AppLocker ist ein neues Feature in Windows 7 und Windows Server 2008 R2, dass das Feature Softwareeinschränkungsrichtlinien ersetzt. AppLocker enthält neue Funktionen und Erweiterungen, die den Verwaltungsaufwand reduzieren, und Administratoren beim Steuern helfen, wie Benutzer zugreifen und Dateien verwenden können, wie beispielsweise ausführbare Dateien, Skripts, Windows Installer-Dateien und DLLs. Mithilfe von AppLocker können Sie:
- Sie können Regeln definieren, die auf Dateiattributen basieren, die von der digitalen Signatur abgeleitet werden, einschließlich Herausgeber, Produktname, Dateiname und Dateiversion. Sie können beispielsweise Regeln erstellen, die auf den Herausgeberattributen basieren, die dauerhaft über alle Aktualisierungen sind. Sie können auch Regeln für eine bestimmte Version einer Datei erstellen.
- Zuweisen einer Regel zu einer Sicherheitsgruppe oder zu einem einzelnen Benutzer.
- Erstellen Sie Ausnahmen für Regeln. Sie können beispielsweise eine Regel erstellen, die das Ausführen aller Windows-Prozesse ermöglicht, außer den Registrierungs-Editor (Regedit.exe).
- Verwenden Sie den Modus Nur überwachen um Richtlinien bereitzustellen und die Auswirkungen vor dem Erzwingen zu erläutern.
- Importieren und Exportieren von Regeln Der Import und Export beeinflusst die gesamte Richtlinie. Wenn Sie beispielsweise eine Richtlinie exportieren, werden alle Regeln der Regelsammlungen exportiert, einschließlich der Erzwingungseinstellungen für die Regelsammlungen. Wenn Sie eine Richtlinie importieren, wird die vorhandene Richtlinie überschrieben.
- Einfaches Erstellen und Verwalten von AppLocker-Regeln mithilfe von AppLocker-PowerShell-Cmdlets.
Weitere Informationen zu AppLocker-Regeln finden Sie unter Grundlegendes zu AppLocker-Regeln.
Was hat sich geändert?
In der folgenden Tabelle werden AppLocker und die Softwareeinschränkungsrichtlinien miteinander verglichen:
Feature | Softwareeinschränkungsrichtlinien | AppLocker |
---|---|---|
Regelbereich | Alle Benutzer | Bestimmte Benutzer oder Gruppen |
Bereitgestellte Regelbedingungen |
Dateihash, Pfad, Zertifikat, Registrierungspfad und Internetzonenregeln |
Dateihash, Pfad und Herausgeberregeln |
Bereitgestellte Regeltypen | Zulassen oder Verweigern | Zulassen oder Verweigern |
Standardregelaktion | Zulassen oder Verweigern | Verweigern |
Überwachungsmodus |
Nein |
Ja |
Assistent zum Erstellen von mehreren Regeln gleichzeitig |
Nein |
Ja |
Richtlinienimport oder -export |
Nein |
Ja |
Regelsammlung |
Nein |
Ja |
PowerShell-Unterstützung | Nein | Ja |
Benutzerdefinierte Fehlermeldungen | Nein | Ja |
AppLocker-Anforderungen
AppLocker ist in allen Editionen von Windows Server 2008 R2 und in Windows 7 Ultimate und Windows 7 Enterprise verfügbar. Zum Verwenden von AppLocker benötigen Sie:
- Ein Computer unter Windows Server 2008 R2, Windows 7 Ultimate, Windows 7 Enterprise oder Windows 7 Professional zum Erstellen von AppLocker-Regeln. Windows 7 Professional kann zum Erstellen von Regeln verwendet werden, aber die Regeln können nicht auf Computern unter Windows 7 Professional erzwungen werden. Der Computer kann ein Domänencontroller sein.
- Zur Gruppenrichtlinienbereitstellung müssen auf mindestens einem Computer die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Consol, GPMC) oder die Remoteserver-Verwaltungstools (Remote Server Administration Tools, RSAT) installiert sein, um die AppLocker-Regeln zu hosten.
- Computer unter Windows Server 2008 R2, Windows 7 Ultimate oder Windows 7 Enterprise zum Erzwingen der erstellten AppLocker-Regeln.