AppLocker-Prozesse und -Interaktionen

Dieses Thema für IT-Experten beschreibt die Prozessabhängigkeiten und -interaktionen, wenn AppLocker Regeln evaluiert und durchsetzt.

Wie Richtlinien von AppLocker implementiert werden

AppLocker-Richtlinien sind Sammlungen von AppLocker-Regeln, die eine der konfigurierten Durchsetzungseinstellungen enthalten können. Bei ihrer Anwendung wird jede Regel innerhalb der Richtlinie evaluiert, und die Regelsammlung wird gemäß der Durchsetzungseinstellung und Ihrer Gruppenrichtlinienstruktur angewendet.

Die AppLocker-Richtlinie wird auf einem Computer über den Anwendungsidentitätsdienst durchgesetzt; dabei handelt es sich um die Engine, die die Richtlinien evaluiert. Wenn der Dienst nicht ausgeführt wird, werden die Richtlinien nicht durchgesetzt. Der Anwendungsidentitätsdienst gibt die Informationen aus der Binärdatei – selbst wenn Produkt- oder Binärdateiname leer ist – an das Ergebnisfenster des Snap-Ins „Lokale Sicherheitsrichtlinie“ zurück.

AppLocker-Richtlinien werden in einem Sicherheitsbeschreibungsformat gemäß den Anforderungen des Anwendungsidentitätsdienstes gespeichert. Für die Bildung von Zulassungs- oder Verweigerungsaktionen in einer Regel werden Dateipfad-, Hash- oder vollständig qualifizierte Binärdateinamensattribute verwendet. Jede Regel wird als ein Zugriffssteuerungseintrag (ACE) in der Sicherheitsbeschreibung gespeichert und enthält die folgenden Informationen:

• Einen Zulassungs- oder eine Verweigerung-ACE („XA“ oder „XD“ im SDDL (Security Descriptor Definition Language) Format).

• Die Benutzer-Sicherheits-ID (SID), für die diese Regel gilt. (Der Standardwert ist die authentifizierte Benutzer-SID oder „AU“ in SDDL.)

• Die Regelbedingung mit den appid-Attributen.

Beispielsweise hat eine SDDL für eine Regel, die zulässt, dass alle Dateien im Verzeichnis % windir % ausgeführt werden, das folgende Format: führen verwendet beispielsweise das folgende Format: XA;;FX;;;AU;(APPID://PATH == "%windir%\*").

Eine AppLocker-Richtlinie für DLLs und ausführbare Dateien wird von Kernel-Modus-Code gelesen, der Teil von appid.sys ist. Wenn eine neue Richtlinie angewendet wird, wird appid.sys durch eine Richtlinienkonverteraufgabe benachrichtigt. Für andere Dateitypen wird die AppLocker-Richtlinie bei jedem SaferIdentifyLevel-Aufruf gelesen.

Grundlegendes zu AppLocker-Regeln

Eine AppLocker-Regel ist ein Steuerelement auf einer Datei, das festlegt, ob diese von einem bestimmten Benutzer oder einer bestimmten Gruppe ausgeführt werden darf. Regeln gelten für fünf verschiedene Typen, oder Collections, von Dateien:

• Eine Regel für ausführbare Dateien steuert, ob ein Benutzer oder Gruppe eine ausführbare Datei ausführen kann. Ausführbare Dateien haben zumeist die Dateierweiterung .exe oder .com und gehören zu Anwendungen.

• Eine Skriptregel steuert, ob ein Benutzer oder eine Gruppe Skripts mit der Dateierweiterung .ps1, .bat, .cmd, .vbs oder .js ausführen kann.

• Eine Windows-Installer-Regel steuert, ob ein Benutzer oder eine Gruppe Dateien mit der Dateierweiterung .msi, .mst oder .msp (Windows Installer-Patch) ausführen kann.

• Eine DLL-Regel steuert, ob ein Benutzer oder eine Gruppe Dateien mit der Dateierweiterung .dll oder .ocx ausführen kann.

• Eine App- und App-Installer-Paketregel steuert, ob ein Benutzer oder eine Gruppe ein App-Paket ausführen oder installieren kann. Ein Installer für App-Pakete hat die Erweiterung „.appx“.

Es gibt drei verschiedene Arten von Bedingungen, die auf Regeln angewendet werden können:

• Eine Herausgeberbedingung in einer Regel steuert, ob ein Benutzer oder eine Gruppe Dateien eines bestimmten Softwareherausgebers ausführen kann. Die Datei muss signiert sein.

• Eine Pfadbedingung in einer Regel steuert, ob ein Benutzer oder eine Gruppe Dateien aus einem bestimmten Verzeichnis oder dessen Unterverzeichnissen heraus ausführen kann.

