in der Vorlage sowie alle benutzerdefinierten Regeln, die Sie erstellen. Regeln können aus der Richtlinie gelöscht werden, indem Sie die Regel aus der Regellistentabelle auswählen. Sobald die Regel hervorgehoben ist, drücken Sie die Schaltfläche Löschen unterhalb der Tabelle. Sie werden erneut aufgefordert, eine weitere Bestätigung einzugeben. Wählen Sie aus Yes , um die Regel aus der Richtlinie und der Regeltabelle zu entfernen.