Verzamelingen van regels
De MMC-module (Microsoft Management Console) AppLocker is onderverdeeld in vier zogenaamde verzamelingen van regels. De vier beschikbare verzamelingen van regels hebben betrekking op uitvoerbare bestanden, scripts, Windows Installer-bestanden en DLL-bestanden. Aan de hand van deze verzamelingen kan de beheerder probleemloos onderscheid maken tussen de regels voor verschillende typen toepassingen. De volgende tabel bevat een lijst van de bestandsindelingen die deel uitmaken van elke verzameling van regels.
 | Opmerking |
De verzameling van DLL-regels is standaard niet ingeschakeld. Raadpleeg AppLocker-regels handhaven als u wilt weten hoe u de verzameling van DLL-regels kunt inschakelen. |
| Verzameling van regels | Bijbehorende bestandsindelingen |
|---|---|
Uitvoerbare bestanden |
.EXE .COM |
Scripts |
.PS1 .BAT .CMD .VBS .JS |
Windows Installer-bestanden |
.MSI .MSP |
DLL-bestanden |
.DLL .OCX |
 | Belangrijk |
Als u DLL-regels gebruikt, moet u een regel voor toestaan maken voor elk DLL-bestand dat wordt gebruikt door alle toegestane toepassingen. |
 | Waarschuwing |
Wanneer u DLL-regels gebruikt, moet AppLocker elk DLL-bestand controleren dat door een toepassing wordt geladen. Het is daarom mogelijk dat de prestaties verslechteren als DLL-regels worden gebruikt. |
Regelvoorwaarden
Regelvoorwaarden zijn criteria waarop de AppLocker-regel is gebaseerd. Primaire voorwaarden zijn vereist voor het maken van een AppLocker-regel. De drie primaire regelvoorwaarden zijn Uitgever, Pad en Bestands-hash.
Uitgever
Met behulp van deze voorwaarde wordt een toepassing herkend op basis van de bijbehorende digitale handtekening en uitgebreide kenmerken. De digitale handtekening bevat informatie over het bedrijf dat de toepassing heeft gemaakt (de uitgever). De uitgebreide kenmerken, die worden opgehaald uit de binaire bron, bevatten de naam van het product waarvan de toepassing deel uitmaakt en het versienummer van de toepassing. De uitgever kan een softwareontwikkelingsbedrijf zijn, zoals Microsoft, of de IT-afdeling van uw organisatie.
| Opmerking |
Gebruik bij voorkeur een uitgevervoorwaarde. Er kunnen uitgevervoorwaarden worden gemaakt die ervoor zorgen dat toepassingen ook kunnen worden uitgevoerd als de locatie ervan wordt gewijzigd of als de toepassing wordt bijgewerkt. |
Wanneer u in de wizard een referentiebestand voor een uitgevervoorwaarde selecteert, wordt er een regel gemaakt waarin de uitgever, het product, de bestandsnaam en het versienummer zijn opgenomen. U kunt de regel algemener maken door de schuifregelaar omlaag te verplaatsen of door een jokerteken (*) op te nemen in de velden met de productnaam, de bestandsnaam of het versienummer.
| Opmerking |
U moet het selectievakje Aangepaste waarden gebruiken inschakelen als u aangepaste waarden wilt opgeven tijdens het maken van een regel in de wizard Regels maken. Wanneer u dit selectievakje hebt ingeschakeld, kunt u de regel niet met de schuifregelaar algemener of specifieker maken. |
Met behulp van de bestandsversie kunt u aangeven of een gebruiker een specifieke versie, eerdere versies of nieuwere versies mag uitvoeren. U kunt een versienummer selecteren en vervolgens de volgende opties instellen:
- Exact. De regel geldt alleen voor deze versie van de toepassing.
- En hoger. De regel geldt voor deze versie en alle nieuwere versies.
- En lager. De regel geldt voor deze versie en alle eerdere versies.
