Regelsammlungen

Dieses AppLocker-MMC-Snap-In (Microsoft Management Console) ist in vier Bereiche, genannt Regelsammlungen, organisiert. Die vier Regelsammlungen sind ausführbare Dateien, Skripts, Windows Installer-Dateien und DLL-Dateien. Diese Sammlungen geben dem Administrator einen einfachen Weg zum Differenzieren der Regeln für verschiedene Anwendungstypen. In der folgenden Tabelle sind die Formate aufgeführt, einschließlich jeder Regelsammlung.

Hinweis

Die DLL-Regelsammlung ist standardmäßig nicht aktiviert. Weitere Informationen zum Aktivieren der DLL-Regelsammlung finden Sie unter Erzwingen von AppLocker-Regeln.

Regelsammlung Zugehöriges Dateiformat

Ausführbar

EXE

COM

Skripts

PS1

BAT

CMD

VBS

JS

Windows Installer

MSI

MSP

DLL

DLL

OCX

Wichtig

Wenn Sie DLL-Regeln verwenden, muss eine DLL-Zulassungsregel für jede DLL erstellt werden, die von den zugelassenen Anwendungen verwendet wird.

Vorsicht

Wenn DLL-Regeln verwendet werden, muss AppLocker jede DLL überprüfen, die von einer Anwendung geladen wird. Deshalb bemerken Benutzer möglicherweise eine Leistungsreduzierung, wenn DLL-Regeln verwendet werden.

Regelbedingungen

Regelbedingungen sind Kriterien, auf der die AppLocker-Regel basiert. Primäre Bedingungen sind zum Erstellen einer AppLocker-Regel erforderlich. Die drei primären Regelbedingungen sind Herausgeber, Pfad und Dateihash.

Herausgeber

Diese Bedingung identifiziert eine Anwendung basierend auf der digitalen Signatur und den erweiterten Attributen. Die digitale Signatur enthält Informationen zu der Firma, die die Anwendung erstellt hat (dem Herausgeber). Die erweiterten Attribute, die von der Binärressource beibehalten werden, enthalten den Produktnamen der Anwendung und die Versionsnummer der Anwendung. Der Herausgeber ist möglicherweise eine Softwareentwicklerfirma, wie beispielsweise Microsoft oder die IT-Abteilung Ihrer Organisation.

Hinweis

Verwenden Sie ggf. eine Herausgeberbedingung. Die Herausgeberbedingungen können erstellt werden, um einer Anwendung die Funktionsweise zu genehmigen, auch wenn der Standort der Anwendung wechselt oder wenn die Anwendung aktualisiert wird.

Wenn Sie eine Referenzdatei für eine Herausgeberbedingung auswählen, erstellt der Assistent eine Regel, die den Herausgeber, das Produkt, den Dateinamen und die Versionsnummer angibt. Sie können die Regel generisch machen, indem Sie den Schieberegler nach unten verschieben, oder indem Sie ein Platzhalterzeichen (*) in den Produkt-, Dateinamen- oder Versionsnummerfeldern verwenden.

Hinweis

Zum Eingeben von benutzerdefinierten Werten während eine Regel im Assistenten zum Erstellen von Regeln erstellt wird, müssen Sie das Kontrollkästchen Benutzerdefinierte Werte verwenden aktivieren. Wenn dieses Kontrollkästchen aktiviert ist, können Sie keinen Schieberegler verwenden, der die Regel bestimmter oder unbestimmter macht.

Die Dateiversion steuert, ob ein Benutzer eine bestimmte Version, eine frühere oder spätere Version ausführen kann. Sie können eine Versionsnummer auswählen, und dann die folgenden Optionen konfigurieren:

  • Genau. Die Regel wird nur auf diese Version der Anwendung angewendet.

  • Und darüber. Die Regel wird nur auf diese Version und alle späteren Versionen angewendet.

  • Und darunter. Die Regel wird nur auf diese Version und alle früheren Versionen angewendet.

Die folgende Tabelle beschreibt, wie eine Herausgeberbedingung angewendet wird.

