Regelsamlingar
MMC-snapin-modulen (Microsoft Management Console) AppLocker är indelad i fyra delar som kallas för regelsamlingar. De fyra regelsamlingarna är körbara filer, skript, Windows Installer-filer och DLL-filer. De här samlingarna är ett enkelt sätt för administratörer att skapa särskilda regler för olika typer av program. I tabellen nedan anges de filformat som ingår i respektive regelsamling.
 | OBS |
DLL-regelsamlingen är inte aktiverad som standard. Om du vill veta hur du aktiverar DLL-regelsamlingen kan du läsa mer i Verkställa AppLocker-regler. |
| Regelsamling | Associerade filformat |
|---|---|
Körbara |
.exe .com |
Skript |
.ps1 .bat .cmd .vbs .js |
Windows Installer |
.msi .msp |
DLL |
.dll .ocx |
 | Viktigt! |
Om du använder DLL-regler måste en regel för att tillåta DLL skapas för varje DLL som används av de tillåtna programmen. |
 | Varning |
När DLL-regler används måste varje DLL som läses in i ett program kontrolleras med AppLocker. Därför kan användarna uppleva att prestanda försämras om DLL-regler används. |
Regelvillkor
Regelvillkor är villkor som AppLocker-regeln baseras på. Primära villkor krävs för att en AppLocker-regel ska kunna skapas. De tre primära regelvillkoren är utgivare, sökväg och filhash.
Utgivare
Med det här villkoret identifieras ett program baserat på dess digitala signatur och utökade attribut. Den digitala signaturen innehåller information om företaget som utvecklade programmet (utgivaren). De utökade attributen, som hämtas från den binära källan, innehåller namnet på produkten som programmet ingår i och programmets versionsnummer. Utgivaren kan till exempel vara ett programutvecklingsföretag som Microsoft eller IT-avdelningen på ditt företag.
| OBS |
Använd ett utgivarvillkor när det går. Skapa utgivarvillkor när du vill tillåta att program fortsätter att fungera även om platsen för programmet ändras eller om programmet uppdateras. |
När du väljer en referensfil för ett utgivarvillkor skapas en regel som anger utgivare, produkt, filnamn och versionsnummer. Du kan göra regeln mer allmänt omfattande genom att flytta reglaget nedåt eller genom att använda ett jokertecken (*) i fälten för produkt, filnamn eller versionsnummer.
| OBS |
Om du vill ange anpassade värden när du skapar en regel i guiden måste du markera kryssrutan Använd anpassade värden. När den här kryssrutan är markerad kan du inte använda reglaget om du vill göra regeln mer eller mindre specifik. |
Filversion styr om en användare kan köra en specifik version, tidigare versioner eller senare versioner. Du kan välja ett versionsnummer och sedan konfigurera följande alternativ:
- Exakt. Regeln gäller endast för den här versionen av programmet.
- Och över. Regeln gäller för den här versionen och alla senare versioner.
- Och under. Regeln gäller för den här versionen och alla tidigare versioner.
I tabellen nedan beskrivs hur ett utgivarvillkor används.
| Alternativ | Utgivarvillkoret tillåter eller nekar ... | |
|---|---|---|
Alla signerade filer | Alla filer som är signerade av en utgivare. | |
Endast utgivare | Alla filer som är signerade av den namngivna utgivaren. | |
Utgivare och produktnamn | Alla filer för den angivna produkten som är signerade av den namngivna utgivaren. | |
Utgivare och produktnamn, samt filnamn | Versioner av den namngivna filen för den namngivna produkten som är signerade av utgivaren. | |
Utgivare, produktnamn, filnamn och filversion | Exakt | Den angivna versionen av den namngivna filen för den namngivna produkten som är signerad av utgivaren. |
Utgivare, produktnamn, filnamn och filversion | Och över | Den angivna versionen av den namngivna filen och nya versioner av produkten som är signerade av utgivaren. |
Utgivare, produktnamn, filnamn och filversion | Och under | Den angivna versionen av den namngivna filen och tidigare versioner av produkten som är signerade av utgivaren. |
Anpassad | Du kan redigera fälten Utgivare, Produktnamn, Filnamn och Filversion när du vill skapa en anpassad regel. | |
Sökväg
Med det här villkoret identifieras ett program utifrån sin plats i filsystemet på datorn eller i nätverket.
