Immer mehr neue Sicherheitsfunktionen in der Cloud und auch in Windows landen unter dem Dach des Windows Defender – haben aber zunächst wenig mit dem standardmäßigen Malwarescanner von Windows zu tun, sondern ergänzen dessen Sicherheitsfunktionen vielmehr. Bei Windows Defender Application Control (WDAC) handelt es sich nämlich nicht um ein neues Feature von Windows Defender, sondern um eine mächtige Erweiterung von Windows selbst, mit der Sie die Anwendungen im Netzwerk unter Kontrolle behalten. In diesem Artikel stellen wir Ihnen die Sicherheitsfunktion wie auch die Smart App Control (SAC) vor, mit denen Microsoft seine Betriebssysteme besser schützen möchte.

Vereinfacht gesagt kontrollieren WDAC und SAC unter Windows 10 und 11, welche Programme und Treiber laufen dürfen. Für die Konfiguration von WDAC bieten sich die PowerShell oder der empfohlene WDAC-Assistent an. SAC gehört dabei nicht zur Defender-Familie, sondern basiert auf den Funktionen von WDAC. Aus diesem Grund ist es selten sinnvoll, beide Sicherheitsfunktionen parallel einzusetzen. Interessant ist SAC vor allem in Kombination mit der Migration auf Windows 11 22H2 oder 23H2. WDAC kann ab Windows 10 und Win­dows Server 2016 eingesetzt werden. Microsoft zeigt die verschiedenen Einsatzmöglichkeiten in der Dokumentation zu WDAC [1]. Die Home-Editionen von Windows unterstützen WDAC nicht, dafür aber SAC.

Hinzu kommt der klassische AppLocker, der ebenfalls gefährliche Anwendungen blockieren kann. Generell empfiehlt Microsoft, wenn immer möglich WDAC zu verwenden. AppLocker sollten Sie nur nutzen, wenn noch ältere Windows-Versionen im Einsatz sind sowie wenn verschiedene Benutzer mit gemeinsam genutzten Computern arbeiten und hier unterschiedliche Richtlinien notwendig sind.

AppLocker lässt sich durchaus parallel zu WDAC einsetzen, um benutzer- oder gruppenspezifische Regeln für gemeinsam genutzte Geräte zu verwenden. Ein Beispiel kann sein, das Sie bestimmte Anwendungen nicht komplett blockieren wollen, sondern nur für einzelne Benutzer. Das verkompliziert den Einsatz natürlich deutlich. In diesem Fall nutzen Sie WDAC zunächst, um Anwendungen im Netzwerk möglichst restriktiv zu sperren. AppLocker kann die Sperren für einzelne Benutzer und Gruppen dann flexibel ausgestalten. Sowohl WDAC als auch AppLocker lassen sich mit Gruppenrichtlinien und Intune verwalten. Da WDAC die modernere Technologie ist, sollten Sie diese möglichst immer bevorzugen und AppLocker nur verwenden, wenn WDAC in bestimmten Szenarien nicht sinnvoll ist.

WDAC soll Windows vor gefährlichen Anwendungen schützen. Admins erstellen hierfür eigene Filterlisten, um bestimmte Applikationen im Netzwerk auf den Arbeitsstationen zu blockieren. Hinzu kommen Empfehlungen von Microsoft, die Sie, ähnlich wie bei AppLocker, über XML-Dateien in Windows integrieren können. WDAC stellt so sicher, dass nur von Ihnen genehmigte Anwendungen auf den Clients starten.

Die generellen Möglichkeiten des Tools finden Sie in der Dokumentation von Microsoft [2]. Parallel dazu hat das Unternehmen eine Liste von Programmen und DLL-Dateien veröffentlicht, die potenzielle Schwachstellen enthalten und deren Ausführung WDAC in Windows unterbinden kann. Die entsprechende XML-Datei können Sie ebenfalls direkt bei Microsoft herunterladen [3]. Relevant sind hier auch die "Microsoft recommended driver block rules" [4]. Mit diesen blockieren Sie gefährliche Treiber auf Basis von SYS-Dateien. Wenn Sie eigene Regeln erstellen und Anwendungen hinzufügen, sollten Sie im ersten Schritt nur den Überwachungsmodus aktivieren. Sperren Sie gleich alle genehmigten Anwendungen, kann WDAC schnell ein ganzes Netzwerk lahmlegen.