In de volgende tabel wordt beschreven hoe een uitgevervoorwaarde wordt toegepast.
| Optie | De uitgevervoorwaarde is van toepassing op… | |
|---|---|---|
Alle ondertekende bestanden | Alle bestanden die door een uitgever zijn ondertekend. | |
Alleen uitgever | Alle bestanden die door de genoemde uitgever zijn ondertekend. | |
Uitgever en productnaam | Alle bestanden voor het aangegeven product die door de genoemde uitgever zijn ondertekend. | |
Uitgever, productnaam en bestandsnaam | Alle versies van het genoemde bestand voor het genoemde product die door de uitgever zijn ondertekend. | |
Uitgever, productnaam bestandsnaam en bestandsversie | Exact | De aangegeven versie van het genoemde bestand voor het genoemde product die door de uitgever is ondertekend. |
Uitgever, productnaam bestandsnaam en bestandsversie | En hoger | De aangegeven versie van het genoemde bestand voor alle nieuwe releases van het product die door de uitgever is ondertekend. |
Uitgever, productnaam bestandsnaam en bestandsversie | En lager | De aangegeven versie van het genoemde bestand en alle oudere versies van het product die door de uitgever zijn ondertekend. |
Aangepast | Door de gegevens in de velden Uitgever, Productnaam, Bestandsnaam en Versie te bewerken kunt u een aangepaste regel maken. | |
Pad
Met behulp van deze voorwaarde wordt een toepassing herkend op basis van zijn locatie in het bestandssysteem van de computer of in het netwerk.
In AppLocker worden padvariabelen gebruikt voor mappen in Windows.
| Opmerking |
Hoewel voor twee van deze padvariabelen dezelfde indeling wordt gebruikt als voor Windows-omgevingsvariabelen, zijn dit geen omgevingsvariabelen. AppLocker herkent alleen AppLocker-padvariabelen. |
Deze padvariabelen worden beschreven in de volgende tabel.
| Windows-map of station | AppLocker-padvariabele | Windows-omgevingsvariabele |
|---|---|---|
Windows | %WINDIR% | %SystemRoot% |
System32 | %SYSTEM32% | %SystemDirectory% |
Windows-installatiemap | %OSDRIVE% | %SystemDrive% |
Programmabestanden | %PROGRAMFILES% | %ProgramFiles% en %ProgramFiles(x86)% |
Verwisselbare media (bijvoorbeeld cd of dvd) | %REMOVABLE% | |
Verwisselbaar opslagapparaat (bijvoorbeeld een USB-flashstation) | %HOT% |
| Belangrijk |
U kunt een padvoorwaarde opgeven voor een groot aantal mappen en bestanden. Daarom moet u bij het opgeven van padvoorwaarden zorgvuldig te werk gaan. Als een regel voor toestaan op basis van een padvoorwaarde bijvoorbeeld een maplocatie omvat waarnaar ook anderen dan beheerders gegevens mogen schrijven, kan een gebruiker niet-goedgekeurde bestanden naar die locatie kopiëren en deze uitvoeren. Het is daarom raadzaam geen padvoorwaarden te maken voor locaties waarnaar ook standaardgebruikers mogen schrijven, zoals gebruikersprofielen. |
Bestands-hash
Wanneer u de bestands-hashvoorwaarde selecteert, wordt er een cryptografische hash voor het aangegeven bestand berekend.
Standaardregels voor AppLocker
Met AppLocker kunt u standaardregels genereren voor elk van de regeltypen.
Standaardregeltypen voor uitvoerbare bestanden:
- Toestaan dat leden van de lokale groep Administrators alle toepassingen uitvoeren.
- Toestaan dat leden van de groep Iedereen toepassingen in de Windows-map uitvoeren.
- Toestaan dat leden van de groep Iedereen toepassingen in de map Program Files uitvoeren.
