Grundlegendes zu AppLocker-Richtlinienentwurfsentscheidungen
Dieses Thema für IT-Experten enthält Fragen zum Entwurf und mögliche Antworten. Außerdem wird erläutert, welche Auswirkungen Ihre Entwurfsentscheidungen haben, wenn Sie eine Bereitstellung von Anwendungssteuerungsrichtlinien mithilfe von AppLocker in einer Windows-Betriebssystemumgebung planen.
Zu Beginn des Entwurfs- und Planungsprozesses sollten Sie sich die Auswirkungen Ihrer Entwurfsentscheidungen vergegenwärtigen. Die Entscheidungen betreffen Ihr Richtlinienbereitstellungsschema und die nachfolgende Wartung der Anwendungssteuerungsrichtlinien.
Sie sollten den Einsatz von AppLocker im Rahmen Ihrer unternehmenseigenen Anwendungssteuerungsrichtlinien in Betracht ziehen, wenn alle folgenden Aussagen zutreffen:
Sie haben die unterstützten Windows-Versionen in Ihrer Organisation bereitgestellt oder planen deren Bereitstellung. Versionsanforderungen für bestimmte Betriebssystemversionen finden Sie unter Anforderungen für die Verwendung von AppLocker.
Sie möchten den Zugriff auf die Anwendungen Ihrer Organisation und die von Benutzern verwendeten Daten besser steuern.
Die Anzahl der Anwendungen in Ihrer Organisation ist bekannt und überschaubar.
Sie verfügen über Ressourcen, mit denen getestet werden kann, ob Richtlinien für die Anforderungen Ihrer Organisation geeignet sind.
Sie verfügen über Helpdeskressourcen oder die Möglichkeit, einen Selbsthilfeprozess einzurichten, der Endbenutzer bei Problemen mit dem Anwendungszugriff unterstützt.
Die Anforderungen der Gruppe an Produktivität, Verwaltbarkeit und Sicherheit können durch restriktive Richtlinien gesteuert werden.
Die folgenden Fragen weisen keine besondere Priorität oder Reihenfolge auf und sollten beim Bereitstellen von Anwendungssteuerungsrichtlinien berücksichtigt werden (sofern für Ihre Zielumgebung geeignet).
Welche Apps sollen in Ihrer Organisation gesteuert werden?
Möglicherweise müssen Sie eine begrenzte Anzahl von Apps steuern, da sie auf sensible Daten zugreifen, oder Sie müssen ggf. alle Anwendungen mit Ausnahme derjenigen ausschließen, die aus geschäftlichen Zwecken zugriffsberechtigt sind. Bestimmte Unternehmensgruppen erfordern u. U. eine strikte Steuerung, während andere die unabhängige Anwendungsnutzung begrüßen.
| Mögliche Antworten | Überlegungen zum Entwurf |
|---|---|
Steuern aller Apps |
AppLocker-Richtlinien steuern Anwendungen, indem eine Liste zugelassener Anwendungen nach Dateityp erstellt wird. Ausnahmen sind auch möglich. AppLocker-Richtlinien können nur auf Anwendungen angewendet werden, die auf Computern mit einer unterstützten Windows-Version installiert sind. Versionsanforderungen für bestimmte Betriebssystemversionen finden Sie unter Anforderungen für die Verwendung von AppLocker. |
Steuern bestimmter Apps |
Beim Erstellen von AppLocker-Regeln wird eine Liste zugelassener Apps erstellt. Alle Apps auf dieser Liste (mit Ausnahme der in der Ausnahmeliste) dürfen ausgeführt werden. Die Ausführung von Apps, die nicht in der Liste enthalten sind, wird verhindert. AppLocker-Richtlinien können nur auf Apps angewendet werden, die auf Computern mit einer unterstützten Windows-Version installiert sind. Versionsanforderungen für bestimmte Betriebssystemversionen finden Sie unter Anforderungen für die Verwendung von AppLocker. |
Steuern von klassischen Windows-Desktopanwendungen, universellen Windows-Apps oder beidem |