OptionDie Herausgeberbedingung lässt zu oder verweigert...

Alle signierten Dateien

Alle von einem Herausgeber signierten Dateien.

Nur Herausgeber

Alle Dateien, die von einem Herausgeber mit Namen signiert wurden.

Herausgeber und Produktname

Alle Dateien für ein bestimmtes Produkt, die von einem Herausgeber mit Namen signiert wurden.

Herausgeber und Produktname und Dateiname

Jede Version der benannten Datei für das benannte Produkt, die vom Herausgeber signiert wurde.

Herausgeber, Produktname, Dateiname und Dateiversion

Genau

Die bestimmte Version der benannten Datei für das benannte Produkt, die vom Herausgeber signiert wurde.

Herausgeber, Produktname, Dateiname und Dateiversion

Und darüber

Die bestimmte Version der benannten Datei und jede neue Veröffentlichung für das benannte Produkt, die vom Herausgeber signiert wurde.

Herausgeber, Produktname, Dateiname und Dateiversion

Und darunter

Die bestimmte Version der benannten Datei und jede älteren Versionen für das benannte Produkt, die vom Herausgeber signiert wurden.

Benutzerdefiniert

Sie können die Felder Herausgeber, Produktname, Dateiname und Version zum Erstellen einer benutzerdefinierten Regel bearbeiten.

Pfad

Diese Bedingung identifiziert eine Anwendung nach Standort im Dateisystem auf dem Computer oder im Netzwerk.

AppLocker verwendet Pfadvariablen für Verzeichnisse in Windows.

Hinweis

Da zwei dieser Pfadvariablen das gleiche Format wie die Windows-Umgebungsvariablen haben, sind sie keine Umgebungsvariablen. AppLocker kann nur die AppLocker-Pfadvariablen interpretieren.

Diese Pfadvariablen werden in der folgenden Tabelle beschrieben.

Windows-Verzeichnis oder -LaufwerkAppLocker-PfadvariableWindows-Umgebungsvariable

Windows

%WINDIR%

%SystemRoot%

System32

%SYSTEM32%

%SystemDirectory%

Windows-Installationsverzeichnis

%OSDRIVE%

%SystemDrive%

Programmdateien

%PROGRAMFILES%

%ProgramFiles% und

%ProgramFiles(x86)%

Wechselmedien (beispielsweise CD oder DVD)

%REMOVABLE%

Wechselmedium (beispielsweise USB-Flashlaufwerk)

%HOT%

Wichtig

Da eine Pfadbedingung zum Einschließen einer großen Anzahl von Ordnern und Dateien konfiguriert werden kann, sollten Pfadbedingungen vorsichtig geplant werden. Wenn beispielsweise eine Zulassungsregel mit einer Pfadbedingung einen Orderstandort einschließt, der Nicht-Administratoren das Schreiben von Daten erlaubt, dann kann ein Benutzer nicht genehmigte Dateien zu diesem Standort kopieren und diese Dateien ausführen. Aus diesem Grund ist es besser, keine Pfadbedingungen für Standardbenutzer, die an diesen Standorten schreiben können, wie beispielsweise ein Benutzerprofil, zu erstellen.

Dateihash

Wenn eine Dateihashbedingung ausgewählt ist, berechnet das System einen kryptografischen Hash der identifizierten Datei.

AppLocker-Standardregel

AppLocker ermöglicht das Generieren von Standardregeln für jede Regeltypen.

Ausführbare Standardregeltypen:

  • Ermöglicht Mitgliedern der lokalen Gruppe Administratoren das Ausführen aller Anwendungen.

  • Ermöglicht Mitgliedern der Gruppe Alle das Ausführen von Anwendungen, die sich im Ordner Windows befinden.

  • Ermöglicht Mitgliedern der Gruppe Alle das Ausführen von Anwendungen, die sich im Ordner Programme befinden.

Wndows Installer-Standardregeltypen:

  • Ermöglicht Mitgliedern der lokalen Gruppe Administratoren das Ausführen aller Windows Installer-Dateien.