Standaardregeltypen voor Windows Installer:
- Toestaan dat leden van de lokale groep Administrators alle Windows Installer-bestanden uitvoeren.
- Toestaan dat leden van de lokale groep Iedereen digitaal ondertekende Windows Installer-bestanden uitvoeren.
- Toestaan dat leden van de groep Iedereen alle Windows Installer-bestanden in de map Windows\Installer uitvoeren.
Standaardregeltypen voor scripts:
- Toestaan dat leden van de lokale groep Administrators alle scripts uitvoeren.
- Toestaan dat leden van de groep Iedereen scripts in de map Program Files uitvoeren.
- Toestaan dat leden van de groep Iedereen scripts in de Windows-map uitvoeren.
Standaardregeltypen voor DLL-bestanden:
- Toestaan dat leden van de lokale groep Administrators alle DLL-bestanden uitvoeren.
- Toestaan dat leden van de groep Iedereen DLL-bestanden in de map Program Files uitvoeren.
- Toestaan dat leden van de groep Iedereen DLL-bestanden in de Windows-map uitvoeren.
Zie Standaardregels voor AppLocker maken voor meer informatie.
De werking van AppLocker-regels
Als er geen AppLocker-regels zijn voor een specifieke verzameling van regels, mogen alle bestanden met die bestandsindeling worden uitgevoerd. Wanneer u echter een AppLocker-regel maakt voor een specifieke verzameling van regels, mogen alleen de bestanden worden uitgevoerd die uitdrukkelijk worden toegestaan in een regel. Als u bijvoorbeeld een regel voor uitvoerbare bestanden maakt op grond waarvan EXE-bestanden in de map %SystemDrive%\FilePath mogen worden uitgevoerd, mogen alleen de uitvoerbare bestanden in dit pad worden uitgevoerd.
U kunt een regel voor toestaan of een regel voor weigeren maken:
- Toestaan. U kunt aangeven welke bestanden mogen worden uitgevoerd in uw omgeving en door welke gebruikers of groepen gebruikers. U kunt ook uitzonderingen opgeven voor bestanden waarvoor de regel niet moet gelden.
- Weigeren. U kunt aangeven welke bestanden niet mogen worden uitgevoerd in uw omgeving en door welke gebruikers of groepen gebruikers. U kunt ook uitzonderingen opgeven voor bestanden waarvoor de regel niet moet gelden.
| Belangrijk |
U kunt een combinatie van regels voor toestaan en regels voor weigeren gebruiken. Het is echter raadzaam regels voor toestaan te gebruiken in combinatie met uitzonderingen. Regels voor weigeren hebben namelijk in alle gevallen voorrang op regels voor toestaan. Bovendien kunnen regels voor weigeren worden omzeild. |
Regeluitzonderingen
U kunt AppLocker-regels toepassen op individuele gebruikers of een groep gebruikers. Als u een regel op een groep gebruikers toepast, geldt deze regel voor alle gebruikers in die groep. Als alleen een subset van een gebruikersgroep een toepassing mag gebruiken, kunt u voor die subset een speciale regel maken. Zo kunt u met de regel 'Toestaan dat Iedereen Windows uitvoert, met uitzondering van Register-editor' toestaan dat iedereen in de organisatie Windows uitvoert, met uitzondering van Register-editor. Deze regel belet gebruikers zoals helpdeskmedewerkers een programma uit te voeren dat ze nodig hebben voor het uitvoeren van hun ondersteuningstaken. U kunt dit probleem omzeilen door een tweede regel te maken die geldt voor de gebruikersgroep Helpdesk: 'Toestaan dat Helpdesk Register-editor uitvoert'. Als u een regel voor weigeren maakt die gebruikers belet Register-editor uit te voeren, heeft deze regel voorrang op de tweede regel die toestaat dat de gebruikersgroep Helpdesk Register-editor uitvoert.