AppLocker-Richtlinien steuern Apps, indem eine Liste zugelassener Apps nach Dateityp erstellt wird. Da universelle Windows-Apps unter der Herausgeberbedingung kategorisiert sind, können klassische Windows-Desktopanwendungen und universelle Windows-Apps zusammen gesteuert werden. AppLocker-Richtlinien für universelle Windows-Apps können nur auf Apps angewendet werden, die auf PCs installiert sind, die den Windows Store unterstützen. Klassische Windows-Desktopanwendungen können jedoch unter allen unterstützten Windows-Versionen mit AppLocker gesteuert werden. Die Regeln, die Sie derzeit für klassische Windows-Desktopanwendungen konfiguriert haben, können beibehalten werden, und Sie können neue Regeln für universelle Windows-Apps erstellen. Ein Vergleich von klassischen Windows-Desktopanwendungen und universellen Windows-Apps finden Sie unter Vergleich zwischen klassischen Windows-Anwendungen und universellen Windows-Apps für AppLocker-Richtlinienentwurfsentscheidungen in diesem Thema. |
Steuern von Apps nach Unternehmensgruppe und Benutzer |
AppLocker-Richtlinien können durch ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) auf Computerobjekte innerhalb einer Organisationseinheit (OE) angewendet werden. Einzelne AppLocker-Regeln können auf individuelle Benutzer oder Benutzergruppen angewendet werden. |
Steuern von Apps nach Computer, nicht nach Benutzer |
AppLocker ist eine computerbasierte Richtlinienimplementierung. Wenn die Organisationsstruktur der Domäne oder des Standorts nicht auf einer logischen Benutzerstruktur wie z. B. eine OE basiert, sollten Sie diese Struktur einrichten, bevor Sie die AppLocker-Planung beginnen. Andernfalls müssen Sie Benutzer sowie deren Computer und Anforderungen für den App-Zugriff identifizieren. |
App-Verwendung verstehen, es müssen aber noch keine Apps gesteuert werden |
AppLocker-Richtlinien können für die Überwachung der App-Verwendung festgelegt werden, um einfacher nachzuverfolgen, welche Apps in Ihrer Organisation verwendet werden. Anschließend können Sie anhand des AppLocker-Ereignisprotokolls AppLocker-Richtlinien erstellen. |
Wichtig
Die folgende Liste enthält die Dateien oder Dateitypen, die nicht durch AppLocker verwaltet werden können:
AppLocker bietet keinen Schutz vor der Ausführung von 16-Bit-DOS-Binärdateien in einer NT Virtual DOS Machine (NTVDM). Diese Technologie ermöglicht die Ausführung älterer DOS- und 16-Bit-Windows-Programme auf Computern, die Intel 80386 oder höher verwenden, wenn die Hardware bereits durch ein anderes Betriebssystem ausgeführt und gesteuert wird. Dies führt dazu, dass 16-Bit-Binärdateien unter Windows Server 2008 R2 und Windows 7 ausgeführt werden können, auch wenn die AppLocker-Konfiguration Binärdateien und Bibliotheken blockiert. Falls die Ausführung von 16-Bit-Anwendungen verhindert werden muss, müssen Sie die Verweigerungsregel in der Sammlung ausführbarer Dateien für „NTVDM.exe“ konfigurieren.
Sie können AppLocker nicht dazu verwenden, die Codeausführung außerhalb des Win32-Subsystems zu verhindern. Dies gilt insbesondere für das POSIX-Subsystem in Windows NT. Falls es erforderlich ist, die Ausführung von Anwendungen im POSIX-Subsystem zu verhindern, müssen Sie das Subsystem deaktivieren.
AppLocker kann nur VBScript, JScript, BAT-Dateien, CMD-Dateien und Windows PowerShell-Skripts steuern. Er ist nicht in der Lage, den gesamten, innerhalb eines Hostprozesses ausgeführten interpretierten Code (z. B. Perl-Skripts und -Makros) zu steuern. Interpretierter Code ist eine Form ausführbaren Codes, der innerhalb eines Hostprozesses ausgeführt wird. Windows-Batchdateien („*.bat“) werden beispielsweise im Kontext des Windows-Befehlshosts („cmd.exe“) ausgeführt. Wenn interpretierter Code mithilfe von AppLocker gesteuert werden soll, muss der Hostprozess AppLocker vor der Ausführung des interpretierten Codes aufrufen und dann die von AppLocker zurückgegebene Entscheidung erzwingen. AppLocker wird nicht von allen Hostprozessen aufgerufen. Aus diesem Grund kann AppLocker nicht jede Art von interpretiertem Code steuern, z. B. Microsoft Office-Makros.