I AppLocker används sökvägsvariabler för kataloger i Windows.
| OBS |
Även om två av dessa sökvägsvariabler har samma format som miljövariabler i Windows, är de inte några miljövariabler. I AppLocker går det endast att tolka AppLocker-sökvägsvariabler. |
I tabellen nedan beskrivs dessa sökvägsvariabler i detalj.
| Windows-katalog eller -enhet | AppLocker-sökvägsvariabel | Windows-miljövariabel |
|---|---|---|
Windows | %WINDIR% | %SystemRoot% |
System32 | %SYSTEM32% | %SystemDirectory% |
Windows-installationskatalog | %OSDRIVE% | %SystemDrive% |
Program Files | %PROGRAMFILES% | %ProgramFiles% och %ProgramFiles(x86)% |
Flyttbara medier (t.ex. CD eller DVD) | %REMOVABLE% | |
Flyttbar lagringsenhet (t.ex. USB-flashenhet) | %HOT% |
| Viktigt! |
Eftersom det går att konfigurera ett sökvägsvillkor så att ett stort antal mappar och filer inkluderas ska sökvägsvillkor planeras noga. Om en tillåt-regel med ett sökvägsvillkor inkluderar en mapplats som icke-administratörer får skriva data till, kan en användare kopiera icke godkända filer till den platsen och köra filerna. Av den här anledningen rekommenderas du att inte skapa sökvägsvillkor för standardplatser som användare har skrivåtkomst till, till exempel en användarprofil. |
Filhash
När ett filhashvillkor väljs beräknas ett kryptografiskt hashvärde för den identifierade filen.
Standardregler i AppLocker
I AppLocker kan du skapa standardregler för var och en av regeltyperna.
Typer av standardregler för körbara filer:
- Tillåt medlemmar i den lokala gruppen Administratörer att köra alla program.
- Tillåt medlemmar i gruppen Alla att köra program som finns i Windows-mappen.
- Tillåt medlemmar i gruppen Alla att köra program som finns i mappen Program Files.
Typer av standardregler för Windows Installer:
- Tillåt medlemmar i den lokala gruppen Administratörer att köra alla Windows Installer-filer.
- Tillåt medlemmar i gruppen Alla att köra digitalt signerade Windows Installer-filer.
- Tillåt medlemmar i gruppen Alla att köra alla Windows Installer-filer som finns i mappen Windows\Installer.
Typer av standardregler för skript:
- Tillåt medlemmar i den lokala gruppen Administratörer att köra alla skript.
- Tillåt medlemmar i gruppen Alla att köra skript som finns i mappen Program Files.
- Tillåt medlemmar i gruppen Alla att köra skript som finns i mappen Windows.
Typer av standardregler för DLL-filer:
- Tillåt medlemmar i den lokala gruppen Administratörer att köra alla DLL-filer.
- Tillåt medlemmar i gruppen Alla att köra DLL-filer som finns i mappen Program Files.
- Tillåt medlemmar i gruppen Alla att köra DLL-filer som finns i mappen Windows.
Mer information finns i Skapa AppLocker-standardregler.
AppLocker-reglers beteende
Om det inte finns några AppLocker-regler för en viss regelsamling är det tillåtet att köra alla filer med det filformatet. När en AppLocker-regel för en viss regelsamling skapas är det dock endast tillåtet att köra de filer som uttryckligen tillåts i en regel. Om du till exempel skapar en regel för körbara filer som tillåter att EXE-filer i %SystemDrive%\FilePath körs är det endast tillåtet att köra körbara filer som finns under den sökvägen.
En regel kan konfigureras med antingen en tillåt- eller en neka-åtgärd:
- Tillåt. Du kan ange vilka filer som tillåts att köras i miljön och av vilka användare eller användargrupper. Du kan också konfigurera undantag om du vill ange filer som är undantagna från regeln.
