Automatisches Zulassen von Apps, die von einem verwalteten Installationsprogramm mit App Control for Business bereitgestellt werden
Hinweis
Einige Funktionen von App Control for Business sind nur für bestimmte Windows-Versionen verfügbar. Erfahren Sie mehr über die Verfügbarkeit von App Control-Features.
App Control for Business enthält eine Option namens verwaltetes Installationsprogramm , die beim Erzwingen von App Control-Richtlinien ein Gleichgewicht zwischen Sicherheit und Verwaltbarkeit bietet. Mit dieser Option können Sie Anwendungen, die von einer bestimmten Softwareverteilungslösung wie Microsoft Configuration Manager (MEMCM) oder Microsoft Intune installiert werden, automatisch zulassen.
Wie funktionieren verwaltete Installationsprogramme?
Das verwaltete Installationsprogramm verwendet eine spezielle Regelsammlung in AppLocker, um Binärdateien festzulegen, die von Ihrem organization als autorisierte Quelle für die Anwendungsinstallation vertrauenswürdig sind. Wenn eines dieser vertrauenswürdigen Binärdateien ausgeführt wird, überwacht Windows den Prozess der Binärdatei (und alle untergeordneten Prozesse, die er startet) und überwacht, ob Dateien auf den Datenträger geschrieben werden. Wenn Dateien geschrieben werden, werden sie als aus einem verwalteten Installationsprogramm stammend gekennzeichnet.
Anschließend können Sie App Control so konfigurieren, dass Dateien, die von einem verwalteten Installationsprogramm installiert werden, als vertrauenswürdig eingestuft werden, indem Sie Ihrer App-Steuerungsrichtlinie die Option "Enabled:Managed Installer" hinzufügen. Wenn diese Option festgelegt ist, überprüft App Control die Ursprungsinformationen des verwalteten Installationsprogramms, wenn bestimmt wird, ob eine Binärdatei ausgeführt werden kann. Solange es keine Ablehnungsregeln für die Binärdatei gibt, ermöglicht App Control die Ausführung ausschließlich basierend auf dem Ursprung des verwalteten Installationsprogramms.
Sicherheitsaspekte im Zusammenhang mit verwalteten Installationsprogrammen
Da das verwaltete Installationsprogramm ein heuristisch-basierter Mechanismus ist, bietet es nicht die gleichen Sicherheitsgarantien wie explizite Zulassungs- oder Ablehnungsregeln. Verwaltetes Installationsprogramm eignet sich am besten dort, wo Benutzer als Standardbenutzer arbeiten und die gesamte Software von einer Softwareverteilungslösung wie MEMCM bereitgestellt und installiert wird.
Benutzer mit Administratorrechten oder Schadsoftware, die als Administratorbenutzer auf dem System ausgeführt wird, können möglicherweise die Absicht Ihrer App-Steuerungsrichtlinien umgehen, wenn die Option für das verwaltete Installationsprogramm zulässig ist.
Wenn ein verwalteter Installationsprogrammprozess im Kontext eines Benutzers mit Standardberechtigungen ausgeführt wird, ist es möglich, dass Standardbenutzer oder Schadsoftware, die als Standardbenutzer ausgeführt wird, die Absicht Ihrer App-Steuerungsrichtlinien umgehen können.
Einige Anwendungsinstallationsprogramme führen die Anwendung am Ende des Installationsvorgangs möglicherweise automatisch aus. Wenn die Anwendung automatisch ausgeführt wird und das Installationsprogramm von einem verwalteten Installationsprogramm ausgeführt wurde, erstreckt sich die heuristische Nachverfolgung und Autorisierung des verwalteten Installationsprogramms auf alle Dateien, die während der ersten Ausführung der Anwendung erstellt wurden. Diese Erweiterung kann zu einer unbeabsichtigten Autorisierung einer ausführbaren Datei führen. Um dies zu vermeiden, stellen Sie sicher, dass die Methode der Anwendungsbereitstellung, die als verwaltetes Installationsprogramm verwendet wird, die Ausführung von Anwendungen im Rahmen der Installation einschränkt.
