App Control Admin Tipps & bekannte Probleme
Hinweis
Einige Funktionen von App Control for Business sind nur für bestimmte Windows-Versionen verfügbar. Erfahren Sie mehr über die Verfügbarkeit von App Control-Features.
In diesem Artikel werden Tipps und Tricks für Administratoren und bekannte Probleme mit App Control for Business behandelt. Testen Sie diese Konfiguration in Ihrem Lab, bevor Sie sie in der Produktion aktivieren.
Speicherorte von App Control-Richtliniendateien
Mehrere Richtlinienformat-App-Steuerungsrichtlinien befinden sich an den folgenden Speicherorten, je nachdem, ob die Richtlinie signiert ist oder nicht, und der verwendeten Methode der Richtlinienbereitstellung.
- <Betriebssystemvolume>\Windows\System32\CodeIntegrity\CiPolicies\Active\{PolicyId GUID}.cip
- <EFI-Systempartition>\Microsoft\Boot\CiPolicies\Active\{PolicyId GUID}.cip
Der Wert {PolicyId GUID} ist von der Richtlinie eindeutig und in der Richtlinien-XML mit dem <PolicyId-Element> definiert.
Suchen Sie für App Control-Richtlinien im Einzelrichtlinienformat zusätzlich zu den beiden vorherigen Speicherorten auch nach einer Datei namens SiPolicy.p7b an den folgenden Speicherorten:
- <EFI-Systempartition>\Microsoft\Boot\SiPolicy.p7b
- <Betriebssystemvolume>\Windows\System32\CodeIntegrity\SiPolicy.p7b
Hinweis
Eine App Control-Richtlinie mit mehreren Richtlinienformaten, die die GUID {A244370E-44C9-4C06-B551-F6016E563076} des einzelnen Richtlinienformats verwendet, kann unter einem der Speicherorte der Richtliniendatei vorhanden sein.
Reihenfolge der Rangfolge der Dateiregel
Wenn die App Control-Engine Dateien anhand des aktiven Richtliniensatzes auf dem Gerät auswertet, werden Regeln in der folgenden Reihenfolge angewendet. Sobald eine Datei auf eine Übereinstimmung stößt, beendet App Control die weitere Verarbeitung.
Explizite Ablehnungsregeln: Eine Datei wird blockiert, wenn eine explizite Verweigerungsregel für sie vorhanden ist, auch wenn andere Regeln erstellt werden, um sie zuzulassen. Ablehnungsregeln können eine beliebige Regelebene verwenden. Verwenden Sie die spezifischste Regelebene, die beim Erstellen von Ablehnungsregeln praktisch ist, um zu vermeiden, dass sie mehr blockieren, als Sie beabsichtigen.
Explizite Zulassungsregeln: Wenn eine explizite Zulassungsregel für die Datei vorhanden ist, wird die Datei ausgeführt.
App Control sucht dann nach dem erweiterten Attribut (EA) des verwalteten Installers oder dem ISG-EA (Intelligent Security Graph) in der Datei. Wenn eines der EA-Instanzen vorhanden ist und die Richtlinie die entsprechende Option aktiviert, ist die Datei zulässig.
Schließlich führt App Control einen Cloudaufruf an die ISG durch, um die Zuverlässigkeit der Datei zu erhalten, wenn die Richtlinie die ISG-Option aktiviert.
Jede Datei, die nicht durch eine explizite Regel oder basierend auf ISG oder MI zulässig ist, wird implizit blockiert.
Bekannte Probleme
Startstoppfehler (Blauer Bildschirm) tritt auf, wenn mehr als 32 Richtlinien aktiv sind
Bis Sie das windows-Sicherheitsupdate anwenden, das am oder nach dem 9. April 2024 veröffentlicht wurde, ist Ihr Gerät auf 32 aktive Richtlinien beschränkt. Wenn die maximale Anzahl von Richtlinien überschritten wird, werden die Bluescreens des Geräts, die auf ci.dll verweisen, mit dem Fehlerüberprüfungswert 0x0000003b. Berücksichtigen Sie diesen Grenzwert für die maximale Anzahl von Richtlinien, wenn Sie Ihre App-Steuerungsrichtlinien planen. Alle Windows-Posteingangsrichtlinien , die auf dem Gerät aktiv sind, werden ebenfalls auf diesen Grenzwert angerechnet. Um das maximale Richtlinienlimit zu entfernen, installieren Sie das Windows-Sicherheitsupdate, das am oder nach dem 9. April 2024 veröffentlicht wurde, und starten Sie das Gerät dann neu. Verringern Sie andernfalls die Anzahl der Richtlinien auf dem Gerät, um unter 32 Richtlinien zu bleiben.
Hinweis
Das Richtlinienlimit wurde am Windows 11 21H2 nicht entfernt und bleibt auf 32 Richtlinien beschränkt.