  • Ermöglicht Mitgliedern der lokalen Gruppe Alle das Ausführen digital signierter Windows Installer-Dateien.

  • Ermöglicht Mitgliedern der Gruppe Alle das Ausführen von Windows Installer-Dateien, die sich im Ordner Windows\Installer befinden.

Skript-Standardregeltypen:

  • Ermöglicht Mitgliedern der lokalen Gruppe Administratoren das Ausführen aller Skripts.

  • Ermöglicht Mitgliedern der Gruppe Alle das Ausführen von Skripts, die sich im Ordner Programme befinden.

  • Ermöglicht Mitgliedern der Gruppe Alle das Ausführen von Skripts, die sich im Ordner Windows befinden.

DLL-Standardregeltypen:

  • Ermöglicht Mitgliedern der lokalen Gruppe Administratoren das Ausführen aller DLLs.

  • Ermöglicht Mitgliedern der Gruppe Alle das Ausführen von DLLs, die sich im Ordner Programme befinden.

  • Ermöglicht Mitgliedern der Gruppe Alle das Ausführen von DLLs, die sich im Ordner Windows befinden.

Weitere Informationen finden Sie unter Erstellen von standardmäßigen AppLocker-Regeln.

AppLocker-Regelverhalten

Wenn keine AppLocker-Regeln für eine bestimmte Regelsammlung vorhanden sind, können alle Dateien mit dem Dateiformat ausgeführt werden. Wenn jedoch eine AppLocker-Regel für eine bestimmte Regelsammlung erstellt wurde, wird nur genau den Dateien in einer Regel das Ausführen gestattet. Wenn Sie beispielsweise eine ausführbare Regel erstellen, die das Ausführen von EXE-Dateien in %SystemDrive%\FilePath erlaubt, dann werden nur die ausführbaren Dateien, die sich im Pfad befinden, ausgeführt.

Eine Regel kann entweder zum Zulassen oder Verweigern einer Aktion konfiguriert werden:

  • Zulassen. Sie können angeben, welche Dateien in Ihrer Umgebung ausgeführt werden können, und für welche Benutzer oder Gruppenbenutzer. Sie können auch Ausnahmen zum Identifizieren von Dateien, die von der Regel ausgeschlossen werden, konfigurieren.

  • Verweigern. Sie können angeben, welche Dateien in Ihrer Umgebung not ausgeführt werden können, und für welche Benutzer oder Gruppenbenutzer. Sie können auch Ausnahmen zum Identifizieren von Dateien, die von der Regel ausgeschlossen werden, konfigurieren.

Wichtig

Sie können eine Kombination aus zugelassenen und verweigerten Aktionen verwenden. Es wird jedoch empfohlen, zugelassene Aktionen mit Ausnahmen zu verwenden, da verweigerte Aktionen die zugelassenen Aktionen in allen Fällen überschreiben. Verweigerte Aktionen können auch umgangen werden.

Regelausnahmen

Sie können die AppLocker-Regeln auf individuelle Benutzer oder Gruppen von Benutzern anwenden. Wenn Sie eine Regel auf eine Gruppe von Benutzern anwenden, sind alle Benutzer in der Gruppe von dieser Regel betroffen. Wenn Sie einer Teilmenge einer Benutzergruppe das Verwenden einer Anwendung erlauben möchten, können Sie eine bestimmte Regel für diese Teilmenge erstellen. Beispielsweise erlaubt diese Regel, jedem in der Organisation das Ausführen von Windows, aber nicht das Ausführen des Registrierungs-Editors. Dadurch wird verhindert, dass Benutzer, wie beispielsweise Helpdeskpersonal, ein Programm ausführen, das für die Supportaufgaben wichtig ist. Um das Problem zu lösen, erstellen Sie eine zweite Regel, die auf die Gruppe der Helpdeskbenutzer angewendet wird: "Helpdsk das Ausführen des Registrierungs-Editors erlauben." Wenn Sie eine Verweigerungsregel erstellen, die niemandem das Ausführen des Registrierungs-Editors erlaubt, dann überschreibt die Verweigerungsregel die zweite Regel, die der Gruppe der Helpdeskbenutzer das Ausführen des Registrierungs-Editors erlaubt.