Bekannte Einschränkungen im Zusammenhang mit verwalteten Installationsprogrammen
App Control basiert auf einem verwalteten Installationsprogramm und unterstützt keine Anwendungen, die sich selbst aktualisieren. Wenn eine Anwendung, die von einem verwalteten Installationsprogramm bereitgestellt wurde, später selbst aktualisiert wird, enthalten die aktualisierten Anwendungsdateien nicht die Ursprungsinformationen aus dem verwalteten Installationsprogramm und können möglicherweise nicht ausgeführt werden. Wenn Sie sich auf verwaltete Installationsprogramme verlassen, müssen Sie alle Anwendungsupdates mithilfe eines verwalteten Installationsprogramms bereitstellen und installieren oder Regeln zum Autorisieren der App in die App-Steuerungsrichtlinie einschließen. In einigen Fällen kann es auch möglich sein, eine Anwendungsbinärdatei zu bestimmen, die Selbstupdates als verwaltetes Installationsprogramm ausführt. Überprüfen Sie Funktionsumfang und Sicherheit der Anwendung, bevor Sie diese Methode einsetzen.
Einige Anwendungen oder Installationsprogramme können Binärdateien extrahieren, herunterladen oder generieren und sofort versuchen, sie auszuführen. Dateien, die von einem solchen Prozess ausgeführt werden, sind von der heuristischen Heuristik des verwalteten Installationsprogramms möglicherweise nicht zulässig. In manchen Fällen können Sie Anwendungen, die diese Vorgänge ausführen, ebenfalls als verwaltetes Installationsprogramm festlegen. Überprüfen Sie Funktionsumfang und Sicherheit der Anwendung, bevor Sie diese Methode einsetzen.
Die Heuristik des verwalteten Installationsprogramms autorisiert keine Kerneltreiber. Die App-Steuerungsrichtlinie muss Über Regeln verfügen, mit denen die erforderlichen Treiber ausgeführt werden können.
Konfigurieren der Nachverfolgung des verwalteten Installationsprogramms mit AppLocker und App Control
Um die Nachverfolgung des verwalteten Installationsprogramms zu aktivieren, müssen Sie:
- Erstellen und bereitstellen Sie eine AppLocker-Richtlinie, die Ihre verwalteten Installationsprogrammregeln definiert und die Erzwingung von Diensten für ausführbare Dateien und DLLs ermöglicht.
- Aktivieren Sie die Anwendungsidentitäts- und AppLockerFltr-Dienste von AppLocker.
Hinweis
Die folgende AppLocker-Richtlinie für verwaltete Installationsprogramme ist so konzipiert, dass sie sicher mit allen bereits vorhandenen AppLocker-Richtlinien zusammengeführt wird und das Verhalten dieser Richtlinien nicht ändert. Wenn sie jedoch auf ein Gerät angewendet wird, auf dem derzeit keine AppLocker-Richtlinie vorhanden ist, wird im Ereignisprotokoll AppLocker – EXE und DLL eine große Zunahme von Warnungsereignissen angezeigt. Wenn Sie einen Ereignisweiterleitungs- und -sammlungsdienst wie LogAnalytics verwenden, sollten Sie die Konfiguration für dieses Ereignisprotokoll anpassen, um nur Fehlerereignisse zu erfassen oder die Erfassung von Ereignissen aus diesem Protokoll vollständig zu beenden.
Hinweis
MEMCM konfiguriert sich automatisch als verwaltetes Installationsprogramm und aktiviert die erforderlichen AppLocker-Komponenten, wenn Sie eine der App Control-Richtlinien für den Posteingang bereitstellen. Wenn Sie MEMCM mit einer anderen Methode als verwaltetes Installationsprogramm konfigurieren, ist ein zusätzliches Setup erforderlich. Verwenden Sie den ManagedInstaller-Befehlszeilenschalter in Ihrem ccmsetup.exe-Setup. Alternativ können Sie eine der MEMCM-Richtlinien für den Überwachungsmodus für den Posteingang zusammen mit Ihrer benutzerdefinierten Richtlinie bereitstellen.
