Windows Defender Application Control: Die Unternehmensalternative zum S-Modus

Windows 10 Mai 2019 Update: Alles, was Sie wissen müssen Mit der Veröffentlichung der Version 1903 werden Änderungen an Windows 10 vorgenommen, die sich auf alltägliche Benutzer und IT-Entscheidungsträger auswirken. Folgendes müssen Sie wissen.

Das Problem mit Computern ist Software. Nicht die Software, der Sie vertrauen, die Sie jeden Tag für Ihre Arbeit verwenden. Nein, das Problem ist Code, den Sie nicht kennen und der mit einem Download geliefert wird. Es kann sein, dass Malware Daten stiehlt und beschädigt oder dass sie schlecht geschrieben sind und Ressourcen verbrauchen, die für wichtigere Aufgaben benötigt werden.

Mehr über Windows

  • Verwendung des Gott-Modus in Windows 10
  • Windows 10 PowerToys: Ein Spickzettel
  • Microsofts größte Flops des Jahrzehnts
  • 10 Tricks und Optimierungen zum Anpassen von Windows 10 (kostenloses PDF)

Wir können Antiviren- und Firewalls verwenden, um PCs vor bekannten Bedrohungen zu schützen, aber mit einer ständig wachsenden Menge an Schadcode, der nur eine Nachhutaktion sein kann. Wie können wir also unsere PC-Flotten schützen und gleichzeitig den Benutzern Zugriff auf die benötigten Dateien und Anwendungen gewähren?

Der S-Modus von Microsoft in Windows 10 ist ein Ansatz, bei dem Installationspfade gesperrt werden, sodass Sie nur vertrauenswürdigen und getesteten Code aus dem Windows Store installieren können. Mit digitalen Signaturen für Anwendungen können Sie sicherstellen, dass Sie die richtige, sichere Version einer Anwendung installieren. Über den Store bereitgestellte Apps müssen jedoch entweder UWP sein oder über die Desktop Bridge verpackt werden. Während Sie private Stores über Intune nutzen können, ist es nicht immer wirtschaftlich, alte vorhandene Apps zu verwenden und sie entweder neu zu schreiben oder zu konvertieren.

Einführung in WDAC

Hier kommt Windows Defender Application Control (WDAC) ins Spiel. Anstatt alles ausführen zu lassen, wobei der gesamte Code unabhängig von seinem Ursprung vertrauenswürdig ist, geht WDAC bei der Anwendungssicherheit bewusster vor und stellt sicher, dass nur vertrauenswürdiger Code auf verwalteten PCs ausgeführt wird. Es ist nicht nur ein Tool zum Erzwingen digitaler Signaturen: WDAC geht noch weiter und steuert die Funktionsweise der wichtigsten Kernelfunktionen, schränkt die Reichweite und den Umfang von Skripttools wie PowerShell ein und blockiert Skripte und Installationsprogramme, die keine digitale Signatur haben. Sie können sich das als eine Unternehmensversion von Windows 10 im S-Modus vorstellen, die Ihre Benutzer nicht von Ihren eigenen internen Apps oder von altem Win32-Code fernhält.

WDAC war zuvor Teil von Windows Defender Device Guard und wird unter Windows 10 Enterprise und Windows Server 2016 oder höher unterstützt. Es wird von Gruppenrichtlinien oder über MDM verwaltet, sodass Sie Tools wie Intune verwenden können, um Ihren Benutzern Verwaltungsrichtlinien bereitzustellen, selbst wenn diese sich außerhalb Ihrer Firewall befinden.

Eine der nützlicheren WDAC-Funktionen ist die Möglichkeit, mehr als nur Anwendungen zu steuern, und bietet eine Möglichkeit, mit den Plug-Ins, Add-Ins und Modulen zu arbeiten, die zum Erweitern von Anwendungen verwendet werden. Mit dieser Funktion können Sie sicherstellen, dass vertrauenswürdige Chrome- oder Edge-Erweiterungen an Browser gesendet werden können, und Office-Add-Ins in Tools wie Outlook oder Excel unterstützen.

Definieren von WDAC-Richtlinien

Microsoft bietet eine Reihe von Richtlinien, mit denen Sie die Richtlinien definieren können, die Sie verwenden möchten. Zu den Optionen gehören die Steuerung aller Anwendungen, die Steuerung bestimmter Anwendungen, die Steuerung von Standard-Windows-Apps oder UWP-Apps oder beides. Sie können dann auswählen, wie Sie Apps steuern möchten - nach Benutzern, Gruppen oder Computern. WDAC bietet eine Überwachungsoption, mit der Sie sie auf Ihrer Geräteflotte und Ihren Benutzern ausführen können, um zu sehen, was sie verwenden. Die Ergebnisse eines WDAC-Audits können verwendet werden, um eine Reihe von Richtlinien zu erstellen, die am besten zur Arbeitsweise Ihrer Benutzer passen.

So bauen Sie eine erfolgreiche Entwicklerkarriere auf (kostenloses PDF)

WDAC ist eine leistungsstarke Technologie und kann ein Netzwerk schnell sperren. Es wird möglicherweise am besten verwendet, wenn Ihre Benutzer aufgabenorientiert sind und nicht auf viele Anwendungen zugreifen müssen, insbesondere wenn sie keine Administratorrechte haben. Das macht es ideal für den Einsatz in einem Callcenter oder für öffentliche Internet-Terminals. Es ist auch nützlich, wenn Benutzer zwar einige Administratorrechte haben, aber mit vertraulichen Informationen arbeiten. Mit WDAC können Sie den Zugriff auf eine Reihe bestimmter Anwendungen und auf vertrauenswürdige Apps aus dem Microsoft Store beschränken, wodurch das Risiko verringert wird, dass Benutzer Malware installieren.

