Grundlegendes zu AppLocker-Regelbedingungstypen
In diesem Thema für IT-Experten werden die drei Arten von AppLocker-Regelbedingungen beschrieben.
Regelbedingungen sind Kriterien, auf denen die AppLocker-Regel basiert. Primärbedingungen sind zum Erstellen einer AppLocker-Regel erforderlich. Die drei primären Regelbedingungen sind „Herausgeber“, „Pfad“ und „Dateihash“.
Herausgeber
Wenn Sie eine Herausgeberbedingung verwenden möchten, müssen die Dateien digital vom Softwareherausgeber signiert werden. Alternativ müssen Sie die Signierung mithilfe eines internen Zertifikats vornehmen. Auf Versionsebene angegebene Regeln müssen möglicherweise aktualisiert werden, wenn eine neue Dateiversion veröffentlicht wird. Weitere Infos zu dieser Regelbedingung finden Sie unter Grundlegendes zur Herausgeberregelbedingung in AppLocker.
Pfad
Dieser Regelbedingung können beliebige Dateien zugewiesen werden. Da in den Pfadregeln Speicherorte innerhalb des Dateisystems angegeben werden, wirkt sich die Regel auch auf beliebige Unterverzeichnisse aus (sofern dies nicht explizit ausgeschlossen wird). Weitere Infos über diese Regelbedingung finden Sie unter Grundlegendes zur Pfadregelbedingung in AppLocker.
Dateihash
Diese Regelbedingung kann jeder Datei zugewiesen werden. Allerdings muss die Regel jedes Mal aktualisiert werden, wenn eine neue Version der Datei freigegeben wird, da der Hashwert für die jeweilige Dateiversion eindeutig ist. Weitere Infos über diese Regelbedingung finden Sie unter Grundlegendes zur Dateihashregel-Bedingung in AppLocker.
Überlegungen
Die Auswahl der geeigneten Bedingung für jede Regel hängt von den Gesamtzielen im Hinblick auf die Anwendungssteuerungsrichtlinie der Organisation, der Verwaltung der AppLocker-Regeln und der Bedingung der vorhandenen (oder geplanten) Anwendungsbereitstellung ab. Mithilfe der folgenden Fragen können Sie leichter entscheiden, welche Regelbedingung verwendet werden sollte.
Wurde die Datei von einem Softwareherausgeber digital signiert?
Wenn die Datei von einem Softwareherausgeber signiert ist, empfehlen wir die Erstellung von Regeln mit Herausgeberbedingungen. Sie können weiterhin Dateihash- und Pfadbedingungen für signierte Dateien erstellen. Wenn die Datei allerdings nicht von einem Softwareherausgeber digital signiert wurde, können Sie:
die Datei mit einem internen Zertifikat signieren.
eine Regel mithilfe einer Dateihashbedingung erstellen.
eine Regel mithilfe einer Pfadbedingung erstellen.
Hinweis
Um zu bestimmen, wie viele Anwendungen auf einem Referenzcomputer digital signiert sind, können Sie das Get-AppLockerFileInformation Windows PowerShell-Cmdlet für ein Dateiverzeichnis verwenden. Durch
Get-AppLockerFileInformation –Directory C:\Windows\ -FileType EXE -recursewerden beispielsweise die Eigenschaften für alle EXE- und COM-Dateien innerhalb des Windows-Verzeichnisses angezeigt.
Welchen Regelbedingungstyp bevorzugt Ihre Organisation?
Wenn Ihre Organisation bereits Richtlinien für Softwareeinschränkung verwendet, um die durch Benutzer ausführbaren Dateien zu beschränken, sind möglicherweise bereits Regeln eingerichtet, die Dateihash- oder Pfadbedingungen verwenden.
Hinweis
Eine Liste der unterstützten Betriebssystemversionen und -editionen, auf die SRP- und AppLocker-Regeln angewendet werden können, finden Sie unter Anforderungen für die Verwendung von AppLocker.