Erstellen und Bereitstellen einer AppLocker-Richtlinie, die Ihre verwalteten Installationsprogrammregeln definiert und die Erzwingung von Diensten für ausführbare Dateien und DLLs ermöglicht
Die Benutzeroberfläche zum Erstellen von AppLocker-Richtlinien im Gruppenrichtlinienobjekt Editor und die AppLocker PowerShell-Cmdlets können nicht direkt zum Erstellen von Regeln für die Regelsammlung des verwalteten Installers verwendet werden. Sie können jedoch einen XML- oder Text-Editor verwenden, um eine EXE-Regelsammlungsrichtlinie in eine ManagedInstaller-Regelsammlung zu konvertieren.
Hinweis
Nur EXE-Dateitypen können als verwaltete Installationsprogramme festgelegt werden.
Verwenden Sie New-AppLockerPolicy, um eine EXE-Regel für die Datei zu erstellen, die Sie als verwaltetes Installationsprogramm festlegen. In diesem Beispiel wird eine Regel für die Intune-Verwaltungserweiterung von Microsoft mithilfe des Verlegerregeltyps erstellt, aber jeder AppLocker-Regeltyp kann verwendet werden. Möglicherweise müssen Sie die Ausgabe aus Gründen der Lesbarkeit neu formatieren.
Get-ChildItem ${env:ProgramFiles(x86)}'\Microsoft Intune Management Extension\Microsoft.Management.Services.IntuneWindowsAgent.exe' | Get-AppLockerFileInformation | New-AppLockerPolicy -RuleType Publisher -User Everyone -Xml > AppLocker_MI_PS_ISE.xmlÄndern Sie den Regelsammlungstyp manuell von "Exe" in "ManagedInstaller", und legen Sie EnforcementMode auf "AuditOnly" fest.
Veränderung:
<RuleCollection Type="Exe" EnforcementMode="NotConfigured">An:
<RuleCollection Type="ManagedInstaller" EnforcementMode="AuditOnly">Bearbeiten Sie Ihre AppLocker-Richtlinie manuell, und fügen Sie die EXE- und DLL-Regelsammlungen mit jeweils mindestens einer Regel hinzu. Um sicherzustellen, dass Ihre Richtlinie sicher auf Systeme angewendet werden kann, die möglicherweise bereits über eine aktive AppLocker-Richtlinie verfügen, empfehlen wir die Verwendung einer gutartigen DENY-Regel, um eine gefälschte Binärdatei zu blockieren und enforcementMode der Regelsammlung auf AuditOnly festzulegen. Da viele Installationsprozesse von Diensten abhängig sind, müssen Sie außerdem die Dienstnachverfolgung für jede dieser Regelsammlungen aktivieren. Das folgende Beispiel zeigt eine partielle AppLocker-Richtlinie mit der EXE- und DLL-Regelsammlung, die wie empfohlen konfiguriert wurde.
<RuleCollection Type="Dll" EnforcementMode="AuditOnly" > <FilePathRule Id="86f235ad-3f7b-4121-bc95-ea8bde3a5db5" Name="Benign DENY Rule" Description="" UserOrGroupSid="S-1-1-0" Action="Deny"> <Conditions> <FilePathCondition Path="%OSDRIVE%\ThisWillBeBlocked.dll" /> </Conditions> </FilePathRule> <RuleCollectionExtensions> <ThresholdExtensions> <Services EnforcementMode="Enabled" /> </ThresholdExtensions> <RedstoneExtensions> <SystemApps Allow="Enabled"/> </RedstoneExtensions> </RuleCollectionExtensions> </RuleCollection> <RuleCollection Type="Exe" EnforcementMode="AuditOnly"> <FilePathRule Id="9420c496-046d-45ab-bd0e-455b2649e41e" Name="Benign DENY Rule" Description="" UserOrGroupSid="S-1-1-0" Action="Deny"> <Conditions> <FilePathCondition Path="%OSDRIVE%\ThisWillBeBlocked.exe" /> </Conditions> </FilePathRule> <RuleCollectionExtensions> <ThresholdExtensions> <Services EnforcementMode="Enabled" /> </ThresholdExtensions> <RedstoneExtensions> <SystemApps Allow="Enabled"/> </RedstoneExtensions> </RuleCollectionExtensions> </RuleCollection>Überprüfen Sie Ihre AppLocker-Richtlinie. Das folgende Beispiel zeigt eine vollständige AppLocker-Richtlinie, die Configuration Manager und Microsoft Intune als verwaltete Installationsprogramme festlegt. Nur die AppLocker-Regelauflistungen, für die tatsächliche Regeln definiert sind, sind im endgültigen XML enthalten. Diese bedingungsbasierte Einbindung stellt sicher, dass die Richtlinie auf Geräten erfolgreich zusammengeführt wird, auf denen möglicherweise bereits eine AppLocker-Richtlinie vorhanden ist.