- Neka. Du kan ange vilka filer som not tillåts att köras i miljön och av vilka användare eller användargrupper. Du kan också konfigurera undantag om du vill ange filer som är undantagna från regeln.
| Viktigt! |
Du kan kombinera tillåt- och neka-åtgärder. Vi rekommenderar dock att du använder tillåt-åtgärder med undantag eftersom neka-åtgärder alltid åsidosätter tillåt-åtgärder. Neka-åtgärder kan också kringgås. |
Regelundantag
Du kan använda AppLocker-regler på enstaka användare eller en användargrupp. Om du använder en regel på en användargrupp påverkas alla användare i den gruppen av regeln. Om du behöver tillåta att en del av en användargrupp använder ett program kan du skapa en specialregel för dessa användare. Med regeln "Tillåt alla att köra Windows förutom Registereditorn" tillåts till exempel alla i organisationen att köra Windows, men ingen tillåts att köra Registereditorn. Den här regeln skulle göra att användare, till exempel supportpersonal, inte kan köra ett program som de behöver i sitt arbete. Du kan lösa problemet genom att skapa en andra regel som gäller för användargruppen med supportpersonal: "Tillåt supportavdelningen att köra Registereditorn". Om du skapar en neka-regel som inte tillåter att några användare alls kör Registereditorn, åsidosätter neka-regeln den andra regeln som gör att användargruppen med supportpersonal kan köra Registereditorn.
AppLocker-guider
Du kan skapa anpassade regler på två sätt:
- Med guiden för att skapa regler kan du skapa en regel åt gången. Mer information finns i Skapa en AppLocker-regel.
- Med guiden Generera regler automatiskt kan du välja en mapp, välja en användare eller grupp som regeln ska gälla och sedan skapa flera regler åt gången för den mappen. I guiden genereras endast tillåt-regler automatiskt. Mer information finns i Generera AppLocker-regler automatiskt.
Ytterligare överväganden
- Som standard tillåter inte AppLocker-regler att användare öppnar eller kör filer som inte är specifikt tillåtna. Administratörer bör ha en aktuell lista över tillåtna program.
- Det finns två typer av AppLocker-villkor som inte finns kvar efter en uppdatering:
- Filhashvillkor. Filhashvillkor kan användas med alla program eftersom ett kryptografiskt hashvärde genereras när regeln skapas. Hashvärdet är dock specifikt för den exakta versionen av programmet. Om flera versioner av programmet används inom organisationen behöver du skapa filhashvillkor för alla versioner som används och för nya versioner som släpps.
- Ett utgivarvillkor med en specifik produktversion angiven. Om du skapar ett utgivarvillkor med filvillkorsalternativet Exakt kan regeln inte finnas kvar om en ny version av progrmamet installeras. Ett nytt utgivarvillkor måste skapas, eller så måste regeln ändras så att den är mindre specifik.
- Filhashvillkor. Filhashvillkor kan användas med alla program eftersom ett kryptografiskt hashvärde genereras när regeln skapas. Hashvärdet är dock specifikt för den exakta versionen av programmet. Om flera versioner av programmet används inom organisationen behöver du skapa filhashvillkor för alla versioner som används och för nya versioner som släpps.
- Om ett program inte är digitalt signerat kan du inte använda ett utgivarvillkor.
- AppLocker-regler kan inte användas om du vill hantera datorer med ett tidigare Windows-operativsystem än Windows 7. Principer för begränsningar av programvara måste användas i stället.
- Om AppLocker-regler har definierats i ett grupprincipobjekt (GPO) används endast dessa regler. Om du vill säkerställa att reglerna i Principer för begränsning av programvara och AppLocker-regler fungerar tillsammans anger du regler i Principer för begränsning av programvara och AppLocker-regler i olika grupprincipobjekt.
- När en AppLocker-regel anges till Granska endast används inte regeln. När en användare kör ett program som omfattas av regeln öppnas programmet och körs som normalt, och information om programmet läggs till i AppLocker-händelseloggen.
- En anpassad URL som konfigurerats kan inkluderas i det meddelande som visas när ett program blockeras.
- Förvänta dig fler frågor till supportavdelningen på grund av blockerade program till en början. När användarna börjar förstå att de inte kan köra program som inte är tillåtna bör frågorna till supportavdelningen minska.
Ytterligare referenser