Planen der AppLocker-Richtlinienverwaltung
In diesem Thema werden die Entscheidungen beschrieben, die Sie treffen müssen, um den Prozess für das Verwalten und Warten von AppLocker-Richtlinien einzurichten.
Richtlinienverwaltung
Bevor Sie den Bereitstellungsprozess beginnen, sollten Sie berücksichtigen, wie die AppLocker-Regeln verwaltet werden. Durch das Entwickeln eines Prozesses für das Verwalten von AppLocker-Regeln wird sichergestellt, dass AppLocker weiterhin effektiv steuert, auf welche Weise Anwendungen in Ihrer Organisation ausgeführt werden dürfen.
Anwendungs- und Benutzerunterstützungsrichtlinie
Durch das Entwickeln eines Prozesses für das Verwalten von AppLocker-Regeln wird sichergestellt, dass AppLocker weiterhin effektiv steuert, auf welche Weise Anwendungen in Ihrer Organisation ausgeführt werden dürfen. Folgendes gilt es zu berücksichtigen:
Welche Endbenutzerunterstützung wird für blockierte Anwendungen bereitgestellt?
Wie werden der Richtlinie neue Regeln hinzugefügt?
Wie werden vorhandene Regeln aktualisiert?
Werden Ereignisse weitergeleitet, um sie zu überprüfen?
Helpdesk-Support
Wenn Ihre Organisation über eine Helpdesk-Supportabteilung verfügt, sollten Sie beim Bereitstellen von AppLocker-Richtlinien Folgendes berücksichtigen:
Welche Dokumentation ist für Ihre Supportabteilung aufgrund der neuen Richtlinienbereitstellungen erforderlich?
Wie sehen die kritischen Prozesse in jeder Unternehmensgruppe hinsichtlich des Workflows und der zeitlichen Steuerung aus, die durch die Anwendungssteuerungsrichtlinien beeinflusst werden, und wie könnten sie sich auf die Arbeitsauslastung Ihrer Supportabteilung auswirken?
Wer sind die Kontakte in der Supportabteilung?
Wie löst die Supportabteilung Anwendungssteuerungsprobleme zwischen dem Endbenutzer und denjenigen, die die AppLocker-Regeln verwalten?
Endbenutzersupport
Da AppLocker das Ausführen nicht genehmigter Apps verhindert, ist es wichtig, dass Ihr Unternehmen die Bereitstellung des Endbenutzersupports sorgfältig plant. Folgendes gilt es zu berücksichtigen:
Möchten Sie eine Intranetsite als erste Supportanlaufstelle für Benutzer verwenden, die versucht haben, eine blockierte App auszuführen?
Inwiefern möchten Sie Richtlinienausnahmen unterstützen? Ermöglichen Sie Benutzern, ein Skript auszuführen, um den Zugriff auf eine blockierte App temporär zuzulassen?
Verwenden eine Intranetsite
AppLocker kann so konfiguriert werden, dass es mit der Standardmeldung, jedoch mit einer benutzerdefinierten URL angezeigt wird. Sie können diese URL verwenden, um Benutzer zu einer Supportwebsite umzuleiten, die Informationen darüber enthält, weshalb der Fehler beim Benutzer auftrat und welche Anwendungen zulässig sind. Wenn Sie keine benutzerdefinierte URL für die Meldung anzeigen, wenn eine App blockiert wird, wird die Standard-URL verwendet.
In der folgenden Abbildung wird ein Beispiel der Fehlermeldung für eine blockierte App gezeigt. Sie können die Richtlinieneinstellung Set a support web link verwenden, um den Link More information anzupassen.
.gif "Fehlermeldung über durch AppLocker blockierte Anwendung")
Schritte zum Anzeigen einer benutzerdefinierten URL für die Meldung finden Sie unter Anzeigen einer benutzerdefinierten URL-Meldung beim versuchten Ausführen einer blockierten App durch Benutzer.