Überwachungsmodusrichtlinien können das Verhalten für einige Apps ändern oder App-Abstürze verursachen.
Obwohl der App Control-Überwachungsmodus so konzipiert ist, dass auswirkungen auf Apps vermieden werden, werden einige Features immer aktiviert/immer mit jeder App Control-Richtlinie erzwungen, die die Codeintegrität im Benutzermodus (UmCI) mit der Option 0 Aktiviert:UMCI aktiviert. Hier ist eine Liste der bekannten Systemänderungen im Überwachungsmodus:
- Einige Skripthosts blockieren möglicherweise Code oder führen Code mit weniger Berechtigungen auch im Überwachungsmodus aus. Informationen zum Verhalten einzelner Skripthosts finden Sie unter Skripterzwingung mit App Control .
- Option 19 Aktiviert:Dynamische Codesicherheit wird immer erzwungen, wenn eine UMCI-Richtlinie diese Option enthält. Weitere Informationen finden Sie unter App-Steuerelement und .NET.
Native .NET-Images können falsch positive Blockereignisse generieren.
In einigen Fällen enthalten die Codeintegritätsprotokolle, in denen App Control for Business-Fehler und -Warnungen geschrieben werden, Fehlerereignisse für native Images, die für .NET-Assemblys generiert werden. In der Regel sind systemeigene Imageblöcke funktionell unbedenklich, da ein blockiertes natives Image auf die entsprechende Assembly zurückfällt und .NET das native Image im nächsten geplanten Wartungsfenster neu generiert.
Signaturen mit Elliptikkurvenkryptografie (ECC) werden nicht unterstützt.
App Control-regeln, die auf Signierern basieren, funktionieren nur mit RSA-Kryptografie. ECC-Algorithmen wie ECDSA werden nicht unterstützt. Wenn App Control eine Datei basierend auf ECC-Signaturen blockiert, wird für die entsprechenden 3089-Signaturinformationsereignisse VerificationError = 23 angezeigt. Sie können die Dateien stattdessen mithilfe von Hash- oder Dateiattributeregeln autorisieren oder andere Signaturgeberregeln verwenden, wenn die Datei auch mit Rsa mit Signaturen signiert ist.
MSI-Installationsprogramme werden als beschreibbare Benutzer auf Windows 10 behandelt, wenn sie von der FilePath-Regel zugelassen werden.
MSI-Installerdateien werden immer als beschreibbare Benutzer auf Windows 10 und unter Windows Server 2022 und früher erkannt. Wenn Sie MSI-Dateien mithilfe von FilePath-Regeln zulassen müssen, müssen Sie option 18 Disabled:Runtime FilePath Rule Protection in Ihrer App Control-Richtlinie festlegen.
MSI-Installationen, die direkt aus dem Internet gestartet werden, werden von der App-Steuerung blockiert.
Die Installation .msi Dateien direkt aus dem Internet auf einem Computer, der durch die App-Steuerung geschützt ist, schlägt fehl. Bei diesem Befehl tritt beispielsweise ein Fehler auf:
msiexec -i https://download.microsoft.com/download/2/E/3/2E3A1E42-8F50-4396-9E7E-76209EA4F429/Windows10_Version_1511_ADMX.msi
Laden Sie als Problemumgehung die MSI-Datei herunter, und führen Sie sie lokal aus:
msiexec -i c:\temp\Windows10_Version_1511_ADMX.msi
Langsamer Start und Leistung mit benutzerdefinierten Richtlinien
App Control wertet alle ausgeführten Prozesse aus, einschließlich der Windows-Prozesse im Posteingang. Sie können langsamere Startzeiten, beeinträchtigte Leistung und möglicherweise Startprobleme verursachen, wenn Ihre Richtlinien nicht auf den App-Steuerelementvorlagen aufbauen oder den Windows-Signierern nicht vertrauen. Aus diesen Gründen sollten Sie nach Möglichkeit die App Control-Basisvorlagen verwenden, um Ihre Richtlinien zu erstellen.
Überlegungen zur AppId-Kennzeichnungsrichtlinie
AppId-Taggingrichtlinien, die nicht auf den Basisvorlagen der App-Steuerung basieren oder die windows-In-Box-Signierer nicht zulassen, können zu einer erheblichen Erhöhung der Startzeiten (~2 Minuten) führen.
Wenn Sie die Windows-Signierer nicht zulassen oder die Basisvorlagen der App-Steuerung nicht erstellen können, fügen Sie Ihren Richtlinien die folgende Regel hinzu, um die Leistung zu verbessern:
Da AppId-Taggingrichtlinien DLL-Dateien auswerten, aber nicht taggen können, wird durch diese Regel die DLL-Auswertung kurzgeschlossen und die Auswertungsleistung verbessert.