Wichtig
Es empfiehlt sich, geeignete Sicherheitseinstellungen für diese Hostprozesse zu konfigurieren, wenn Sie die Ausführung zulassen müssen. Stellen Sie durch die Konfiguration der Sicherheitseinstellungen in Microsoft Office z. B. sicher, dass nur signierte und vertrauenswürdige Makros geladen werden.
Durch AppLocker-Regeln wird der Start einer App entweder zugelassen oder verhindert. Das Verhalten der Apps nach dem Start wird von AppLocker nicht gesteuert. Anwendungen können an Funktionen übergebene Kennzeichen enthalten, die AppLocker die Umgehung der Regeln signalisieren und das Laden einer anderen EXE- oder DLL-Datei zulassen. In der Praxis könnte eine von AppLocker zugelassene App diese Kennzeichen verwenden, um AppLocker-Regeln zu umgehen und untergeordnete Prozesse zu starten. Sie müssen jede App mit einem für Ihre Zwecke geeigneten Verfahren gründlich prüfen, bevor Sie deren Ausführung unter Verwendung von AppLocker-Regeln zulassen.
Weitere Infos finden Sie unter Sicherheitsüberlegungen für AppLocker.
Vergleich zwischen klassischen Windows-Desktopanwendungen und universellen Windows-Apps für AppLocker-Richtlinienentwurfsentscheidungen
AppLocker-Richtlinien für universelle Windows-Apps können nur auf Apps angewendet werden, die auf Computern mit Windows-Betriebssystemen installiert sind, die Windows Store-Apps unterstützen. Klassische Windows-Desktopanwendungen können jedoch nicht nur unter Windows Server 2008 R2 und Windows 7, sondern auch auf Computern gesteuert werden, die universelle Windows-Apps unterstützen. Die Regeln für klassische Windows-Desktopanwendungen und universelle Windows-Apps können zusammen erzwungen werden. Folgende Unterschiede sollten bei universellen Windows-Apps berücksichtigt werden:
Alle universellen Windows-Apps können von einem Standardbenutzer installiert werden, während zur Installation einiger klassischer Windows-Desktopanwendungen Administratoranmeldeinformationen erforderlich sind. In einer Umgebung, in der die meisten Benutzer Standardbenutzer sind, werden zahlreiche EXE-Regeln u. U. nicht benötigt, für App-Pakete empfehlen sich aber ggf. explizitere Richtlinien.
Sie können klassische Windows-Desktopanwendungen schreiben, um den Systemstatus zu ändern, sofern sie mit Administratoranmeldeinformationen ausgeführt werden. Von den meisten universellen Windows-Apps kann der Systemstatus nicht geändert werden, da sie mit eingeschränkten Berechtigungen ausgeführt werden. Beim Entwerfen von AppLocker-Richtlinien ist es wichtig zu verstehen, ob eine von Ihnen zugelassene App systemübergreifende Änderungen vornehmen kann.
Universelle Windows-Apps sind im Store erhältlich oder können mithilfe von Windows PowerShell-Cmdlets quergeladen werden. Bei Verwendung von Windows PowerShell-Cmdlets ist eine spezielle Unternehmenslizenz erforderlich, um universelle Windows-Apps zu erwerben. Klassische Windows-Desktopanwendungen können auf herkömmliche Weise erworben werden, z. B. über Softwareanbieter oder im Einzelhandel.
AppLocker steuert universelle Windows-Apps und klassische Windows-Desktopanwendungen mit verschiedenen Regelsammlungen. Sie können wahlweise universelle Windows-Apps, klassische Windows-Desktopanwendungen oder beides steuern.
Weitere Infos finden Sie unter Regeln für App-Pakete und App-Paket-Installer in AppLockerr.
Wie steuern Sie derzeit die App-Verwendung in Ihrer Organisation?
