IT-Lexikon
WDACCybersecurity

Windows Defender Application Control

Kernel-basierte Application-Control-Technologie in Windows, die über Code-Integrity-Richtlinien festlegt, welche Anwendungen, Treiber und Skripte auf einem System ausgeführt werden dürfen — auch durch lokale Administratoren nicht umgehbar.

Windows Defender Application Control (WDAC) ist Microsofts strategische Lösung für Application Control auf Windows-Systemen. Im Gegensatz zu AppLocker, das auf Benutzerebene über einen Windows-Dienst arbeitet, greift WDAC direkt auf Kernel-Ebene in den Bootprozess ein. Code-Integrity-Richtlinien (CI Policies) werden bereits geladen, bevor Benutzeranwendungen starten — das macht WDAC zur robustesten Methode, um die Ausführung nicht autorisierter Software auf Windows-Endpoints zu unterbinden. Microsoft positioniert WDAC als die empfohlene Application-Control-Lösung und entwickelt AppLocker nur noch im Wartungsmodus weiter.

Code-Integrity-Richtlinien

WDAC basiert auf zwei Arten von Code-Integrity-Richtlinien. Kernel Mode Code Integrity (KMCI) kontrolliert, welche Treiber und Kernel-Module geladen werden dürfen — ein Bereich, den AppLocker nicht abdeckt. User Mode Code Integrity (UMCI) steuert die Ausführung von Anwendungen, DLLs und Skripten im Benutzerkontext. Beide Richtlinientypen werden als XML-Dateien erstellt, in ein Binärformat kompiliert und über Gruppenrichtlinien (GPOs), Microsoft Intune oder lokale Bereitstellung auf Systeme verteilt.

Die Regeln selbst können auf verschiedenen Vertrauensankern basieren: Publisher-Zertifikate, Dateihashes, Pfadregeln oder der Dateiherkunft. Seit Windows 10 1903 unterstützt WDAC zudem mehrere gleichzeitig aktive Richtlinien (Multiple Policy Format), was die Verwaltung in komplexen Umgebungen deutlich vereinfacht — etwa wenn eine Basisrichtlinie durch abteilungsspezifische Ergänzungsrichtlinien erweitert wird.

Managed Installer und Intelligent Security Graph

Zwei Mechanismen reduzieren den Verwaltungsaufwand von WDAC erheblich. Der Managed Installer erlaubt es, Softwareverteilungssysteme wie Microsoft Intune oder SCCM als vertrauenswürdige Installationsquellen zu definieren. Software, die über diese Systeme bereitgestellt wird, erhält automatisch eine Ausführungsgenehmigung — ohne dass für jede Anwendung eine explizite Regel erstellt werden muss.

Der Intelligent Security Graph (ISG) ergänzt die statischen Regeln um reputationsbasiertes Vertrauen. Anwendungen, die Microsoft als sicher einstuft (basierend auf Telemetriedaten von Microsoft Defender), können automatisch zugelassen werden. ISG eignet sich als Übergangslösung während der Einführungsphase, sollte in einer ausgereiften Konfiguration aber durch explizite Regeln ersetzt werden, da er auf externe Bewertungen angewiesen ist.

WDAC und Virtualization-Based Security

In Kombination mit Virtualization-Based Security (VBS) erreicht WDAC ein Schutzniveau, das selbst durch Angreifer mit Kernel-Zugriff nicht ausgehebelt werden kann. VBS isoliert die Code-Integrity-Prüfung in einer separaten, durch den Hypervisor geschützten Umgebung (Hypervisor-Protected Code Integrity, HVCI). Selbst wenn ein Angreifer den Windows-Kernel kompromittiert, kann er die WDAC-Richtlinie nicht manipulieren oder deaktivieren — die Integritätsprüfung läuft außerhalb des Betriebssystem-Kernels. Diese Kombination ist eine zentrale Säule von Microsofts Credential Guard-Architektur und ein wesentlicher Baustein für Zero-Trust-Strategien auf Endpoint-Ebene.

Unterschiede zu AppLocker

Der wichtigste Unterschied liegt in der Durchsetzungsebene. AppLocker arbeitet über den AppIDSvc-Dienst im Benutzerkontext — lokale Administratoren können diesen Dienst beenden oder Richtlinien umgehen. WDAC wird vom Kernel durchgesetzt und ist für lokale Administratoren nicht deaktivierbar. Darüber hinaus schützt WDAC auch Kernel-Mode-Treiber, unterstützt VBS-basierte Integritätsprüfung und bietet mit dem Managed Installer und ISG modernere Verwaltungsmechanismen. AppLocker bleibt sinnvoll als ergänzende Maßnahme für einfache Pfadregeln oder in Umgebungen, die WDAC nicht unterstützen — beide Technologien können im Sinne von Defense in Depth parallel betrieben werden.

Deployment-Strategie

Wie bei AppLocker empfiehlt sich ein schrittweises Vorgehen, wobei die Auswirkungen bei WDAC aufgrund der Kernel-Durchsetzung gravierender sind. Der Audit-Modus protokolliert Richtlinienverstöße, ohne Anwendungen zu blockieren — die Ereignisse erscheinen im Windows-Ereignisprotokoll unter Microsoft-Windows-CodeIntegrity. Diese Phase sollte ausreichend lang sein, um alle legitimen Anwendungen und Treiber zu erfassen. Erst nach gründlicher Auswertung wird schrittweise auf den Erzwingungsmodus umgestellt, idealerweise zunächst mit einer Pilotgruppe. Das Multiple-Policy-Format erleichtert dabei Ausnahmen für einzelne Abteilungen oder Anwendungsfälle.

Relevanz für KMUs

WDAC ist eine der wirksamsten Härtungsmaßnahmen gegen Ransomware und dateilose Angriffe — und für Unternehmen mit Windows Pro, Enterprise oder Education ohne zusätzliche Lizenzkosten verfügbar. Für mittelständische Unternehmen, die bereits AppLocker einsetzen, ist WDAC der logische nächste Schritt: Die Kernel-Durchsetzung schließt Umgehungsmöglichkeiten, die bei AppLocker durch lokale Admin-Rechte bestehen. In Kombination mit EDR, dem Least-Privilege-Prinzip und einer Härtung nach CIS Benchmarks entsteht eine Sicherheitsarchitektur, die auch fortgeschrittenen Angriffstechniken standhält. Der Managed Installer und die Integration mit Microsoft Intune machen den Betrieb auch ohne dediziertes Security-Team handhabbar.

Unser Angebot
Systemhärtung

Verwandte Begriffe

AppLocker
GPO
Gruppenrichtlinie
AD
Active Directory
Defense in Depth
EDR
Endpoint Detection and Response
Credential Guard
Windows Defender Credential Guard
Least Privilege (Prinzip der minimalen Rechtevergabe)
CIS Benchmarks
Zero Trust