Schädliche Apps und unsichere Treiber mit Microsofts WDAC-Regeln blockieren


    Tags: , ,

    App wurde vom Systemadministrator gesperrtMit Windows Defender Application Control (WDAC) können Admins steuern, welche Anwen­dungen in Windows 10/11 ausge­führt werden dürfen. Microsoft stellt eine Liste mit Appli­kationen und Treibern zur Ver­fügung, die Unter­nehmen blockieren sollten. Die folgende Anleitung zeigt, wie man diese Blockierungs­regeln mit Microsoft Intune verteilt.

    WDAC bietet eine regelbasierte Anwendungs­sicherheit, welche die Ausführung von Binärdateien einschränken kann. Mit Hilfe dieses Features kann man eine Blacklist oder Whitelist implementieren, die bestimmte Anwendungen zulassen oder blockieren.

    Die von Microsoft empfohlenen Blockierregeln enthalten Anwendungen, die Angreifer häufig verwenden, um WDAC zu umgehen. Sofern Sie die betreffenden Programme nicht benötigen, sollten Sie diese deaktivieren.

    Die empfohlenen Regeln für das Blockieren von Treibern sind dazu gedacht, Systeme gegen Treiber von Drittanbietern abzusichern, die folgende Defizite aufweisen:

    • Bekannte Schwachstellen
    • Malware: Treiber, die bösartiges Verhalten zeigen oder mit nicht vertrauenswürdigen Zertifikaten signiert wurden
    • Der Sicherheit abträgliches Verhalten: Treiber, die das Windows-Sicherheitsmodell umgehen, können von Angreifern für die Erhöhung von Berechtigungen und die Manipulation des Windows-Kernels genutzt werden.

    Microsofts empfohlenen Blockregeln implementieren

    Die beiden gängigsten Methoden zur Anwendung von WDAC-Regeln sind die Verwendung einer MDM-Lösung wie Microsoft Intune oder von Group Policies. Sie können jedoch auch Configuration Manager oder ein Konfigurations-Script verwenden, um die WDAC-Policies bereitzustellen.

    Sie erhalten die XML-Version der Blockregeln unter diesen Adressen:

    Auf beiden verlinkten Seiten sehen Sie den XML-Code, den Sie kopieren und in einer Datei auf Ihrer Admin-Workstation speichern.

    Empfohlene Block Rules für WDAC herunterladen

    Navigieren Sie zu Microsoft Intune und erstellen Sie unter Geräte ein Konfigurationsprofil, in dem wir die XML-Dateien für WDAC verwenden können.

    Geben Sie im Blade Create a profile die folgenden Einstellungen ein:

    • Platform - Windows 10 and later
    • Profile type - Templates
    • Template name - Custom

    Neues Profil für die Gerätekonfiguration in Intune anlegen

    Dies startet den Assistenten für ein neues benutzerdefiniertes Geräteprofil, dem man im ersten Schritt einen Namen gibt.

    Neues Konfigurationsprofil für Geräte benennen

    Die zweite Seite des Assistenten enthält die eigentlichen Einstellungen für das Konfigurationsprofil. Füllen Sie die Felder für Name und Beschreibung sowie die OMA-URI aus. Dies ist eine Zeichenfolge, die mit Informationen aus den heruntergeladenen Richtlinien gefüllt wird:

    • Für die benutzerdefinierte Vorlage verwenden wir gemäß der Doku­men­tation von Microsoft die OMA-URI-Basiszeichenfolge
      ./Vendor/MSFT/ApplicationControl/Policies/{Policy ID}/Policy .
    • Ersetzen Sie die Richtlinien-ID in den geschweiften Klammern oben durch die PolicyTypeID in der von Microsoft heruntergeladenen Richtliniendatei
    • Die vollständige Zeichenkette sieht dann so aus:
      ./Vendor/MSFT/ApplicationControl/Policies/A244370E-44C9-4C06-B551-F6016E563076/Policy
    • Datentyp: Da die von Microsoft heruntergeladenen Richtlinien im XML-Format vorliegen, wählen wir String (XML-Datei)

    Policy ID aus der Richtliniendatei entnehmen

    Verwenden Sie die Information von oberhalb, um die Einstellungen für die OMA-URI zu vervollständigen.

    Einstellungen des neuen Gerätekonfigurationsprofils konfigurieren

    Die Einstellungen für den OMA-URI kann man nun abschicken.

    Die Einstellungen für die OMA-URI sind nun konfiguriert.

    Wählen Sie auf dem Bildschirm Assignments die Benutzer, Gruppen oder Geräte aus, denen Sie das neue WDAC-Konfigurations­profil zuweisen möchten.

    Neues Gerätekonfigurationsprofil an Benutzer oder Geräte zuweisen

    In unserer Beispiel­konfiguration überspringen wir den Dialog für Applicability Rules, weil wir die ihre Anwendung nicht mit Policies weiter einschränken möchten.

    Bei Applicability Rules einfach auf Next klicken

    Überprüfen Sie schließlich auf dem letzten Bildschirm des Wizards die vorgenommenen Einstellungen und klicken Sie auf die Schaltfläche Create. Das WDAC-Konfigurationsprofil wird nun unter Device Configuration profiles aufgeführt.

    Das neue WADC-Konfigurationsprofil erscheint in den Geräteprofilen.

    Zusammenfassung

    Windows Defender Application Control (WDAC) ist ein in Windows 10 und 11 integriertes Feature. Es erlaubt Unternehmen, die Ausführung von Anwendungen zu kontrollieren bzw. zu blockieren.

    Mit der hier beschriebenen Methode können Sie die von Microsoft empfohlenen und bereitgestellten Blockierungs­regeln für Anwendungen sowie Treiber importieren und die WDAC-Regeln über die Geräte­konfigurations­profile von Intune anwenden.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Brandon Lee

    Brandon Lee ist seit mehr als 18 Jahren in der IT-Branche tätig und konzen­triert sich auf Networking und Virtua­lisie­rung. Er ver­öffent­licht auf ver­schie­denen Blogs und ver­fasst tech­nische Doku­men­ta­tionen, haupt­sächlich auf Virtualizationhowto.com.
    // Kontakt: Web, E-Mail, LinkedIn //

    Verwandte Beiträge

    Weitere Links