Die meisten Organisationen haben im Laufe der Zeit Richtlinien und Methoden für die App-Steuerung entwickelt. Aufgrund gestiegener Sicherheitsanforderungen und einer stärkeren Kontrolle der Desktopnutzung durch die IT entscheidet sich Ihre Organisation möglicherweise, die Methoden für die App-Steuerung zu konsolidieren oder ein umfassendes Anwendungssteuerungsschema zu entwerfen. AppLocker bietet gegenüber SRP Verbesserungen an der Architektur und Verwaltung der Anwendungssteuerungsrichtlinien.
| Mögliche Antworten | Überlegungen zum Entwurf |
|---|---|
Sicherheitsrichtlinien (lokal oder über eine Gruppenrichtlinie festgelegt) |
Die Planung der richtigen Richtlinien ist bei Verwendung von AppLocker aufwendiger, führt aber zu einer einfacheren Verteilungsmethode. |
App-Steuerungssoftware, die nicht von Microsoft stammt |
Die Verwendung von AppLocker erfordert eine vollständige Auswertung und Implementierung der App-Steuerungsrichtlinien. |
Verwaltete Verwendung nach Gruppe oder OE |
Die Verwendung von AppLocker erfordert eine vollständige Auswertung und Implementierung der App-Steuerungsrichtlinien. |
Autorisierungs-Manager oder andere rollenbasierte Zugriffstechnologien |
Die Verwendung von AppLocker erfordert eine vollständige Auswertung und Implementierung der App-Steuerungsrichtlinien. |
Sonstige |
Die Verwendung von AppLocker erfordert eine vollständige Auswertung und Implementierung der App-Steuerungsrichtlinien. |
Welche Windows-Desktop- und -Serverbetriebssysteme werden in Ihrer Organisation ausgeführt?
Wenn Ihre Organisation mehrere Windows-Betriebssysteme unterstützt, wird die Planung der App-Steuerungsrichtlinien komplexer. In Ihren anfänglichen Entwurfsentscheidungen sollten die Sicherheits- und Verwaltungsprioritäten von Anwendungen berücksichtigt werden, die unter den einzelnen Betriebssystemversionen installiert sind.
| Mögliche Antworten | Überlegungen zum Entwurf |
|---|---|
Auf den Computern Ihrer Organisation wird eine Kombination aus folgenden Betriebssystemen ausgeführt:
|
AppLocker-Regeln werden nur auf Computer angewendet, auf denen die unterstützten Windows-Versionen ausgeführt werden. SRP-Regel können jedoch auf alle Windows-Versionen ab Windows XP und Windows Server 2003 SRP angewendet werden. Versionsanforderungen für bestimmte Betriebssystemversionen finden Sie unter Anforderungen für die Verwendung von AppLocker. HinweisWenn Sie die in SRP zugewiesene Sicherheitsstufe „Standardbenutzer“ verwenden, werden diese Berechtigungen auf Computern, auf denen AppLocker ausgeführt wird, nicht unterstützt. AppLocker-Richtlinien, die über ein GPO angewendet werden, haben Vorrang vor SRP-Richtlinien im gleichen oder verknüpften GPO. SRP-Richtlinien können auf die gleiche Weise erstellt und verwaltet werden. |
Auf den Computern Ihrer Organisation werden ausschließlich folgende Betriebssysteme ausgeführt:
|
Verwenden Sie AppLocker, um Ihre Anwendungssteuerungsrichtlinien zu erstellen. |
Gibt es bestimmte Gruppen in Ihrer Organisation, die benutzerdefinierte Anwendungssteuerungsrichtlinien benötigen?