AppLocker-Assistenten

Das Erstellen von benutzerdefinierten Regeln ist auf zwei Arten möglich:

  1. Der Assistent zum Erstellen von Regeln ermöglicht das Erstellen einer Regel zu einer Zeit. Weitere Informationen finden Sie unter Erstellen einer AppLocker-Regel.

  2. Der Assistent zum automatischen Generieren von Regeln ermöglicht das Auswählen eines Ordners, das Auswählen eines Benutzers oder einer Gruppe, auf die die Regel angewendet werden soll, und erstellt dann mehrere Regeln zu einer Zeit für den Ordner. Der Assistent zum automatischen Generieren von Regeln generiert nur Zulassungsregeln. Weitere Informationen finden Sie unter Automatisches Generieren von AppLocker-Regeln.

Weitere Überlegungen

  • Standardmäßig ermöglichen AppLocker-Regeln Benutzern nicht das Öffnen oder Ausführen von Dateien, die nicht zugelassen sind. Administratoren sollte eine aktualisierte Liste der zugelassenen Anwendungen aufbewahren.

  • Es gibt zwei Arten von AppLocker-Bedingungen, die nach einer Aktualisierung nicht mehr beibehalten werden:

    • Dateihashbedingung. Die Dateihashbedingungen können mit jeder Anwendung verwendet werden, weil ein kryptografischer Hashwert der Anwendung zu der Zeit zu dem die Regel erstellt wird, generiert wird. Jedoch ist der Hashwert bestimmt zu der genauen Version der Anwendung. Wenn es mehrere Versionen der Anwendung innerhalb der Organisation gibt, müssen Sie eine Dateihashbedingung für jede Version und für jede neue veröffentlichte Version erstellen.

    • Eine Herausgeberbedingung mit einer bestimmten festgelegten Produktversion. Wenn Sie eine Herausgeberbedingung erstellen, die eine genaue Dateibedingungsoption verwendet, kann die Regel nicht beibehalten werden, wenn eine neue Version dieser Anwendung installiert wird. Eine neue Herausgeberbedingung muss erstellt werden, oder die Regelversion muss überarbeitet werden.

  • Wenn eine Anwendung nicht digital signiert wird, können Sie keine Herausgeberbedingung verwenden.

  • AppLocker-Regeln können nicht zum Verwalten von Computern unter einem früheren Windows-Betriebssystem als Windows 7 verwendet werden. Die Softwareeinschränkungsrichtlinien müssen stattdessen verwendet werden.

  • Wenn AppLocker-Regeln in einem Gruppenrichtlinienobjekt (Group Policy Object, GPO) definiert werden, werden nur diese Regeln angewendet. Um die Interoperabilität zwischen Softwareeinschränkungsrichtlinien und AppLocker-Regeln sicherzustellen, definieren Sie Softwareeinschränkungsrichtlinien und AppLocker-Regeln in unterschiedlichen GPOs.

  • Wenn eine AppLocker-Regel auf Nur überwachen festgelegt ist, kann die Regel nicht erzwungen werden. Wenn ein Benutzer eine Anwendung ausführt, die in der Regel eingeschlossen ist, dann wird die Anwendung normal geöffnet und ausgeführt. Informationen zu der Anwendung werden zum AppLocker-Ereignisprotokoll hinzugefügt.

  • Ein benutzerdefinierter konfigurierter URL kann in die Nachricht eingeschlossen werden. Sie wird angezeigt, wenn eine Anwendung blockiert wird.

  • Wenn ein Anstieg der Helpdeskanrufe durch blockierte Anwendungen erwartet wird. Wenn Benutzer verstehen, dass sie die Anwendungen nicht ausführen können, dann sinken die Helpdeskanrufe wieder.

Weitere Verweise