AppLocker ist ein neues Feature in Windows 7 und Windows Server 2008 R2, dass das Feature Softwareeinschränkungsrichtlinien ersetzt. AppLocker enthält neue Funktionen und Erweiterungen, die den Verwaltungsaufwand reduzieren, und Administratoren beim Steuern helfen, wie Benutzer zugreifen und Dateien verwenden können, wie beispielsweise ausführbare Dateien, Skripts, Windows Installer-Dateien und DLLs. Mithilfe von AppLocker können Sie:

  • Sie können Regeln definieren, die auf Dateiattributen basieren, die von der digitalen Signatur abgeleitet werden, einschließlich Herausgeber, Produktname, Dateiname und Dateiversion. Sie können beispielsweise Regeln erstellen, die auf den Herausgeberattributen basieren, die dauerhaft über alle Aktualisierungen sind. Sie können auch Regeln für eine bestimmte Version einer Datei erstellen.

  • Zuweisen einer Regel zu einer Sicherheitsgruppe oder zu einem einzelnen Benutzer.

  • Erstellen Sie Ausnahmen für Regeln. Sie können beispielsweise eine Regel erstellen, die das Ausführen aller Windows-Prozesse ermöglicht, außer den Registrierungs-Editor (Regedit.exe).

  • Verwenden Sie den Modus Nur überwachen um Richtlinien bereitzustellen und die Auswirkungen vor dem Erzwingen zu erläutern.

  • Importieren und Exportieren von Regeln Der Import und Export beeinflusst die gesamte Richtlinie. Wenn Sie beispielsweise eine Richtlinie exportieren, werden alle Regeln der Regelsammlungen exportiert, einschließlich der Erzwingungseinstellungen für die Regelsammlungen. Wenn Sie eine Richtlinie importieren, wird die vorhandene Richtlinie überschrieben.

  • Einfaches Erstellen und Verwalten von AppLocker-Regeln mithilfe von AppLocker-PowerShell-Cmdlets.

Weitere Informationen zu AppLocker-Regeln finden Sie unter Grundlegendes zu AppLocker-Regeln.

Was hat sich geändert?

In der folgenden Tabelle werden AppLocker und die Softwareeinschränkungsrichtlinien miteinander verglichen:

Feature Softwareeinschränkungsrichtlinien AppLocker

Regelbereich

Alle Benutzer

Bestimmte Benutzer oder Gruppen

Bereitgestellte Regelbedingungen

Dateihash, Pfad, Zertifikat, Registrierungspfad und Internetzonenregeln

Dateihash, Pfad und Herausgeberregeln

Bereitgestellte Regeltypen

Zulassen oder Verweigern

Zulassen oder Verweigern

Standardregelaktion

Zulassen oder Verweigern

Verweigern

Überwachungsmodus

Nein

Ja

Assistent zum Erstellen von mehreren Regeln gleichzeitig

Nein

Ja

Richtlinienimport oder -export

Nein

Ja

Regelsammlung

Nein

Ja

PowerShell-Unterstützung

Nein

Ja

Benutzerdefinierte Fehlermeldungen

Nein

Ja

AppLocker-Anforderungen

AppLocker ist in allen Editionen von Windows Server 2008 R2 und in Windows 7 Ultimate und Windows 7 Enterprise verfügbar. Zum Verwenden von AppLocker benötigen Sie:

  • Ein Computer unter Windows Server 2008 R2, Windows 7 Ultimate, Windows 7 Enterprise oder Windows 7 Professional zum Erstellen von AppLocker-Regeln. Windows 7 Professional kann zum Erstellen von Regeln verwendet werden, aber die Regeln können nicht auf Computern unter Windows 7 Professional erzwungen werden. Der Computer kann ein Domänencontroller sein.

  • Zur Gruppenrichtlinienbereitstellung müssen auf mindestens einem Computer die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Consol, GPMC) oder die Remoteserver-Verwaltungstools (Remote Server Administration Tools, RSAT) installiert sein, um die AppLocker-Regeln zu hosten.

  • Computer unter Windows Server 2008 R2, Windows 7 Ultimate oder Windows 7 Enterprise zum Erzwingen der erstellten AppLocker-Regeln.