Die meisten Unternehmensgruppen bzw. Abteilungen verfügen über spezifische Sicherheitsanforderungen für den Datenzugriff und die für den Datenzugriff verwendeten Anwendungen. Sie sollten den Projektumfang für die einzelnen Gruppen und die Gruppenprioritäten beachten, bevor Sie Anwendungssteuerungsrichtlinien für die gesamte Organisation bereitstellen.
| Mögliche Antworten | Überlegungen zum Entwurf |
|---|---|
Ja |
Sie müssen für jede Gruppe eine Liste erstellen, die ihre Anwendungssteuerungsanforderungen enthält. Obwohl dies die Planungszeit verlängern kann, erhalten Sie wahrscheinlich eine effektivere Bereitstellung. Wenn Ihre GPO-Struktur aktuell nicht so konfiguriert ist, dass Sie verschiedene Richtlinien auf bestimmte Gruppen anwenden können, haben Sie alternativ die Möglichkeit, AppLocker-Regeln in einem GPO auf spezifische Benutzergruppen anzuwenden. |
Nein |
AppLocker-Richtlinien können global auf Anwendungen angewendet werden, die auf PCs mit den unter Anforderungen für die Verwendung von AppLocker aufgeführten, unterstützten Windows-Versionen installiert sind. Abhängig von der Anzahl der zu steuernden Apps kann die Verwaltung aller Regeln und Ausnahmen eine Herausforderung darstellen. |
Verfügt Ihre IT-Abteilung über Ressourcen zum Analysieren der Anwendungsverwendung und zum Entwerfen und Verwalten der Richtlinien?
Die Zeit und Ressourcen, die Ihnen für die Recherche und Analyse zur Verfügung stehen, können sich auf die Ausführlichkeit Ihres Plans und die Prozesse für die laufende Richtlinienverwaltung und -wartung auswirken.
| Mögliche Antworten | Überlegungen zum Entwurf |
|---|---|
Ja |
Investieren Sie Zeit, um die Anforderungen Ihrer Organisation an die Anwendungssteuerung zu analysieren, und planen Sie eine vollständige Bereitstellung mit Regeln, die so einfach wie möglich aufgebaut sind. |
Nein |
Ziehen Sie eine fokussierte und schrittweise Bereitstellung für spezifische Gruppen in Erwägung, indem Sie eine kleine Anzahl von Regeln verwenden. Lassen Sie Ihre Erfahrungen, die Sie bei der Anwendungssteuerung in einer bestimmten Gruppe machen, in die Planung Ihrer nächsten Bereitstellung einfließen. |
Verfügt Ihre Organisation über Helpdeskunterstützung?
Wenn Ihre Benutzer am Zugriff auf bekannte, bereitgestellte oder persönliche Anwendungen gehindert werden sollen, ist anfänglich ein intensiverer Endbenutzersupport erforderlich. Ihre Organisation muss verschiedene Supportfragen klären, damit Sicherheitsrichtlinien befolgt und Geschäftsabläufe nicht behindert werden.
| Mögliche Antworten | Überlegungen zum Entwurf |
|---|---|
Ja |
Beziehen Sie die Supportabteilung frühzeitig in die Planungsphase ein, da Benutzer versehentlich an der Verwendung ihrer Anwendungen gehindert werden können oder u. U. Ausnahmegenehmigungen zur Verwendung bestimmter Anwendungen benötigen. |
Nein |
Investieren Sie vor der Bereitstellung Zeit in die Ausarbeitung von Onlinesupportprozessen und deren Dokumentation. |
Wissen Sie, welche Anwendungen restriktive Richtlinien erfordern?
Die erfolgreiche Implementierung von Anwendungssteuerungsrichtlinien basiert auf Ihren Kenntnissen und Ihrem Verständnis der App-Verwendung innerhalb der Organisation oder Unternehmensgruppe. Darüber hinaus hängt der Anwendungssteuerungsentwurf von den Sicherheitsanforderungen für Daten und die Apps ab, die auf diese Daten zugreifen.
| Mögliche Antworten | Überlegungen zum Entwurf |
|---|---|
Ja |
Sie sollten die Prioritäten der Anwendungssteuerung für eine Unternehmensgruppe bestimmen und dann versuchen, das einfachste Schema für ihre Anwendungssteuerungsrichtlinien zu entwerfen. |
Nein |
Sie müssen ein Projekt zur Überprüfung und Anforderungserfassung durchführen, um die Anwendungsverwendung zu ermitteln. AppLocker stellt die Methoden zum Bereitstellen von Richtlinien im Modus Nur überwachen und die Tools zum Anzeigen der Ereignisprotokolle zur Verfügung. |
Wie verfahren Sie, um (aktualisierte oder neue) Anwendungen in Ihrer Organisation bereitzustellen oder zu genehmigen?