• Eine Dateihash-Bedingung in einer Regel steuert, ob ein Benutzer oder eine Gruppe Dateien mit übereinstimmenden verschlüsselten Hashes ausführen kann.

• Grundlegendes zu AppLocker-Regelsammlungen

  Eine AppLocker-Regelsammlung ist ein Satz von Regeln, die für einen der folgenden Typen gelten: ausführbare Dateien, Windows Installer-Dateien, Skripts, DLLs oder App-Pakete.

• Grundlegendes zu AppLocker-Regelbedingungstypen

  Regelbedingungen sind Kriterien, auf denen die AppLocker-Regel basiert. Primärbedingungen sind zum Erstellen einer AppLocker-Regel erforderlich. Die drei primären Regelbedingungen sind „Herausgeber“, „Pfad“ und „Dateihash“.

  • Grundlegendes zur Herausgeberregelbedingung in AppLocker

  • Grundlegendes zur Pfadregelbedingung in AppLocker

  • Grundlegendes zur Dateihashregel-Bedingung in AppLocker

• Grundlegendes zu AppLocker-Standardregeln

  AppLocker enthält Standardregeln für jede Regelsammlung. Diese Regeln sorgen dafür, dass die für den ordnungsgemäßen Betrieb von Windows erforderlichen Dateien in einer AppLocker-Regelsammlung als zulässig gekennzeichnet sind.

  • Regeln für ausführbare Dateien in AppLocker

  • Windows Installer-Regeln in AppLocker

  • Skriptregeln in AppLocker

  • DLL-Regeln in AppLocker

  • Regeln für App-Pakete und App-Paket-Installer in AppLocker

• Grundlegendes zu Ausnahmen von AppLocker-Regeln

  Sie können AppLocker-Regeln auf einzelne Benutzer oder eine Gruppe von Benutzern anwenden. Wenn Sie eine Regel auf eine Gruppe von Benutzern anwenden, sind alle Benutzer in dieser Gruppe von dieser Regel betroffen. Wenn Sie nur einem Teil einer Benutzergruppe die Verwendung einer Anwendung gestatten dürfen, können Sie eine spezielle Regel für diese Teilmenge erstellen.

• Grundlegendes zum Verhalten von AppLocker-Regeln und Grundlegendes zu „Zulassen“- und „Verweigern“-Aktionen in Regeln

  Jede AppLocker-Regelsammlung funktioniert als eine Liste zugelassener Dateien.

Grundlegendes zu AppLocker-Richtlinien

Eine AppLocker-Richtlinie ist eine Reihe von Regelsammlungen und ihren entsprechenden konfigurierten Durchsetzungseinstellungen, die auf einen oder mehrere Computer angewendet wurden.

• Grundlegendes zu AppLocker-Erzwingungseinstellungen

  Die Regelerzwingung wird nur auf Regelsammlungen, nicht aber auf einzelne Regeln angewendet. AppLocker teilt die Regeln in vier Sammlungen auf: ausführbare Dateien, Windows Installer-Dateien, Skripts und DLL-Dateien. Die Optionen für die Regelerzwingung sind Nicht konfiguriert, Regeln erzwingen oder Nur überwachen. Zusammen ergeben alle AppLocker-Regelsammlungen die Anwendungssteuerungs- oder AppLocker-Richtlinie. Wenn die Erzwingung nicht konfiguriert ist und Regeln in einer Regelsammlung vorhanden sind, werden diese Regeln standardmäßig erzwungen.

Grundlegendes zu AppLocker und Gruppenrichtlinien

Gruppenrichtlinien können verwendet werden, um AppLocker-Richtlinien in separaten Objekten oder in Kombination mit anderen Richtlinien zu erstellen, zu ändern und zu verteilen.

• Grundlegendes zu AppLocker-Regeln und zur Erzwingungseinstellungsvererbung in „Gruppenrichtlinie“

  Wenn Gruppenrichtlinien zum Verteilen von AppLocker-Richtlinien verwendet werden, werden Regelsammlungen, die nicht konfiguriert sind, erzwungen. Die Gruppenrichtlinie überschreibt oder ersetzt keine Regeln, die bereits in einem verknüpften Gruppenrichtlinienobjekt vorhanden sind, und wendet die AppLocker-Regeln zusätzlich zu vorhandenen Regeln an. AppLocker verarbeitet die explizite „Verweigern“-Regelkonfiguration vor der „Zulassen“-Regelkonfiguration, und für die Regeldurchsetzung wird der letzte Schreibvorgang des Gruppenrichtlinienobjekts angewendet.

Verwandte Themen

Technische Referenz zu AppLocker