AppLocker-wizards
U kunt op twee manieren aangepaste regels maken:
- Met deze wizard Regels maken kunt u telkens één regel maken. Zie Een AppLocker-regel maken voor meer informatie.
- Met de wizard Automatisch regels genereren kunt u een map selecteren, een gebruiker of groep selecteren waarvoor de regel geldt en vervolgens voor die map meerdere regels tegelijk maken. Standaard worden met deze wizard alleen regels voor toestaan gegenereerd. Zie Automatisch AppLocker-regels genereren voor meer informatie.
Aanvullende overwegingen
- Standaard staan AppLocker-regels niet toe dat gebruikers bestanden openen of uitvoeren die niet uitdrukkelijk zijn toegestaan. Beheerders doen er goed aan een lijst van toegestane toepassingen bij te houden.
- Er zijn twee typen AppLocker-voorwaarden die na een update niet worden gehandhaafd:
- Bestands-hashvoorwaarde. Bestands-hashvoorwaarden kunnen worden gebruikt met een willekeurige toepassing omdat er een cryptografische hashwaarde voor de toepassing wordt gegenereerd wanneer de regel wordt gemaakt. De hashwaarde is echter specifiek voor die exacte versie van de toepassing. Als binnen de organisatie meerdere versies van de toepassing worden gebruikt, moet u voor elke versie die wordt gebruikt en voor nieuwe versies die worden uitgebracht bestands-hashvoorwaarden maken.
- Een uitgevervoorwaarde waarvoor een specifieke productversie is ingesteld. Als u een uitgevervoorwaarde maakt op basis van de bestandsvoorwaardeoptie Exactly, kan de regel niet worden gehandhaafd als een nieuwe versie van de toepassing wordt geïnstalleerd. U moet dan een nieuwe uitgevervoorwaarde maken of de versie in de regel minder specifiek maken.
- Bestands-hashvoorwaarde. Bestands-hashvoorwaarden kunnen worden gebruikt met een willekeurige toepassing omdat er een cryptografische hashwaarde voor de toepassing wordt gegenereerd wanneer de regel wordt gemaakt. De hashwaarde is echter specifiek voor die exacte versie van de toepassing. Als binnen de organisatie meerdere versies van de toepassing worden gebruikt, moet u voor elke versie die wordt gebruikt en voor nieuwe versies die worden uitgebracht bestands-hashvoorwaarden maken.
- Als een toepassing niet digitaal is ondertekend, kunt u geen uitgevervoorwaarde gebruiken.
- U kunt AppLocker-regels niet gebruiken om computers te beheren waarop een Windows-besturingssysteem wordt uitgevoerd dat ouder is dan Windows 7. In plaats daarvan moet u softwarerestrictiebeleid gebruiken.
- Als er AppLocker-regels zijn opgegeven in een groepsbeleidsobject, worden alleen die regels toegepast. Geef softwarerestrictiebeleid en AppLocker-regels op in verschillende groepsbeleidsobjecten om de interoperabiliteit tussen het softwarerestrictiebeleid en AppLocker-regels te waarborgen.
- Wanneer u een AppLocker-regel instelt op Alleen controle, wordt de regel niet toegepast. Wanneer een gebruiker een toepassing uitvoert die in de regel is opgenomen, wordt de toepassing geopend en op de normale manier uitgevoerd. Informatie over deze toepassing wordt toegevoegd aan het gebeurtenislogboek van AppLocker.
- U kunt een aangepaste URL opnemen in het bericht dat wordt weergegeven wanneer een toepassing wordt geblokkeerd.
- Het blokkeren van een toepassing kan in eerste instantie leiden tot een toename van het aantal vragen aan de helpdesk. Wanneer gebruikers eenmaal doorkrijgen dat ze niet-toegestane toepassingen niet kunnen uitvoeren, neemt het aantal vragen aan de helpdesk doorgaans af.
Aanvullende naslaginformatie