<AppLockerPolicy Version="1"> <RuleCollection Type="Dll" EnforcementMode="AuditOnly" > <FilePathRule Id="86f235ad-3f7b-4121-bc95-ea8bde3a5db5" Name="Benign DENY Rule" Description="" UserOrGroupSid="S-1-1-0" Action="Deny"> <Conditions> <FilePathCondition Path="%OSDRIVE%\ThisWillBeBlocked.dll" /> </Conditions> </FilePathRule> <RuleCollectionExtensions> <ThresholdExtensions> <Services EnforcementMode="Enabled" /> </ThresholdExtensions> <RedstoneExtensions> <SystemApps Allow="Enabled"/> </RedstoneExtensions> </RuleCollectionExtensions> </RuleCollection> <RuleCollection Type="Exe" EnforcementMode="AuditOnly"> <FilePathRule Id="9420c496-046d-45ab-bd0e-455b2649e41e" Name="Benign DENY Rule" Description="" UserOrGroupSid="S-1-1-0" Action="Deny"> <Conditions> <FilePathCondition Path="%OSDRIVE%\ThisWillBeBlocked.exe" /> </Conditions> </FilePathRule> <RuleCollectionExtensions> <ThresholdExtensions> <Services EnforcementMode="Enabled" /> </ThresholdExtensions> <RedstoneExtensions> <SystemApps Allow="Enabled"/> </RedstoneExtensions> </RuleCollectionExtensions> </RuleCollection> <RuleCollection Type="ManagedInstaller" EnforcementMode="AuditOnly"> <FilePublisherRule Id="55932f09-04b8-44ec-8e2d-3fc736500c56" Name="MICROSOFT.MANAGEMENT.SERVICES.INTUNEWINDOWSAGENT.EXE version 1.39.200.2 or greater in MICROSOFT® INTUNE™ from O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US" Description="" UserOrGroupSid="S-1-1-0" Action="Allow"> <Conditions> <FilePublisherCondition PublisherName="O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US" ProductName="*" BinaryName="MICROSOFT.MANAGEMENT.SERVICES.INTUNEWINDOWSAGENT.EXE"> <BinaryVersionRange LowSection="1.39.200.2" HighSection="*" /> </FilePublisherCondition> </Conditions> </FilePublisherRule> <FilePublisherRule Id="6ead5a35-5bac-4fe4-a0a4-be8885012f87" Name="CMM - CCMEXEC.EXE, 5.0.0.0+, Microsoft signed" Description="" UserOrGroupSid="S-1-1-0" Action="Allow"> <Conditions> <FilePublisherCondition PublisherName="O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US" ProductName="*" BinaryName="CCMEXEC.EXE"> <BinaryVersionRange LowSection="5.0.0.0" HighSection="*" /> </FilePublisherCondition> </Conditions> </FilePublisherRule> <FilePublisherRule Id="8e23170d-e0b7-4711-b6d0-d208c960f30e" Name="CCM - CCMSETUP.EXE, 5.0.0.0+, Microsoft signed" Description="" UserOrGroupSid="S-1-1-0" Action="Allow"> <Conditions> <FilePublisherCondition PublisherName="O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US" ProductName="*" BinaryName="CCMSETUP.EXE"> <BinaryVersionRange LowSection="5.0.0.0" HighSection="*" /> </FilePublisherCondition> </Conditions> </FilePublisherRule> </RuleCollection> </AppLockerPolicy>Stellen Sie ihre Konfigurationsrichtlinie für verwaltete AppLocker-Installationsprogramme bereit. Sie können entweder Ihre AppLocker-Richtlinie importieren und mit Gruppenrichtlinie bereitstellen oder ein Skript verwenden, um die Richtlinie mit dem cmdlet Set-AppLockerPolicy bereitzustellen, wie im folgenden PowerShell-Befehl gezeigt.