AppLocker-Ereignisverwaltung
Sobald ein Prozess Berechtigungen für die Ausführung anfordert, erstellt AppLocker ein Ereignis im AppLocker-Ereignisprotokoll. Das Ereignis führt detailliert auf, welche Datei ausgeführt werden sollte, wie die Attribute dieser Datei lauten, wer der Benutzer war, der die Anforderung initiierte, und welche Regel-GUID verwendet wurde, um die AppLocker-Ausführungsentscheidung zu treffen. Das AppLocker-Ereignisprotokoll wird im folgenden Pfad erstellt: Applications and Services Logs\Microsoft\Windows\AppLocker. Das AppLocker-Protokoll umfasst drei Protokolle:
EXE- und DLL-Datei. Enthält die Ereignisse für alle Dateien, die durch die ausführbare Datei und die DLL-Regelsammlungen (EXE, COM, DLL und OCX) beeinträchtigt werden.
MSI- und Skriptdateien. Enthält die Ereignisse für alle Dateien, die durch Windows Installer und die Skriptregelsammlungen (MSI, MSP, PS1, BAT, CMD, VBS und JS) beeinträchtigt werden.
Packaged app-Deployment oder Packaged app-Execution enthält die Ereignisse für alle universellen Windows-Apps, die durch das App-Paket und die Installer-Regelsammlung für App-Pakete (APPX-Datei) beeinträchtigt werden.
Das Sammeln dieser Ereignisse an einem zentralen Speicherort unterstützt Sie dabei, Ihre AppLocker-Richtlinie zu verwalten und Regelkonfigurationsprobleme zu beheben. Mit Sammlungstechnologien, wie sie beispielsweise unter Windows verfügbar sind, können Administratoren bestimmte Ereigniskanäle abonnieren und die Ereignisse von den Quellcomputern in einem weitergeleiteten Ereignisprotokoll in einer Windows Server-Betriebssystemsammlung zusammenfassen. Weitere Informationen zum Einrichten eines Ereignisabonnements finden Sie unter Einrichten von Computern zum Weiterleiten und Sammeln von Ereignissen.
Richtlinienwartung
Wenn der Softwareherausgeber neue Apps bereitstellt oder vorhandene Apps aktualisiert, müssen Sie Ihre Regelsammlungen überarbeiten, um sicherzustellen, dass die Richtlinie aktuell ist.
Sie können eine AppLocker-Richtlinie bearbeiten, indem Sie Regeln hinzufügen, ändern oder entfernen. Es ist jedoch nicht möglich, eine Version für die Richtlinie anzugeben, indem Sie zusätzliche Regeln importieren. Verwenden Sie zum Sicherstellen der Versionssteuerung beim Ändern einer AppLocker-Richtlinie die Verwaltungssoftware „Gruppenrichtlinie“, mit der Sie Versionen der Gruppenrichtlinienobjekte (Group Policy Objects, GPOs) erstellen können. Ein Beispiel dieses Softwaretyps stellt das Feature „Erweiterte Gruppenrichtlinienverwaltung“ aus dem Microsoft Desktop Optimization Pack dar. Weitere Informationen zu „Erweiterte Gruppenrichtlinienverwaltung“ finden Sie im Übersichtsthema über die erweiterte Gruppenrichtlinienverwaltung (https://go.microsoft.com/fwlink/?LinkId=145013).
Achtung
Sie sollten eine AppLocker-Regelsammlung nicht bearbeiten, während sie in der Gruppenrichtlinie erzwungen wird. Da AppLocker steuert, welche Dateien ausgeführt werden dürfen, kann das Ändern einer aktiven Richtlinie zu einem unerwarteten Verhalten führen.
Neue Version einer unterstützten App
Wenn in der Organisation eine neue Version einer App bereitgestellt wird, müssen Sie bestimmen, ob Sie die vorherige Version dieser App weiterhin unterstützen möchten. Zum Hinzufügen der neuen Version müssen Sie möglicherweise nur eine neue Regel für jede Datei erstellen, die mit der App verknüpft ist. Wenn Sie Herausgeberbedingungen verwenden und die Version nicht angegeben ist, sind die vorhandenen Regeln möglicherweise ausreichend, damit die aktualisierte Datei ausgeführt werden kann. Sie müssen jedoch sicherstellen, dass die aktualisierte App weder die Dateinamen geändert noch Dateien hinzugefügt hat, um die neue Funktion zu unterstützen. In diesem Fall müssen Sie die vorhandenen Regeln ändern oder neue Regeln erstellen. Um weiterhin eine herausgeberbasierte Regel ohne bestimmte Dateiversion zu verwenden, müssen Sie zudem sicherstellen, dass die digitale Signatur der Datei weiterhin mit der vorherigen Version identisch ist. Der Herausgeber, Produktname und Dateiname (sofern in Ihrer Regel konfiguriert) müssen für die Regel übereinstimmen, um richtig angewendet werden zu können.
