Freigeben über

Ermitteln Ihrer Anwendungssteuerungsziele

  • Artikel

Dieses Thema hilft Ihnen beim Bestimmen, welche Anwendungen wie gesteuert werden sollen, indem Softwareeinschränkungsrichtlinien (SRP) und AppLocker verglichen werden.

AppLocker ist sehr effektiv für Organisationen mit App-Einschränkungsanforderungen, deren Umgebungen eine einfache Topografie aufweisen und deren Anwendungssteuerungsrichtlinien-Ziele überschaubar sind. Beispielsweise kann AppLocker eine Umgebung unterstützen, in der Nicht-Mitarbeiter Zugriff auf Computer haben, die mit dem Organisationsnetzwerk verbunden sind, wie dies beispielsweise bei einer Schule oder Bibliothek der Fall ist. Auch große Organisationen können von der AppLocker-Richtlinienbereitstellung profitieren, wenn das Ziel darin besteht, auf PCs die Steuerung auf detaillierter Ebene umzusetzen, die sie für eine relativ kleine Anzahl an Apps verwalten.

Mit einer Liste der zulässigen Apps sind Verwaltungs- und Wartungskosten verbunden. Zusätzlich besteht der Zweck von Anwendungssteuerungsrichtlinien darin, es Mitarbeitern zu erlauben oder zu untersagen, Apps zu verwenden, bei den es sich tatsächlich um Produktivitätstools handelt. Es kann sich als zeitintensiv und aufwendig gestalten, wenn Mitarbeiter und Benutzer während des Implementierens der Richtlinien produktiv bleiben sollen. Zu guter Letzt muss das Erstellen von Benutzerunterstützungsprozessen und Netzwerkunterstützungsprozessen ebenfalls bedacht werden, damit die Organisation produktiv bleibt.

Verwenden Sie die folgende Tabelle, um Ihre eigene Ziele zu entwickeln, und bestimmen Sie, welches Anwendungssteuerungsfeature diese Ziele am besten abdeckt.

Anwendungssteuerungsfunktion SRP AppLocker

Bereich

SRP-Richtlinien können auf alle Windows-Betriebssysteme ab Windows XP und Windows Server 2003 angewendet werden.

AppLocker-Richtlinien gelten nur für die Supportversionen von Windows, die in den Anforderungen für die Verwendung von AppLocker aufgeführt sind.

Richtlinienerstellung

SRP-Richtlinien werden mithilfe von Gruppenrichtlinien verwaltet, und nur der Administrator des GPO kann die SRP-Richtlinie aktualisieren. Der Administrator auf dem lokalen Computer kann die im lokalen GPO definierten SRP-Richtlinien ändern.

AppLocker-Richtlinien werden mithilfe von Gruppenrichtlinien verwaltet, und nur der Administrator des GPO kann die Richtlinie aktualisieren. Der Administrator auf dem lokalen Computer kann die im lokalen GPO definierten AppLocker-Richtlinien ändern.

Mit AppLocker können Fehlermeldungen so angepasst werden, dass Benutzer auf eine Webseite für Hilfe verwiesen werden.

Richtlinienwartung

SRP-Richtlinien müssen mithilfe des Snap-Ins „Lokale Sicherheitsrichtlinie“ (bei lokal erstellten Richtlinien) oder der Gruppenrichtlinien-Verwaltungskonsole (GPMC) aktualisiert werden.

AppLocker-Richtlinien können mithilfe des Snap-Ins „Lokale Sicherheitsrichtlinie“ (bei lokal erstellten Richtlinien), der GPMC oder den Windows PowerShell-Cmdlets für AppLocker aktualisiert werden.

Richtlinienanwendung

SRP-Richtlinien werden über eine Gruppenrichtlinie verteilt.

AppLocker-Richtlinien werden über eine Gruppenrichtlinie verteilt.

Erzwingungsmodus

SRP funktioniert im „Verweigerungslistenmodus“, in dem Administratoren Regeln für Dateien können, die sie in diesem Unternehmen nicht zulassen möchten, während die übrigen Dateien standardmäßig ausgeführt werden dürfen.

SRP kann im „Zulassungslistenmodus“ auch so konfiguriert werden, dass standardmäßig alle Dateien blockiert werden und Administratoren für Dateien, die sie zulassen möchten, Zulassungsregeln erstellen müssen.

AppLocker wird standardmäßig im „Zulassungslistenmodus“ ausgeführt, wobei nur Dateien mit einer entsprechenden Zulassungsregel ausgeführt werden dürfen.