WDAC flexibler machen

Mit der Windows 10-Version von 1903 wurden WDAC um weitere Funktionen erweitert, die es flexibler machen, indem die zu schützenden Anwendungstypen sowie zusätzliche Verwaltungsfunktionen erweitert werden. Richtlinien können über MDM-Tools übertragen werden, und für Bereitstellungen ist kein Neustart erforderlich.

Eine neue Option ist die Unterstützung von Dateipfadregeln. Wenn Sie den älteren AppLocker verwendet haben, ist Ihnen dieser Ansatz bekannt, da Sie damit Dateipfade für Apps und ausführbare Dateien definieren können, die steuern, wo ausführbare Dateien ausgeführt werden können. WDAC geht noch weiter und stellt sicher, dass diese Pfade nur von privilegierten Konten beschreibbar sind, wodurch das Risiko einer Code-Injection aus Anwendungen mit niedrigeren Berechtigungen verringert wird. Diese Regel kann mit anderen Richtlinien zusammengeführt werden, um den verfügbaren Schutz zu erhöhen. So kann beispielsweise sichergestellt werden, dass nur signierter Code in gesicherten Dateipfaden ausgeführt werden kann.

Es ist wichtig zu wissen, dass eine Größe nicht für alle geeignet ist und Ihr Unternehmen wahrscheinlich nicht nur von einer Richtlinie unterstützt wird. Verschiedene Gruppen und einzelne Benutzer benötigen möglicherweise separate Richtlinien. Die neuesten Versionen von WDAC unterstützen dies, indem Sie eine Basisrichtlinie für Ihre Organisation definieren können, die durch zusätzliche Richtlinien erweitert werden kann. Durch die Kombination von Basisrichtlinien mit ergänzenden Richtlinien ist es einfacher, kleinere ergänzende Richtlinien auf Gruppenebene zu verwalten und die Regeln für Basisrichtlinien zu erweitern. Es ist wichtig zu beachten, dass es besser ist, eine kleinere Basisrichtlinie als eine größere zu haben, da zusätzliche Richtlinien den Umfang der Regeln in einer Basisrichtlinie nicht einschränken können.

Windows 10 im S-Modus ist ein nützlicher erster Schritt zur Bereitstellung der Anwendungssteuerung, bei dem Systeme nur für Store-Apps gesperrt werden. Sie können Richtlinien verwenden, um zu verhindern, dass Benutzer den S-Modus entfernen. Es ist vielleicht am besten als Option für Bildung und für kleine Unternehmen sowie für Heimanwender gedacht, da es nur sehr wenig Management erfordert.

Wenn Sie mehr Kontrolle benötigen und über die Verwaltungsressourcen verfügen, ist es weitaus besser, Tools wie WDAC zu wechseln. Während WDAC viel mehr Arbeit erfordert, um erfolgreich ausgeführt zu werden, ist es ein leistungsstarkes Tool, um sicherzustellen, dass nur vertrauenswürdige Software in Ihrem Netzwerk ausgeführt wird. Da 96% der Malware nicht signiert sind, ist das Sperren Ihrer PC-Flotte, sodass nur Code auf der Whitelist ausgeführt wird, eine sinnvolle Möglichkeit, Ihr Netzwerk und Ihre Daten zu schützen, wobei Sie die Anzahl der Anwendungen einschränken möchten, die Benutzer ausführen können. Wenn auf Ihren PCs kein fehlerhafter Code ausgeführt werden kann und Ihre Daten sicher sind, ist die Zeit, die Sie für die Erstellung einer WDAC-Konfiguration aufgewendet haben, sinnvoll.

Microsoft Weekly Newsletter

Seien Sie der Microsoft-Insider Ihres Unternehmens mithilfe dieser Windows- und Office-Tutorials und der Analysen unserer Experten zu Microsoft-Unternehmensprodukten. Wird montags und mittwochs geliefert

Heute anmelden

Siehe auch

  • Die Version 3.6 von TypeScript ist erschienen: Neue Funktionen für die Ausgründung der JavaScript-Programmiersprache von Microsoft (TechRepublic)
  • So sichern und schützen Sie Ihr Microsoft-Konto (TechRepublic)
  • 50 zeitsparende Tipps zur Beschleunigung Ihrer Arbeit in Microsoft Office (kostenloses PDF) (TechRepublic)
  • Windows 10-Sicherheit: Ein Leitfaden für Führungskräfte (TechRepublic Premium)
  • Windows 10-Setup: Welchen Benutzerkontotyp sollten Sie auswählen? (ZDNet)
  • Microsoft fügt mit dem neuesten Windows 10 20H1-Testbuild (ZDNet) eine neue Anmeldeoption ohne Kennwort hinzu.
  • So erstellen und verwenden Sie App-Kennwörter für Ihr Microsoft-Konto (CNET)
  • So aktivieren Sie die Telefonanmeldung für Ihr Microsoft-Konto (TechRepublic)
  • Windows 10-Kennwörter verfallen nicht: Warum Microsoft sagt, dass dies Ihr Konto sicherer macht (TechRepublic)
  • Erfahren Sie mehr über Microsoft-Tipps und -Nachrichten (TechRepublic on Flipboard)

© Copyright 2020 | mobilegn.com