Um zu bestimmen, ob eine Datei während eines App-Updates geändert wurde, prüfen Sie die im Updatepaket enthaltenen Versionsdetails des Herausgebers. Sie können auch die Webseite des Herausgebers prüfen, um diese Informationen abzurufen. Sie können die Version auch ermitteln, indem Sie eine der Dateien überprüfen.
Bei Dateien, die mit Dateihashbedingungen zugelassen oder verweigert werden, müssen Sie den neuen Dateihash abrufen. Um Unterstützung für eine neue Version hinzuzufügen und die Unterstützung für die ältere Version zu verwalten, können Sie eine neue Dateihashregel für die neue Version erstellen oder die vorhandene Regel bearbeiten und der Liste der Bedingungen den neuen Dateihash hinzufügen.
Bei Dateien mit Pfadbedingungen sollten Sie sicherstellen, dass der Installationspfad mit dem in der Regel angegebenen übereinstimmt. Wenn der Pfad geändert wurde, müssen Sie die Regel aktualisieren, bevor Sie die neue Version der App installieren.
Kürzlich bereitgestellte App
Zum Unterstützen einer neuen App müssen Sie der vorhandenen AppLocker-Richtlinie mindestens eine Regel hinzufügen.
Die App wird nicht mehr unterstützt.
Wenn Ihr Unternehmen eine Anwendung nicht mehr unterstützt, die mit AppLocker-Regeln verknüpft ist, besteht die einfachste Möglichkeit darin, diese Regeln zu löschen, um Benutzer an der Ausführung der App zu hindern.
Die App ist blockiert, sollte jedoch zulässig sein.
Eine Datei könnte aus den folgenden drei Gründen blockiert sein:
Der häufigste Grund besteht darin, dass keine Regel vorhanden ist, die die Ausführung der App zulässt.
Es gibt möglicherweise eine vorhandene, zu restriktive Regel, die für die Datei erstellt wurde.
Eine Verweigerungsregel, die nicht überschrieben werden kann, blockiert die Datei explizit.
Vor dem Bearbeiten der Regelsammlung sollten Sie zunächst bestimmen, welche Regel die Dateiausführung verhindert. Sie können das Problem mithilfe des Windows PowerShell-Cmdlets Test-AppLockerPolicy beheben. Weitere Informationen zur AppLocker-Richtlinienproblembehandlung finden Sie unter Testen und Aktualisieren einer AppLocker-Richtlinie (https://go.microsoft.com/fwlink/?LinkId=160269).
Nächste Schritte
Nachdem Sie sich entschieden haben, wie Ihre Organisation die AppLocker-Richtlinie verwaltet, sollten Sie Ihre Ergebnisse aufzeichnen.
Richtlinie für den Endbenutzersupport. Dokumentieren Sie den Prozess, mit dem Sie Anrufe von Benutzern verarbeiten, die versucht haben, eine blockierte App auszuführen. Stellen Sie zudem sicher, dass die Supportmitarbeiter über eindeutige Eskalationsschritte verfügen, sodass der Administrator die AppLocker-Richtlinie bei Bedarf aktualisieren kann.
Ereignisverarbeitung. Dokumentieren Sie, ob Ereignisse an einem zentralen Speicherort (einem sog. Speicher) gesammelt werden, wie der Speicher archiviert wird und welche Ereignisse zu Analysezwecken verarbeitet werden.
Richtlinienwartung. Führt detailliert aus, wie der Richtlinie Regeln hinzugefügt werden und in welchem GPO die Regeln definiert sind.
Informationen und schrittweise Anleitungen zum Dokumentieren von Prozessen finden Sie im Thema über das Dokumentieren von Anwendungssteuerungs-Verwaltungsprozessen.