Grundlegendes zu den AppLocker-Aktionen „Zulassen“ und „Verweigern“ für Regeln
In diesem Thema werden die Unterschiede zwischen den Aktionen „Zulassen“ und „Verweigern“ für AppLocker-Regeln erläutert.
Vergleich der Aktionen „Zulassen“ und „Verweigern“ für Regeln
Im Gegensatz zu Richtlinien für Softwareeinschränkung (Software Restriction Policies, SRP) funktioniert jede AppLocker-Regelsammlung Liste zugelassener Dateien. Nur die Dateien, die in der Regelsammlung aufgelistet sind, dürfen ausgeführt werden. Mit dieser Konfiguration kann leichter bestimmt werden, was geschieht, wenn eine AppLocker-Regel angewendet wird.
Sie können auch Regeln erstellen, die die Aktion „Verweigern“ verwenden. Beim Anwenden von Regeln überprüft AppLocker zuerst, ob in der Regelliste explizite Verweigerungsaktionen angegeben sind. Wenn Sie die Ausführung einer Datei in einer Regelsammlung verweigert haben, hat die Aktion „Verweigern“ Vorrang vor jeder Aktion „Zulassen“. Dies gilt unabhängig davon, in welchem Gruppenrichtlinienobjekt die Regel ursprünglich angewendet wurde. Da AppLocker standardmäßig als Liste zugelassener Dateien funktioniert, wird die Datei durch die standardmäßige AppLocker-Aktion „Verweigern“ blockiert, wenn ihre Ausführung durch keine Regel explizit zugelassen oder verweigert wird.
Überlegungen zur Verweigerungsregel
Obwohl Sie AppLocker zum Erstellen einer Regel verwenden können, die die Ausführung aller Dateien zulässt, und dann Regeln verwenden können, um die Ausführung bestimmter Dateien zu verweigern, wird von dieser Konfiguration abgeraten. Die Aktion „Verweigern“ ist im Allgemeinen nicht so sicher wie die Aktion „Zulassen“, da die Datei von einem böswilligen Benutzer geändert werden könnte, um die Regel ungültig zu machen. Verweigerungsaktionen können auch umgangen werden. Wenn Sie beispielsweise eine Aktion „Verweigern“ für einen Datei- oder Ordnerpfad konfigurieren, kann der Benutzer die Datei immer noch von einem anderen Pfad ausführen. In der folgenden Tabelle sind Sicherheitsaspekte für verschiedenen Regelbedingungen mit Verweigerungsaktionen beschrieben.
| Regelbedingung | Sicherheitsaspekt bei der Aktion „Verweigern“ |
|---|---|
Herausgeber |
Ein Benutzer könnte die Eigenschaften einer Datei ändern (indem er die Datei z. B. mit einem anderen Zertifikat neu signiert). |
Dateihash |
Ein Benutzer kann den Hashwert für eine Datei ändern. |
Pfad |
Ein Benutzer könnte die verweigerte Datei an einen anderen Speicherort verschieben und von dort ausführen. |
Wichtig
Wenn Sie die Aktion „Verweigern“ für Regeln verwenden, müssen Sie sicherstellen, dass Sie zunächst Regeln erstellen, die die Ausführung der Windows-Systemdateien zulassen. AppLocker erzwingt standardmäßig Regeln für zugelassene Anwendungen. Nachdem mindestens eine Regel für eine Regelsammlung erstellt wurde (die sich auf die Windows-Systemdateien auswirkt), wird nur die Ausführung der Apps zugelassen, die in der Liste als zugelassen angegeben sind. Wenn Sie daher in einer Regelsammlung eine einzelne Regel erstellen, um die Ausführung einer schädlichen Datei zu verhindern, unterbinden Sie auch die Ausführung aller anderen Dateien auf dem Computer.