Steuerbare Dateitypen

SRP kann die folgenden Dateitypen steuern:

  • Ausführbare Dateien

  • DLL-Dateien

  • Skripts

  • Windows Installer

SRP kann nicht jeden Dateityp separat steuern. Alle SRP-Regeln sind in einer zentralen Regelsammlung enthalten.

AppLocker kann folgende Dateitypen steuern:

  • Ausführbare Dateien

  • DLL-Dateien

  • Skripts

  • Windows Installer

  • App-Pakete und Installationsprogramme

AppLocker verwaltet für alle fünf Dateitypen eine separate Regelsammlung.

Designierte Dateitypen

SRP unterstützt eine erweiterbare Liste von Dateitypen, die als ausführbar gelten. Sie können Erweiterungen für Dateien hinzufügen, die als ausführbar gelten sollten.

Dies wird durch AppLocker nicht unterstützt. AppLocker unterstützt derzeit die folgenden Dateierweiterungen:

  • Ausführbare Dateien (.exe, .com)

  • DLL-Dateien (.ocx, .dll)

  • Skripts (.vbs, .js, .ps1, .cmd, .bat)

  • Windows Installer (.msi, .mst, .msp)

  • App-Paket-Installer (.appx)

Regeltypen

SRP unterstützt vier Regeltypen:

  • Hash

  • Pfad

  • Signatur

  • Zone „Internet“

AppLocker unterstützt drei Regeltypen:

  • Hash

  • Pfad

  • Herausgeber

Bearbeiten des Hashwerts

Mit SRP können Sie eine Datei auswählen, um sie mit einem Hash zu versehen.

AppLocker berechnet den Hashwert selbst. Intern wird der SHA2 Authenticode-Hash für übertragbare ausführbare Dateien (EXE- und DLL-Dateien) sowie Windows Installer und ein SHA2-Flatfile-Hash für alle anderen Dateien verwendet.

Unterstützung für verschiedene Sicherheitsstufen

Mit SRP können Sie die Berechtigungen angeben, mit denen eine App ausgeführt werden kann. Beispielsweise können Sie eine Regel konfigurieren, dass Editor immer mit eingeschränkten Berechtigungen und nie mit Administratorrechten ausgeführt wird.

Unter Windows Vista und früheren Versionen hat SRP mehrere Sicherheitsstufen unterstützt. Unter Windows 7 wurde diese Liste auf nur zwei Stufen beschränkt: „Nicht erlaubt“ und „Nicht eingeschränkt“ („Standardbenutzer“ entspricht „Nicht erlaubt“).

AppLocker unterstützt keine Sicherheitsstufen.

Verwalten von App-Paketen und App-Paket-Installern.

Nicht möglich

APPX ist ein gültiger Dateityp, den AppLocker verwalten kann.

Ausrichten einer Regel auf einen Benutzer bzw. eine Benutzergruppe

SRP-Regeln gelten für alle Benutzer auf einem bestimmten Computer.

AppLocker-Regeln können auf einen bestimmten Benutzer bzw. eine Benutzergruppe ausgerichtet werden.

Unterstützung für Regelausnahmen

SRP unterstützt keine Regelausnahmen.

AppLocker-Regeln können Ausnahmen aufweisen, die Administratoren das Erstellen von Regeln wie z. B. „Alle Dateien von Windows mit Ausnahme von 'Regedit.exe' zulassen“ ermöglichen.

Unterstützung für Überwachungsmodus

SRP unterstützt den Überwachungsmodus nicht. Die einzige Möglichkeit zum Testen von SRP-Richtlinien ist das Einrichten einer Testumgebung und das Durchführen einiger Experimente.

AppLocker unterstützt den Überwachungsmodus. Dies ermöglicht Administratoren das Testen der Auswirkung der Richtlinie in der echten Produktionsumgebung ohne die Benutzerfreundlichkeit zu beeinträchtigen. Sobald Sie mit den Ergebnissen zufrieden sind, können Sie mit dem Erzwingen der Richtlinie beginnen.

Unterstützung für den Export und Import von Richtlinien

SRP unterstützt keinen Import/Export von Richtlinien.

AppLocker unterstützt das Importieren und Exportieren von Richtlinien. Dies ermöglicht Ihnen das Erstellen einer AppLocker-Richtlinie auf einem Beispielcomputer, das Testen der Richtlinie sowie das anschließende Exportieren und erneute Importieren in das gewünschte GPO.

Regelerzwingung

Intern erfolgt die Erzwingung von SRP-Regeln im weniger sicheren Benutzermodus.

Intern werden AppLocker-Regeln für EXE- und DLL-Dateien im Kernelmodus erzwungen; dies ist sicherer als die Erzwingung im Benutzermodus.

 

Allgemeinere Informationen finden Sie unter AppLocker.