Um die Empfehlungen von Microsoft umzusetzen, nutzen Sie eine entsprechende XML-Datei. Diese können Sie mit der PowerShell prüfen, als Richtlinie konvertieren und für die Umsetzung mit WDAC vorbereiten:

Der Befehl sucht nach ausführbaren Dateien innerhalb des Benutzermodus und parallel noch als Binärdateien im Kernel-Modus. Dabei kann es sich um Treiber handeln. Die Filterung erfolgt auf Basis des Anwendungsherstellers. Im Rahmen der Ausführung erstellt "New-CIPolicy" eine Richtlinie mit der Bezeichnung "wdac-policy.xml". Es gibt an dieser Stelle zahlreiche weitere Möglichkeiten, die Sie in der Dokumentation zu "New-CIPolicy" finden [5]. Um die Richtlinie über Gruppenrichtlinien zu verteilen, müssen Sie sie zunächst konvertieren:

Haben Sie mehrere XML-Dateien erstellt, können Sie diese zu einer gemeinsamen Richtlinie zusammenfassen. Dazu kommt das Cmdlet "Merge-CIPolicy" zum Einsatz oder Sie nutzen besser den WDAC-Wizard.

Die AppLocker-Konfiguration basiert ebenfalls auf XML, Sie können diese aber mit einem Texteditor bearbeiten. Die XML-Dateien des WDAC hingegen sollten Sie nicht manuell bearbeiten; hier ist es besser, mit der PowerShell zu arbeiten. AppLocker ist dadurch einfacher und risikoärmer zu aktualisieren als WDAC. Um signierte Dateien zu verifizieren, verwendet AppLocker den "Subject Name" eines Zertifikats. Dieser Name ist immer derselbe, unabhängig davon, mit welchem Zertifikat signiert wurde. WDAC verwendet den Fingerabdruck. Daher kann derselbe Name in mehreren verschiedenen Zertifikaten mit unterschiedlichen Thumbprints zum Einsatz kommen.

Ein Fehler in einer AppLocker-Richtlinie kann dazu führen, dass mehrere Prozesse auf den Clients nicht mehr funktionieren. Ein Fehler in einer WDAC-Richtlinie wiederum kann zur Folge haben, dass Windows nicht mehr startet. Aus diesem Grund sollten Sie mit neuen Einstellungen im WDAC sehr vorsichtig umgehen.

Alle verfügbaren Optionen und deren Auswirkungen auf die Programme zeigt Microsoft in der Dokumentation der WDAC-Richtlinien [6]. Vor der Konvertierung in eine binäre P7B-Datei können Sie die Einstellungen in der XML-Datei anpassen. Das sollten Sie aber nicht direkt mit dem Editor vornehmen, sondern mit dem Cmdlet "Set-RuleOption". Die verschiedenen Settings sind bereits von Microsoft vorgegeben. Sie können aber für jedes Programm und die generelle Konvertierung Einstellungen anpassen. Mit "Enabled: Audit Mode" blockiert WDAC die Anwendungen nicht, sondern protokolliert den Start der Anwendung in der Ereignisanzeige. Die Einträge finden sich unter "Service Logs / Microsoft / Windows / Codeintegrität / Operational". Das ist ideal, um Regeln zu testen, bevor Sie festlegen, dass WDAC die einzelnen Programme tatsächlich blockiert. Löschen Sie den Audit-Modus, um den Erzwingungsmodus zu verwenden. Danach blockiert Windows die in der XML-Datei angegebenen Programme und DLL-Dateien. Dies erreichen Sie mit:

Der Befehl Set-RuleOption -Help zeigt die verschiedenen Möglichkeiten, um die Einstellungen in den Policies direkt über die PowerShell zu ändern.

Der nächste Schritt besteht darin, diese Policy über Gruppenrichtlinien zu verteilen. Idealerweise sollten Sie für WDAC und AppLocker ein eigenes Gruppenrichtlinienobjekt erstellen. Die Einstellungen für WDAC befinden sich im Pfad "Computerkonfiguration / Richtlinien / Administrative Vorlagen / System / Gerätewächter". WDAC ist ein Bestandteil der Virtualization Based Security (VBS) von Windows und Sie können die Sicherheitstechnologie daher auch an dieser Stelle aktivieren. Die Technologie nutzt die CPU-Erweiterungen Intel-VT oder AMD-V, um den Kernel-Modus von Windows zu überwachen.

