Freigeben über


Beispiel für Basisrichtlinien für App Control for Business

Hinweis

Einige Funktionen von App Control for Business sind nur für bestimmte Windows-Versionen verfügbar. Erfahren Sie mehr über die Verfügbarkeit von App Control-Features.

Wenn Sie Richtlinien für die Verwendung mit App Control for Business erstellen, beginnen Sie mit einer vorhandenen Basisrichtlinie, und fügen Sie dann Regeln hinzu oder entfernen Sie sie, um Ihre eigene benutzerdefinierte Richtlinie zu erstellen. Windows enthält mehrere Beispielrichtlinien, die Sie verwenden können. Diese Beispielrichtlinien werden "unverändert" bereitgestellt. Sie sollten die von Ihnen bereitgestellten Richtlinien mit sicheren Bereitstellungsmethoden gründlich testen.

Beispielbasisrichtlinie Beschreibung Wo sie zu finden ist
DefaultWindows_*.xml Diese Beispielrichtlinie ist sowohl im Überwachungsmodus als auch im erzwungenen Modus verfügbar. Sie enthält Regeln zum Zulassen von Windows, Hardware- und Softwarekernelstreibern von Drittanbietern sowie Windows Store-Apps. Wird als Grundlage für die Microsoft Intune Produktfamilienrichtlinien verwendet. %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\DefaultWindows_*.xml
%ProgramFiles%\WindowsApps\Microsoft.App Control.WDACWizard*\DefaultWindows_Audit.xml
AllowMicrosoft.xml Diese Beispielrichtlinie enthält die Regeln aus DefaultWindows und fügt Regeln hinzu, um Apps zu vertrauen, die vom Stammzertifikat des Microsoft-Produkts signiert sind. %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\AllowMicrosoft.xml
%ProgramFiles%\WindowsApps\Microsoft.App Control.WDACWizard*\AllowMicrosoft.xml
AllowAll.xml Diese Beispielrichtlinie ist beim Erstellen einer Sperrliste nützlich. Alle Blockrichtlinien sollten Regeln enthalten, mit denen der gesamte andere Code ausgeführt werden kann, und dann die DENY-Regeln für die Anforderungen Ihrer organization hinzufügen. %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\AllowAll.xml
AllowAll_EnableHVCI.xml Diese Beispielrichtlinie kann verwendet werden, um die Speicherintegrität (auch als hypervisorgeschützte Codeintegrität bezeichnet) mithilfe der App-Steuerung zu aktivieren. %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\AllowAll_EnableHVCI.xml
DenyAllAudit.xml Warnung: Führt zu Startproblemen unter Windows Server 2019 und früheren Versionen. Verwenden Sie nicht auf diesen Betriebssystemen. Stellen Sie diese Beispielrichtlinie nur im Überwachungsmodus bereit, um alle Binärdateien nachzuverfolgen, die auf kritischen Systemen ausgeführt werden, oder um gesetzliche Anforderungen zu erfüllen. %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\DenyAllAudit.xml
Microsoft Configuration Manager Kunden, die Configuration Manager verwenden, können eine Richtlinie mit der integrierten App Control-Integration von Configuration Manager bereitstellen und dann die generierte Richtlinien-XML als Beispielbasisrichtlinie verwenden. %OSDrive%\Windows\CCM\DeviceGuard auf einem verwalteten Endpunkt
SmartAppControl.xml Diese Beispielrichtlinie enthält Regeln, die auf smarten App-Steuerelementen basieren und sich gut für leicht verwaltete Systeme eignen. Diese Richtlinie enthält eine Regel, die für Unternehmens-App-Steuerungsrichtlinien nicht unterstützt wird und entfernt werden muss. Weitere Informationen zur Verwendung dieser Beispielrichtlinie finden Sie unter Erstellen einer benutzerdefinierten Basisrichtlinie mithilfe einer Beispielbasisrichtlinie. %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\SmartAppControl.xml
%ProgramFiles%\WindowsApps\Microsoft.App Control.WDACWizard*\SignedReputable.xml
Beispiel für eine ergänzende Richtlinie In dieser Beispielrichtlinie wird gezeigt, wie Sie eine ergänzende Richtlinie verwenden, um die DefaultWindows_Audit.xml eine einzelne von Microsoft signierte Datei zuzulassen. %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\DefaultWindows_Supplemental.xml
Von Microsoft empfohlene Sperrliste Diese Richtlinie enthält eine Liste von Windows- und von Microsoft signierten Code, den Microsoft bei verwendung der App-Steuerung nach Möglichkeit blockiert. Von Microsoft empfohlene Regeln zum Blockieren
%ProgramFiles%\WindowsApps\Microsoft.App Control.WDACWizard*\Recommended_UserMode_Blocklist.xml
Von Microsoft empfohlene Treiberblockierungsliste Diese Richtlinie enthält Regeln zum Blockieren bekannter anfälliger oder böswilliger Kerneltreiber. Von Microsoft empfohlene Treiberblockierungsregeln
%OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\RecommendedDriverBlock_Enforced.xml
%ProgramFiles%\WindowsApps\Microsoft.App Control.WDACWizard*\Recommended_Driver_Blocklist.xml
Windows S-Modus Diese Richtlinie enthält die Regeln, die zum Erzwingen des Windows S-Modus verwendet werden. %ProgramFiles%\WindowsApps\Microsoft.App Control.WDACWizard*\WinSiPolicy.xml.xml
Windows 11 SE Diese Richtlinie enthält die Regeln, die zum Erzwingen von Windows 11 SE verwendet werden, einer Windows-Version, die für die Verwendung in Schulen entwickelt wurde. %ProgramFiles%\WindowsApps\Microsoft.App Control.WDACWizard*\WinSEPolicy.xml.xml

Hinweis

Nicht alle unter %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies angezeigten Richtlinien sind in allen Versionen von Windows verfügbar.