Erstellen einer App Control-Richtlinie mithilfe eines Referenzcomputers
Hinweis
Einige Funktionen von App Control for Business sind nur für bestimmte Windows-Versionen verfügbar. Erfahren Sie mehr über die Verfügbarkeit von App Control-Features.
In diesem Abschnitt wird der Prozess zum Erstellen einer App Control for Business-Richtlinie mithilfe eines Referenzcomputers beschrieben, der bereits mit der Software konfiguriert ist, die Sie zulassen möchten. Sie können diesen Ansatz für Geräte mit fester Workload verwenden, die für einen bestimmten zweckdienlichen Zweck bestimmt sind und gemeinsame Konfigurationsattribute mit anderen Geräten verwenden, die dieselbe funktionale Rolle erfüllen. Beispiele für Geräte mit fester Workload sind Active Directory-Domäne Controller, Secure Admin Workstations, Pharmazeutische Arzneimittelmischgeräte, Fertigungsgeräte, Kassen, Geldautomaten usw. Dieser Ansatz kann auch verwendet werden, um die App-Steuerung auf Systemen "in der Natur" zu aktivieren, und Sie möchten die potenziellen Auswirkungen auf die Produktivität der Benutzer minimieren.
Hinweis
Einige der in diesem Thema beschriebenen App Control for Business-Optionen sind nur ab Windows 10 Version 1903 oder Windows 11 verfügbar. Wenn Sie dieses Thema verwenden, um Ihre eigenen App-Steuerungsrichtlinien für organization zu planen, überlegen Sie, ob Ihre verwalteten Clients alle oder einige dieser Features verwenden können, und bewerten Sie die Auswirkungen auf Features, die auf Ihren Clients möglicherweise nicht verfügbar sind. Möglicherweise müssen Sie diese Anleitung an die Anforderungen Ihrer spezifischen organization anpassen.
Wie in gängigen App Control for Business-Bereitstellungsszenarien beschrieben, verwenden wir das Beispiel von Lamna Healthcare Company (Lamna), um dieses Szenario zu veranschaulichen. Lamna versucht, strengere Anwendungsrichtlinien einzuführen, einschließlich der Verwendung der App-Steuerung, um zu verhindern, dass unerwünschte oder nicht autorisierte Anwendungen auf ihren verwalteten Geräten ausgeführt werden.
Alice Pena ist die IT-Teamleiterin, die mit dem Rollout von App Control beauftragt wird.
Erstellen einer benutzerdefinierten Basisrichtlinie mithilfe eines Referenzgeräts
Alice hat zuvor eine Richtlinie für die vollständig verwalteten Endbenutzergeräte der organization erstellt. Sie möchte nun App Control verwenden, um die kritischen Infrastrukturserver von Lamna zu schützen. Lamnas Imaging-Praxis für Infrastruktursysteme besteht darin, ein "goldenes" Image als Referenz dafür zu etablieren, wie ein ideales System aussehen sollte, und dann dieses Image zu verwenden, um mehr Unternehmensressourcen zu klonen. Alice beschließt, diese "goldenen" Imagesysteme zum Erstellen der App-Steuerungsrichtlinien zu verwenden, was zu separaten benutzerdefinierten Basisrichtlinien für jeden Infrastrukturservertyp führt. Wie bei der Imageerstellung muss sie Richtlinien von mehreren goldenen Computern basierend auf Modell, Abteilung, Anwendungssatz usw. erstellen.
Hinweis
Stellen Sie sicher, dass der Referenzcomputer viren- und schadsoftwarefrei ist, und installieren Sie alle Software, die überprüft werden soll, bevor Sie die App-Steuerungsrichtlinie erstellen.
Jede installierte Softwareanwendung sollte als vertrauenswürdig überprüft werden, bevor Sie mit dem Erstellen einer Richtlinie beginnen.
Es wird empfohlen, den Referenz-PC auf Software zu überprüfen, die beliebigen DLLs laden und Code oder Skripts ausführen kann, die den PC anfälliger machen könnten. Beispiele hierfür sind Software für die Entwicklung oder Skripterstellung, z. B. msbuild.exe (Teil von Visual Studio und der .NET Framework), die entfernt werden kann, wenn Sie keine Skripts ausführen möchten. Sie können die Software auf dem Referenzcomputer entfernen oder deaktivieren.
Alice identifiziert die folgenden Schlüsselfaktoren, um den "Vertrauenskreis" für die kritischen Infrastrukturserver von Lamna zu erreichen:
- Auf allen Geräten wird Windows Server 2019 oder höher ausgeführt.