Nachdem Sie die Einstellung "Windows Defender Anwendungssteuerung" aktiviert haben, können Sie an dieser Stelle die P7B-Datei über eine Freigabe hinterlegen. Alternativ verteilen Sie die Datei über ein Skript lokal auf die PCs oder speichern sie über die Windows-10/11-Bereitstellung lokal ab. In diesem Fall tragen Sie hier den lokalen Pfad zur P7B-Datei ein. Wenn Sie die Richtlinie mit der Domäne oder einer OU verknüpfen, führen die Rechner beim Start die Einstellungen aus und blockieren die hinterlegten Anwendungen.

Mit dem WDAC-Wizard [7] lassen sich Basisrichtlinien und Updates einfacher als mit PowerShell-Cmdlets durchführen. Der Assistent basiert zwar auch auf den bekannten Cmdlets, ermöglicht aber deren Steuerung über eine grafische Benutzeroberfläche. Die Installation des Wizards erfolgt über eine MSIX-Datei auf einer Workstation mit Windows 10/11. Nach dem Start führt der Wizard durch die Erstellung einer neuen WDAC-Richtlinie und kann auch Richtlinien zusammenführen. Microsoft beschreibt die einzelnen Möglichkeiten in der Dokumentation zu WDAC [8].

So hilft Ihnen der Assistent zu steuern, welche Anwendungen Sie im Netzwerk zulassen möchten und welche WDAC blockieren soll. In diesem Zusammenhang ist es wichtig zu verstehen, wo die Anwendungen Dateien speichern, einschließlich temporärer Daten und Installationsfiles. Denn auch diese Dateien müssen von WDAC erfasst werden. Stellen Sie sicher, dass die verwendeten EXE- und DLL-Dateien signiert sind. In diesem Fall können Sie eine Publisher-Regel mit dem Assistenten verwenden. Einige Anwendungen erlauben eine Installation pro Benutzer oder pro Maschine. Wenn möglich, verwenden Sie die Installation pro Maschine in einem Ordner, der Administratorrechte erfordert. Dadurch erhalten Sie eine bessere Kontrolle über die Installation.

Der Assistent unterstützt auch beim Zusammenführen von Richtlinien. Dazu kommt normalerweise das Cmdlet "Merge-CIPolicy" zum Einsatz. Die Verwendung des Assistenten ist jedoch wesentlich einfacher und vermeidet vor allem Fehler beim Zusammenführen von Richtlinien. Letztere müssen Sie mit "ConvertFrom-CIPolicy" oder dem Assistenten erneut konvertieren. Alle Optionen, die Sie für WDAC-Richtlinien mit dem Wizard umsetzen können, finden Sie in der Dokumentation zu den WDAC-Regeln [9].

Parallel zu WDAC und unter Umständen in Verbindung mit AppLocker können Sie unter Windows 11 auf Smart App Control (SAC) setzen. Einfach ausgedrückt bringt SAC die Funktionen von WDAC in den Consumerbereich oder direkt auf die Arbeitsstationen, ohne die Notwendigkeit, WDAC zu konfigurieren und Gruppenrichtlinien zu verteilen. In einer korrekt konfigurierten Umgebung mit WDAC ist SAC grundsätzlich nicht notwendig, kann aber auf Heimarbeitsplatz-PCs sinnvoll sein oder wenn WDAC nicht umfassend genutzt wird. SAC basiert auf WDAC.

Auch SAC hat die Aufgabe, potenziell gefährliche Anwendungen zu blockieren. Um diese Funktion zu aktivieren, müssen Sie Windows 11 22H2/23H2 auf einem Rechner neu installieren. Bei einem Upgrade von Windows 10 auf Windows 11 oder von Windows 11 21H2 auf Windows 11 22H2/23H2 ist diese Funktion zwar vorhanden, lässt sich aber nicht verwenden. Die Einstellungen für SAC finden Sie in der Windows-Sicherheitsapplikation von Windows 11 im Bereich "App- und Browsersteuerung" unter "Einstellungen für Smart App Control". Sie können an dieser Stelle entweder den Überwachungsmodus einschalten, so wie bei WDAC, oder Sie nutzen gleich den Erzwingungsmodus. Weitere Einstellungsmöglichkeiten gibt es an dieser Stelle allerdings nicht. Mit der Einstellung "Bewerten" blockiert Windows die Apps nicht, sondern bewertet sie lediglich.

