Windows Defender Application Control

Aus früheren Versionen hat Microsoft gelernt, dass es unter Win-dows Defender Application Control (WDAC) [1] schwer war, Code-Integrity-(CI)-Richtlinien (Anwendungssteuerungsrichtlinien) zu erstellen. Daher liefert der Hersteller jetzt in Microsoft Win- dows Server 2019 und Windows 10 Version 1709 einen Satz an vorkonfigurierten CI-Richtlinien aus. Diese erlauben die Ausführung von Betriebssystemdateien und Anwendungen wie Microsoft SQL Server, blockieren gleichzeitig aber auch ausführbare Dateien, die bekannt dafür sind, die konfigurierten CI-Richtlinien zu umgehen. Zusätzlich lassen sich jetzt in Windows Server 2019 mehrere CI-Richtlinien verschachteln, um eine Whitelist zu erstellen, die alle verschachtelten CI-Richtlinien beinhaltet. Auch lassen sich jetzt CI-Richtlinien ohne ein Reboot des Systems anlegen.

Administratoren können mit WDAC Richtlinien erstellen, die alle Zugriffe blockieren, die sich nicht in einer konfigurierbaren Whitelist befinden. WDAC hat Ähnlichkeiten mit AppLocker, das Gruppen- richtlinien zur Steuerung der Zugriffe auf Anwendungen in Form von Pfad- Hash- und StoreApps-Regeln verwendet. Vor Windows 10 Version 1709 wurden solche Richtlinien als konfigurierbare Codeintegritätsrichtlinien bezeichnet und auch DeviceGuard – der Name von WDAC in früheren Windows-Versionen – ist im Kern das Gleiche wie die Windows-Defender-Anwendungssteuerung.

WDAC implementieren

Eine erfolgreiche WDAC-Implementierung [2] setzt eine umfangreiche Planung voraus. Sie müssen die notwendige Hard- und Software ermitteln und entscheiden, ob Sie mit Whitelisting oder Blacklisting arbeiten. Dann müssen Sie die in den Fachabteilungen eingesetzte Software inventarisieren, um entscheiden zu können, wie viele WDAC-Richtlinien notwendig sind. Zudem empfehlen wir Referenz-PCs, um die installierte Software zu scannen und basierend auf den Ergebnissen WDAC-Richtlinien zu

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.