- Alle Apps werden zentral verwaltet und bereitgestellt.
- Keine interaktiven Benutzer.
Basierend auf dem oben genannten definiert Alice die Pseudoregeln für die Richtlinie:
"Windows works" -Regeln, die Folgendes autorisieren:
- Windows
- WHQL (Kerneltreiber von Drittanbietern)
- Signierte Windows Store-Apps
Regeln für gescannte Dateien , die alle bereits vorhandenen App-Binärdateien autorisieren, die auf dem Gerät gefunden wurden
Um die App Control-Richtlinie zu erstellen, führt Alice jeden der folgenden Befehle in einer Sitzung mit erhöhten Windows PowerShell der reihe nach aus:
Initialisieren von Variablen.
$PolicyPath=$env:userprofile+"\Desktop\" $PolicyName="FixedWorkloadPolicy_Audit" $LamnaServerPolicy=$PolicyPath+$PolicyName+".xml" $DefaultWindowsPolicy=$env:windir+"\schemas\CodeIntegrity\ExamplePolicies\DefaultWindows_Audit.xml"
Verwenden Sie New-CIPolicy , um eine neue App Control-Richtlinie zu erstellen, indem Sie das System auf installierte Anwendungen überprüfen:
New-CIPolicy -FilePath $LamnaServerPolicy -Level SignedVersion -Fallback FilePublisher,FileName,Hash -ScanPath c:\ -UserPEs -MultiplePolicyFormat -OmitPaths c:\Windows,'C:\Program Files\WindowsApps\',c:\windows.old\,c:\users\ 3> CIPolicyLog.txt
Hinweis
- Sie können den Parameter ‑Fallback hinzufügen, um Anwendungen zu erfassen, die mithilfe der primären Dateiregelebene, welche durch den Parameter ‑Level angegeben wurde, nicht erkannt wurden. Weitere Informationen zu Optionen auf Dateiregelebene finden Sie unter App Control for Business-Dateiregelebenen.
- Um anzugeben, dass die App Control-Richtlinie nur ein bestimmtes Laufwerk überprüft, schließen Sie den Parameter -ScanPath gefolgt von einem Pfad ein. Ohne diesen Parameter scannt das Tool standardmäßig das Laufwerk C.
- Wenn Sie den Parameter -UserPEs angeben (um ausführbare Dateien im Benutzermodus in die Überprüfung einzuschließen), wird die Regeloption 0 Aktiviert:UMCI automatisch der App-Steuerungsrichtlinie hinzugefügt. Wenn Sie -UserPEs nicht angeben, enthält die Richtlinie keine ausführbaren Dateien im Benutzermodus und enthält nur Regeln für Binärdateien im Kernelmodus wie Treiber. Anders ausgedrückt: Die Zulassungsliste enthält keine Anwendungen. Wenn Sie eine solche Richtlinie erstellen und später die Regeloption 0 Enabled:UMCI hinzufügen, führen alle Versuche, Anwendungen zu starten, zu einer Antwort von App Control for Business. Im Überwachungsmodus protokolliert die Antwort ein Ereignis und im erzwungenen Modus sperrt die Antwort die Anwendung.
- Verwenden Sie -MultiplePolicyFormat, um eine Richtlinie für Windows 10 1903 und höher zu erstellen, einschließlich der Unterstützung für ergänzende Richtlinien.
- Um eine Liste von Pfaden anzugeben, die von der Überprüfung ausgeschlossen werden sollen, verwenden Sie die Option -OmitPaths , und geben Sie eine durch Trennzeichen getrennte Liste von Pfaden an.
- Das obige Beispiel enthält
3> CIPolicylog.txt
. Dadurch werden Warnmeldungen an die Textdatei CIPolicylog.txt weitergeleitet.
Führen Sie die neue Richtlinie mit der WindowsDefault_Audit-Richtlinie zusammen, um sicherzustellen, dass alle Windows-Binärdateien und Kerneltreiber geladen werden.
