Windows Defender Application Control

Aus früheren Versionen hat Microsoft gelernt, dass es unter Win-dows Defender Application Control (WDAC) [1] schwer war, Code-Integrity-(CI)-Richtlinien (Anwendungssteuerungsrichtlinien) zu erstellen. Daher liefert der Hersteller jetzt in Microsoft Win- dows Server 2019 und Windows 10 Version 1709 einen Satz an vorkonfigurierten CI-Richtlinien aus. Diese erlauben die Ausführung von Betriebssystemdateien und Anwendungen wie Microsoft SQL Server, blockieren gleichzeitig aber auch ausführbare Dateien, die bekannt dafür sind, die konfigurierten CI-Richtlinien zu umgehen. Zusätzlich lassen sich jetzt in Windows Server 2019 mehrere CI-Richtlinien verschachteln, um eine Whitelist zu erstellen, die alle verschachtelten CI-Richtlinien beinhaltet. Auch lassen sich jetzt CI-Richtlinien ohne ein Reboot des Systems anlegen.

Administratoren können mit WDAC Richtlinien erstellen, die alle Zugriffe blockieren, die sich nicht in einer konfigurierbaren Whitelist befinden. WDAC hat Ähnlichkeiten mit AppLocker, das Gruppen- richtlinien zur Steuerung der Zugriffe auf Anwendungen in Form von Pfad- Hash- und StoreApps-Regeln verwendet. Vor Windows 10 Version 1709 wurden solche Richtlinien als konfigurierbare Codeintegritätsrichtlinien bezeichnet und auch DeviceGuard – der Name von WDAC in früheren Windows-Versionen – ist im Kern das Gleiche wie die Windows-Defender-Anwendungssteuerung.

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.