Set-AppLockerPolicy -XmlPolicy <AppLocker XML FilePath> -Merge -ErrorAction SilentlyContinueWenn Sie Ihre AppLocker-Richtlinie per Skript bereitstellen, verwenden Sie appidtel.exe, um den AppLocker-Anwendungsidentitätsdienst und den AppLocker-Filtertreiber zu konfigurieren.
appidtel.exe start [-mionly]Geben Sie "-mionly" an, wenn Sie nicht planen, den Intelligent Security Graph (ISG) zu verwenden.
Hinweis
Die Nachverfolgung des verwalteten Installationsprogramms wird gestartet, wenn ein Prozess das nächste Mal ausgeführt wird, der den Regeln des verwalteten Installationsprogramms entspricht. Wenn ein beabsichtigter Prozess bereits ausgeführt wird, müssen Sie ihn neu starten.
Aktivieren der Option "Verwaltetes Installationsprogramm" in der App-Steuerungsrichtlinie
Um die Vertrauensstellung für die von verwalteten Installationsprogrammen festgelegten Binärdateien zu aktivieren, muss die Option "Aktiviert: Verwalteter Installer" in Ihrer App-Steuerungsrichtlinie angegeben werden. Diese Einstellung kann mithilfe des Cmdlets Set-RuleOption mit Option 13 definiert werden.
Im Folgenden finden Sie Schritte zum Erstellen einer App-Steuerungsrichtlinie, mit der Windows gestartet und die Option für verwaltetes Installationsprogramm aktiviert wird.
Kopieren Sie die DefaultWindows_Audit-Richtlinie aus "C:\Windows\schemas\CodeIntegrity\ExamplePolicies\DefaultWindows_Audit.xml" in Ihren Arbeitsordner.
Setzen Sie die Richtlinien-ID zurück, um sicherzustellen, dass sie im Format mit mehreren Richtlinien vorliegt, und weisen Sie ihr eine andere GUID als die Beispielrichtlinien zu. Geben Sie ihm auch einen Anzeigenamen, um die Identifizierung zu erleichtern.
Zum Beispiel:
Set-CIPolicyIdInfo -FilePath <XML filepath> -PolicyName "<friendly name>" -ResetPolicyIDLegen Sie Option 13 (Aktiviert:Verwaltetes Installationsprogramm) fest.
Set-RuleOption -FilePath <XML filepath> -Option 13Stellen Sie Ihre App Control-Richtlinie bereit. Weitere Informationen finden Sie unter Bereitstellen von App Control for Business-Richtlinien.
Hinweis
Ihre App-Steuerungsrichtlinie muss Regeln für alle System-/Startkomponenten, Kerneltreiber und alle anderen autorisierten Anwendungen enthalten, die nicht über ein verwaltetes Installationsprogramm bereitgestellt werden können.
Feature "Verwaltetes Installationsprogramm entfernen"
Um das Feature "Verwaltetes Installationsprogramm" vom Gerät zu entfernen, müssen Sie die AppLocker-Richtlinie des verwalteten Installationsprogramms vom Gerät entfernen, indem Sie die Anweisungen unter Löschen einer AppLocker-Regel: Löschen von AppLocker-Richtlinien auf einem einzelnen System oder Remotesystemen befolgen.