Schädliche Apps und unsichere Treiber mit Microsofts WDAC-Regeln blockieren

Die von Microsoft empfohlenen Blockierregeln enthalten Anwendungen, die Angreifer häufig verwenden, um WDAC zu umgehen. Sofern Sie die betreffenden Programme nicht benötigen, sollten Sie diese deaktivieren.

Die empfohlenen Regeln für das Blockieren von Treibern sind dazu gedacht, Systeme gegen Treiber von Drittanbietern abzusichern, die folgende Defizite aufweisen:

• Bekannte Schwachstellen
• Malware: Treiber, die bösartiges Verhalten zeigen oder mit nicht vertrauenswürdigen Zertifikaten signiert wurden
• Der Sicherheit abträgliches Verhalten: Treiber, die das Windows-Sicherheitsmodell umgehen, können von Angreifern für die Erhöhung von Berechtigungen und die Manipulation des Windows-Kernels genutzt werden.

Microsofts empfohlenen Blockregeln implementieren

Die beiden gängigsten Methoden zur Anwendung von WDAC-Regeln sind die Verwendung einer MDM-Lösung wie Microsoft Intune oder von Group Policies. Sie können jedoch auch Configuration Manager oder ein Konfigurations-Script verwenden, um die WDAC-Policies bereitzustellen.

Sie erhalten die XML-Version der Blockregeln unter diesen Adressen:

• Blockregeln für Anwendungen
• Regeln zum Blockieren von Treibern

Auf beiden verlinkten Seiten sehen Sie den XML-Code, den Sie kopieren und in einer Datei auf Ihrer Admin-Workstation speichern.

Navigieren Sie zu Microsoft Intune und erstellen Sie unter Geräte ein Konfigurationsprofil, in dem wir die XML-Dateien für WDAC verwenden können.

Geben Sie im Blade Create a profile die folgenden Einstellungen ein:

• Platform - Windows 10 and later
• Profile type - Templates
• Template name - Custom

Dies startet den Assistenten für ein neues benutzerdefiniertes Geräteprofil, dem man im ersten Schritt einen Namen gibt.

Die zweite Seite des Assistenten enthält die eigentlichen Einstellungen für das Konfigurationsprofil. Füllen Sie die Felder für Name und Beschreibung sowie die OMA-URI aus. Dies ist eine Zeichenfolge, die mit Informationen aus den heruntergeladenen Richtlinien gefüllt wird:

• Für die benutzerdefinierte Vorlage verwenden wir gemäß der Doku­men­tation von Microsoft die OMA-URI-Basiszeichenfolge
  ./Vendor/MSFT/ApplicationControl/Policies/{Policy ID}/Policy .
• Ersetzen Sie die Richtlinien-ID in den geschweiften Klammern oben durch die PolicyTypeID in der von Microsoft heruntergeladenen Richtliniendatei
• Die vollständige Zeichenkette sieht dann so aus:
  ./Vendor/MSFT/ApplicationControl/Policies/A244370E-44C9-4C06-B551-F6016E563076/Policy
• Datentyp: Da die von Microsoft heruntergeladenen Richtlinien im XML-Format vorliegen, wählen wir String (XML-Datei)

Verwenden Sie die Information von oberhalb, um die Einstellungen für die OMA-URI zu vervollständigen.

Die Einstellungen für den OMA-URI kann man nun abschicken.

Wählen Sie auf dem Bildschirm Assignments die Benutzer, Gruppen oder Geräte aus, denen Sie das neue WDAC-Konfigurations­profil zuweisen möchten.

In unserer Beispiel­konfiguration überspringen wir den Dialog für Applicability Rules, weil wir die ihre Anwendung nicht mit Policies weiter einschränken möchten.

Überprüfen Sie schließlich auf dem letzten Bildschirm des Wizards die vorgenommenen Einstellungen und klicken Sie auf die Schaltfläche Create. Das WDAC-Konfigurationsprofil wird nun unter Device Configuration profiles aufgeführt.

Zusammenfassung

Windows Defender Application Control (WDAC) ist ein in Windows 10 und 11 integriertes Feature. Es erlaubt Unternehmen, die Ausführung von Anwendungen zu kontrollieren bzw. zu blockieren.

Mit der hier beschriebenen Methode können Sie die von Microsoft empfohlenen und bereitgestellten Blockierungs­regeln für Anwendungen sowie Treiber importieren und die WDAC-Regeln über die Geräte­konfigurations­profile von Intune anwenden.