Anpassungen über Gruppenrichtlinien oder die Pflege eigener Allowlists sind derzeit noch nicht in SAC möglich. Allerdings nutzen Sie in diesem Fall auch eher WDAC, da Ihnen hier flexiblere Möglichkeiten zur Verfügung stehen. SAC soll für mehr Sicherheit sorgen, ohne sich um komplexe WDAC-Richtlinien kümmern zu müssen. In jedem Fall empfiehlt es sich in Unternehmen, zu testen, ob nach dem Scharfschalten von SAC in Windows alle Unternehmensanwendungen funktionieren. Ist dies der Fall, ist die Aktivierung auf jeden Fall sinnvoll, da sie einen weiteren Baustein zum Schutz vor Ransomware darstellt. Alternativ arbeiten Sie mit WDAC. Beide Techniken parallel einzusetzen, ergibt hingegen wenig Sinn.

Um SAC für die Endpunkte einer Organisation zu deaktivieren, können Sie den Registrierungswert "VerifiedAndReputablePolicyState" (DWORD) unter "HKLM/SYSTEM/CurrentControlSet/Control/CI/Policy" auf den Wert "0" setzen. Mit dem Wert "1" schalten Sie den Erzwingungsmodus und mit "2" den Bewertungsmodus ein. Beachten Sie aber, dass auch hier eine Reaktivierung nicht mehr möglich ist. Sie müssen Windows 11 dann neu installieren. SAC wendet automatisch die von Microsoft empfohlenen Sperrregeln [10] und die empfohlenen Treibersperrregeln [11] an.

Parallel zu WDAC und SAC können Unternehmen beim Einsatz von Windows 11 den "Zuverlässigkeitsbasierten Schutz" in der Windows-Sicherheitsanwendung unter "App- und Browserkontrolle" aktivieren und an dieser Stelle auch gleich noch "SmartScreen für Microsoft Edge". Dadurch werden Windows und Edge noch besser vor Phishing-Seiten und damit auch vor Ransomware sowie gefährlichen Apps geschützt.

Ergänzend dazu gibt es auf der Seite zur Steuerung des zuverlässigkeitsbasierten Schutzes noch den "Phishing-Schutz" und die Option "Vor schädlichen Apps und Webseiten warnen". Auch diese beiden Funktionen sollten Sie auf allen aktuellen Rechnern mit Windows 11 aktivieren. Außerdem gibt es die Möglichkeit "Potenziell unerwünschte Anwendungen blockieren" mit den beiden Optionen "Apps blockieren" und "Downloads blockieren". Diese Optionen funktionieren sowohl mit SAC als auch mit WDAC. Die Einstellungen dazu finden Sie in den Gruppenrichtlinien unter "Computerkonfiguration / Richtlinien / Administrative Vorlagen / Windows-Komponenten / Windows Defender SmartScreen".

Wenn Sie für die Sicherheit in einer Windows-Umgebung verantwortlich sind, ist Windows Defender Application Control ein leistungsstarkes Werkzeug, das Sie verwenden sollten. Mit WDAC können Sie die Ausführung von Software auf Systemebene kontrollieren und Ihr Netzwerk vor unerwünschter oder schädlicher Software schützen.

WDAC ist dabei wesentlich effektiver als AppLocker und bietet die nächste Generation der Kontrolle über die Ausführung von Anwendungen. Zusammen mit den anderen Funktionen, die Microsoft in Windows 11 integriert hat, lässt sich damit sehr gut und vor allem kostenlos sicherstellen, dass keine unerwünschten Anwendungen im Netzwerk aktiv sind. Diese Regeln könne mit Gruppenrichtlinien und auch mit Microsoft Intune umgesetzt werden. Es lohnt sich auf jeden Fall, sich mit dem Thema auseinanderzusetzen, denn die Gefahren für Unternehmen nehmen stetig zu.

Alles in allem bietet Windows 11 mittlerweile einen durchaus beachtlichen Schutz vor gefährlichen Anwendungen, deren Aktivierung nichts kostet und in den meisten Fällen auch keine negativen Auswirkungen auf die Leistung hat. Versuchen kompromittierte Anwendungen zu starten, blockieren die verschiedenen Schutzfunktionen dies und schützen so den Rechner. Jedoch ist die Konfiguration nicht immer einfach und es gibt verschiedene Stellen und Tools, die Sie für die Konfiguration benötigen. Daher sollten Sie sich umfassend mit dem Thema auseinandersetzen und keinesfalls gleich den Erzwingungsmodus aktivieren. Sonst laufen Sie Gefahr, alle Arbeitsstationen auf einen Schlag zu blockieren. Sobald Sie aber sicher sind, dass alles richtig konfiguriert ist, können Sie den Dienst scharfschalten.