Tags: Malware, Sicherheit, Intune
Mit Windows Defender Application Control (WDAC) können Admins steuern, welche Anwendungen in Windows 10/11 ausgeführt werden dürfen. Microsoft stellt eine Liste mit Applikationen und Treibern zur Verfügung, die Unternehmen blockieren sollten. Die folgende Anleitung zeigt, wie man diese Blockierungsregeln mit Microsoft Intune verteilt.
WDAC bietet eine regelbasierte Anwendungssicherheit, welche die Ausführung von Binärdateien einschränken kann. Mit Hilfe dieses Features kann man eine Blacklist oder Whitelist implementieren, die bestimmte Anwendungen zulassen oder blockieren.
Die von Microsoft empfohlenen Blockierregeln enthalten Anwendungen, die Angreifer häufig verwenden, um WDAC zu umgehen. Sofern Sie die betreffenden Programme nicht benötigen, sollten Sie diese deaktivieren.
Die empfohlenen Regeln für das Blockieren von Treibern sind dazu gedacht, Systeme gegen Treiber von Drittanbietern abzusichern, die folgende Defizite aufweisen:
- Bekannte Schwachstellen
- Malware: Treiber, die bösartiges Verhalten zeigen oder mit nicht vertrauenswürdigen Zertifikaten signiert wurden
- Der Sicherheit abträgliches Verhalten: Treiber, die das Windows-Sicherheitsmodell umgehen, können von Angreifern für die Erhöhung von Berechtigungen und die Manipulation des Windows-Kernels genutzt werden.
Microsofts empfohlenen Blockregeln implementieren
Die beiden gängigsten Methoden zur Anwendung von WDAC-Regeln sind die Verwendung einer MDM-Lösung wie Microsoft Intune oder von Group Policies. Sie können jedoch auch Configuration Manager oder ein Konfigurations-Script verwenden, um die WDAC-Policies bereitzustellen.
Sie erhalten die XML-Version der Blockregeln unter diesen Adressen:
Auf beiden verlinkten Seiten sehen Sie den XML-Code, den Sie kopieren und in einer Datei auf Ihrer Admin-Workstation speichern.
Navigieren Sie zu Microsoft Intune und erstellen Sie unter Geräte ein Konfigurationsprofil, in dem wir die XML-Dateien für WDAC verwenden können.
Geben Sie im Blade Create a profile die folgenden Einstellungen ein:
- Platform - Windows 10 and later
- Profile type - Templates
- Template name - Custom
Dies startet den Assistenten für ein neues benutzerdefiniertes Geräteprofil, dem man im ersten Schritt einen Namen gibt.
Die zweite Seite des Assistenten enthält die eigentlichen Einstellungen für das Konfigurationsprofil. Füllen Sie die Felder für Name und Beschreibung sowie die OMA-URI aus. Dies ist eine Zeichenfolge, die mit Informationen aus den heruntergeladenen Richtlinien gefüllt wird:
- Für die benutzerdefinierte Vorlage verwenden wir gemäß der Dokumentation von Microsoft die OMA-URI-Basiszeichenfolge
./Vendor/MSFT/ApplicationControl/Policies/{Policy ID}/Policy . - Ersetzen Sie die Richtlinien-ID in den geschweiften Klammern oben durch die PolicyTypeID in der von Microsoft heruntergeladenen Richtliniendatei
- Die vollständige Zeichenkette sieht dann so aus:
./Vendor/MSFT/ApplicationControl/Policies/A244370E-44C9-4C06-B551-F6016E563076/Policy - Datentyp: Da die von Microsoft heruntergeladenen Richtlinien im XML-Format vorliegen, wählen wir String (XML-Datei)
Verwenden Sie die Information von oberhalb, um die Einstellungen für die OMA-URI zu vervollständigen.
Die Einstellungen für den OMA-URI kann man nun abschicken.
Wählen Sie auf dem Bildschirm Assignments die Benutzer, Gruppen oder Geräte aus, denen Sie das neue WDAC-Konfigurationsprofil zuweisen möchten.
In unserer Beispielkonfiguration überspringen wir den Dialog für Applicability Rules, weil wir die ihre Anwendung nicht mit Policies weiter einschränken möchten.
Überprüfen Sie schließlich auf dem letzten Bildschirm des Wizards die vorgenommenen Einstellungen und klicken Sie auf die Schaltfläche Create. Das WDAC-Konfigurationsprofil wird nun unter Device Configuration profiles aufgeführt.
Zusammenfassung
Windows Defender Application Control (WDAC) ist ein in Windows 10 und 11 integriertes Feature. Es erlaubt Unternehmen, die Ausführung von Anwendungen zu kontrollieren bzw. zu blockieren.
Mit der hier beschriebenen Methode können Sie die von Microsoft empfohlenen und bereitgestellten Blockierungsregeln für Anwendungen sowie Treiber importieren und die WDAC-Regeln über die Gerätekonfigurationsprofile von Intune anwenden.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Microsoft Defender mit Manipulationsschutz (Tamper Protection) gegen Malware und Hacker absichern
- Übersicht: Die wichtigsten Features von Windows Defender
- Überwachter Ordnerzugriff: Ransomware-Schutz mit Gruppenrichtlinien und PowerShell konfigurieren
- Microsoft Defender AntiVirus mit Intune verwalten
- Reduktion der Angriffsfläche in Microsoft Defender mit Gruppenrichtlinien oder PowerShell aktivieren
Weitere Links