Merge-CIPolicy -OutputFilePath $LamnaServerPolicy -PolicyPaths $LamnaServerPolicy,$DefaultWindowsPolicy
Geben Sie der neuen Richtlinie einen beschreibenden Namen und eine anfängliche Versionsnummer:
Set-CIPolicyIdInfo -FilePath $LamnaServerPolicy -PolicyName $PolicyName Set-CIPolicyVersion -FilePath $LamnaServerPolicy -Version "1.0.0.0"
Ändern Sie die zusammengeführte Richtlinie, um Richtlinienregeln festzulegen:
Set-RuleOption -FilePath $LamnaServerPolicy -Option 3 # Audit Mode Set-RuleOption -FilePath $LamnaServerPolicy -Option 6 # Unsigned Policy Set-RuleOption -FilePath $LamnaServerPolicy -Option 9 # Advanced Boot Menu Set-RuleOption -FilePath $LamnaServerPolicy -Option 12 # Enforce Store Apps Set-RuleOption -FilePath $LamnaServerPolicy -Option 16 # No Reboot Set-RuleOption -FilePath $LamnaServerPolicy -Option 17 # Allow Supplemental Set-RuleOption -FilePath $LamnaServerPolicy -Option 19 # Dynamic Code Security
Fügen Sie ggf. weitere Signaturgeber- oder Dateiregeln hinzu, um die Richtlinie für Ihre organization weiter anzupassen.
Verwenden Sie ConvertFrom-CIPolicy , um die App Control-Richtlinie in ein Binärformat zu konvertieren:
[xml]$LamnaServerPolicyXML = Get-Content $LamnaServerPolicy $PolicyId = $LamnaServerPolicyXML.SiPolicy.PolicyId $LamnaServerPolicyBin = $PolicyPath+$PolicyId+".cip" ConvertFrom-CIPolicy $LamnaServerPolicy $LamnaServerPolicyBin
Laden Sie die XML-Basisrichtlinie und die zugehörige Binärdatei in eine Quellcodeverwaltungslösung wie GitHub oder eine Dokumentverwaltungslösung wie Office 365 SharePoint hoch.
Alice verfügt nun über eine erste Richtlinie für die kritischen Infrastrukturserver von Lamna, die bereit ist, im Überwachungsmodus bereitzustellen.
Erstellen einer benutzerdefinierten Basisrichtlinie zur Minimierung der Auswirkungen von Benutzern auf verwendete Clientgeräte
Alice hat zuvor eine Richtlinie für die vollständig verwalteten Geräte der organization erstellt. Alice hat die vollständig verwaltete Geräterichtlinie als Teil des Lamna-Geräteerstellungsprozesses einbezogen, sodass alle neuen Geräte jetzt mit aktivierter App-Steuerung beginnen. Sie bereitet die Bereitstellung der Richtlinie für Systeme vor, die bereits verwendet werden, ist aber besorgt darüber, dass die Produktivität der Benutzer beeinträchtigt wird. Um dieses Risiko zu minimieren, beschließt Alice, für diese Systeme einen anderen Ansatz zu verfolgen. Sie wird die vollständig verwaltete Geräterichtlinie weiterhin im Überwachungsmodus auf diesen Geräten bereitstellen, aber für den Erzwingungsmodus führt sie die vollständig verwalteten Geräterichtlinienregeln mit einer Richtlinie zusammen, die erstellt wird, indem sie das Gerät auf alle zuvor installierten Software überprüft. Auf diese Weise wird jedes Gerät als sein eigenes "goldenes" System behandelt.
Alice identifiziert die folgenden Schlüsselfaktoren, um zum "Vertrauenskreis" für die vollständig verwalteten in-use-Geräte von Lamna zu gelangen:
- Alles, was für die vollständig verwalteten Geräte von Lamna beschrieben wird;
- Benutzer haben Apps installiert, die sie für die weitere Ausführung benötigen.
Basierend auf dem oben genannten definiert Alice die Pseudoregeln für die Richtlinie:
- Alles, was in der Richtlinie für vollständig verwaltete Geräte enthalten ist
- Regeln für gescannte Dateien , die alle bereits vorhandenen App-Binärdateien autorisieren, die auf dem Gerät gefunden wurden
Für vorhandene, in-use-Geräte von Lamna stellt Alice ein Skript zusammen mit der Richtlinien-XML für vollständig verwaltete Geräte bereit (nicht die konvertierte Binärdatei der App Control-Richtlinie). Das Skript generiert dann eine benutzerdefinierte Richtlinie lokal auf dem Client, wie im vorherigen Abschnitt beschrieben, aber anstatt mit der DefaultWindows-Richtlinie zusammenzuführen, wird das Skript mit der Richtlinie Für vollständig verwaltete Geräte von Lamna zusammengeführt. Alice ändert auch die obigen Schritte, um die Anforderungen dieses unterschiedlichen Anwendungsfalls zu erfüllen.