Anwendungssteuerung

Einleitung

Seit der Version 5.24.0 ist in Relution die Konfiguration Anwendungssteuerung verfügbar. Hiermit lassen sich Windows Defender Anwendungssteuerungs-Richtlinien (WDAC-Richtlinien) auf Windows Geräten anwenden. Diese definieren, welchen Anwendungen vertraut wird, sodass nur diese auf dem Gerät ausgeführt werden können.

Microsoft stellt alle notwendigen Informationen über WDAC-Richtlinien in deren Dokumentation bereit.

Generierung der WDAC-Richtlinie

Die Konzeption und Erstellung der WDAC-Richtlinien erläutert Microsoft im Entwurfshandbuch.

Es wird empfohlen jegliche WDAC-Richtlinien ausgiebig zu testen, bevor diese über Relution an Produktiv-Geräte ausgerollt werden.

Erstellung der benötigten WDAC-Richtlinie Datei

Für die Generierung können der WDAC Assistent und die Beispiel Basisrichtlinien verwendet werden.

Wird für die Generierung das WDAC-Assistenten-Tool verwendet, erzeugt dieses zwei Konfigurationsdateien. Eine XML-Datei und eine CIP-Datei. Diese beiden Dateien können jedoch nicht direkt in Relution verwendet werden, da die MDM-Schnittstelle eine Binär-Datei benötigt. Wie diese aus der XML-Datei erzeugt werden kann, wird in den folgenden Abschnitten erläutert.

XML-Datei

Die WDAC-Richtlinien XML-Datei enthält zwei Informationen, die für das erfolgreiche Anwenden der Konfiguration auf den Windows Geräten über Relution entscheidend sind.

windows app control coniguration xml

Die <PolicyID> ist eine GUID, welche diese WDAC-Richtlinie eindeutig identifiziert. Sie wird daher für das Anwenden, Aktualisieren und Löschen der Konfiguration verwendet.

Die <VersionEx> wird als Versionierung für die WDAC-Richtlinie verwendet. Für Aktualisierungen einer WDAC-Richtlinie darf die Version daher nicht kleiner sein als die vorher angewendete Version. Ansonsten schlägt das Update der Konfiguration über Relution fehl.

Konvertierung der XML-Datei

Die XML-Datei muss in eine Binär-Datei umgewandelt werden. Dies kann mit dem ConvertFrom-CIPolicy PowerShell-Befehl gemacht werden.

Beispiel:

ConvertFrom-CIPolicy -XmlFilePath .\AllowAll.xml -BinaryFilePath .\AllowAll.bin

Die dadurch generierte Binär-Datei kann in der Anwendungssteuerungs-Konfiguration in Relution hochgeladen werden.

Applikationssteuerungs-Konfiguration

windows app control coniguration overview Die Applikationssteuerungs-Konfiguration besteht aus zwei Feldern:

  • Ein Button zum Hochladen der WDAC-Richtlinien-Datei im Binär-Format, siehe Generierung der WDAC-Richtlinie
  • Ein Feld zur Eintragung der App Control ID. Damit die Konfiguration erfolgreich auf dem Gerät angewendet werden kann, muss die App Control ID denselben Wert wie die <PolicyID> aus der WDAC-Richtlinie enthalten. Jedoch ohne die geschweiften Klammern.
    • Beispiel:
      • PolicyID in der WDAC-Richtlinie: <PolicyID>{31351756-3F24-4963-8380-4E7602335AAE}</PolicyID>
      • App Control ID in der Konfiguration: 31351756-3F24-4963-8380-4E7602335AAE
    • Es ist nicht möglich die eingetragene App Control ID nach dem erstmaligen Speichern zu ändern. Es ist jedoch möglich mehrere (sich ergänzende) Applikationssteuerungs-Konfigurationen zu erstellen und auf einem Gerät anzuwenden.

Aktualisierung

Damit ein neue Version der Applikationssteuerungs-Konfiguration erfolgreich auf dem Gerät angewendet werden kann, muss die <PolicyID> in der WDAC Richtlinie denselben Wert wie die App Control ID der Konfiguration und die <VersionEx> einen höheren Wert aufweisen als in der vorherigen Version.

Löschen

Damit das Löschen einer WDAC-Richtlinie auf dem Gerät angewendet wird, ist ein Neustart des Geräts erforderlich.

Microsoft empfiehlt einen Workaround, sodass die App-Einschränkungen auch ohne Neustart entfernt werden, siehe Microsoft Dokumentation.

Löschen einer unsignierten Applikationssteuerungs-Konfiguration

In Relution kann das Entfernen ohne Neustart daher folgendermaßen umgesetzt werden:

  1. Erstellung einer Allow-All WDAC-Richtlinie
    • Die <PolicyID> muss der App Control ID entsprechen
    • Die <VersionEx> muss höher sein als in der vorherigen Version
  2. Konvertierung der XML-Datei in das benötigte Binär-Format
  3. Erstellung einer neuen Richtlinien-Version in Relution
    • Hochladen der neuen Binär-Datei der Allow-All WDAC Richtlinie in der Applikationssteuerungs-Konfiguration
  4. Veröffentlichung der neuen Richtlinien-Version
    • Dadurch werden die bestehenden Einschränkungen von dem Gerät entfernt
  5. Entfernen der Richtlinie von dem Gerät
    • Dies löscht die Applikationssteuerungs-Konfiguration von dem Gerät. Allerdings ist dies erst nach dem Neustart aktiv.

Löschen einer signierten Applikationssteuerungs-Konfiguration

Das Entfernen einer signierten WDAC-Richtlinie (ohne benötigten Neustart) kann in Relution daher folgendermaßen umgesetzt werden:

  1. Erstellung einer signierten WDAC-Richtlinie, welche unsignierte WDAC-Richtlinien erlaubt
    • Die <PolicyID> muss der App Control ID entsprechen
    • Die <VersionEx> muss höher sein als in der vorherigen Version
  2. Konvertierung der XML-Datei in das benötigte Binär-Format
  3. Erstellung einer neuen Richtlinien-Version in Relution
    • Aktualisierung der Applikationssteuerungs-Konfiguration
  4. Veröffentlichung der neuen Richtlinien-Version
    • Dadurch können unsignierte WDAC-Richtlinien auf dem Gerät angewendet werden
  5. Löschen einer unsignierten Applikationssteuerungs-Konfiguration