Die erfolgreiche Implementierung von Anwendungssteuerungsrichtlinien basiert auf Ihren Kenntnissen und Ihrem Verständnis der Anwendungsverwendung innerhalb der Organisation oder Unternehmensgruppe. Darüber hinaus hängt der Anwendungssteuerungsentwurf von den Sicherheitsanforderungen für Daten und die Anwendungen ab, die auf diese Daten zugreifen. Das Verständnis der Upgrade- und Bereitstellungsrichtlinie hilft bei der Erstellung geeigneter Anwendungssteuerungsrichtlinien.
| Mögliche Antworten | Überlegungen zum Entwurf |
|---|---|
Ad-hoc |
Sie müssen die Anforderungen jeder Gruppe erfassen. Einige Gruppen benötigen vielleicht uneingeschränkte Zugriffs- oder Installationsberechtigungen, während andere strenge Kontrollen erfordern. |
Strenge schriftliche Richtlinien müssen befolgt werden |
Sie müssen AppLocker-Regeln entwickeln, die diese Richtlinien widerspiegeln, und die Regeln anschließend testen und verwalten. |
Kein Prozess vorhanden |
Sie müssen bestimmen, ob und für welche Gruppen Ihnen die Ressourcen zum Entwickeln einer Anwendungssteuerungsrichtlinie zur Verfügung stehen. |
Stellt Ihre Organisation bereits SRP bereit?
Obwohl SRP und AppLocker dasselbe Ziel verfolgen, ist AppLocker das Ergebnis einer umfangreichen Überarbeitung von SRP.
| Mögliche Antworten | Überlegungen zum Entwurf |
|---|---|
Ja |
Obwohl Sie mit AppLocker keine SRP-Einstellungen verwalten können, kann SRP zum Verwalten von Anwendungssteuerungsrichtlinien auf Computern verwendet werden, auf denen eines der unter Anforderungen für die Verwendung von AppLocker aufgelisteten, unterstützten Betriebssysteme ausgeführt wird. Wenn AppLocker- und SRP-Einstellungen im selben GPO konfiguriert sind, werden auf Computern mit den unterstützten Betriebssystemen darüber hinaus nur die AppLocker-Einstellungen erzwungen. HinweisWenn Sie die in SRP zugewiesene Sicherheitsstufe „Standardbenutzer“ verwenden, werden diese Berechtigungen auf Computern, auf denen die unterstützten Betriebssysteme ausgeführt werden, nicht unterstützt. |
Nein |
Für AppLocker konfigurierte Richtlinien können nur auf Computer mit den unterstützten Betriebssystemen angewendet werden. Allerdings ist SRP auf diesen Betriebssystemen ebenfalls verfügbar. |
Welche Prioritäten hat Ihre Organisation beim Implementieren von Anwendungssteuerungsrichtlinien?
Einige Unternehmen profitieren von Anwendungssteuerungsrichtlinien durch eine höhere Produktivität oder Konformität, während andere bei der Durchführung ihrer Aufgaben behindert werden. Diese Aspekte sollten für jede Gruppe vorrangig behandelt werden, damit die Effektivität von AppLocker beurteilt werden kann.
| Mögliche Antworten | Überlegungen zum Entwurf |
|---|---|
Produktivität: Die Organisation gewährleistet, dass die Tools funktionieren und erforderliche Anwendungen installiert werden können. |
Zur Erreichung der Innovations- und Produktivitätsziele müssen einige Gruppen in der Lage sein, unterschiedliche Software – einschließlich selbst entwickelter Software – aus verschiedenen Quellen zu installieren und auszuführen. Daher ist die Verwaltung von Anwendungssteuerungsrichtlinien durch eine Liste zugelassener Anwendungen möglicherweise zeitraubend und ein Hindernis für weitere Fortschritte, wenn Innovation und Produktivität im Vordergrund stehen. |
Verwaltung: Die Organisation kennt und steuert die von ihr unterstützten Apps. |
In einigen Unternehmensgruppen kann die Anwendungsverwendung über einen zentralen Steuerungspunkt verwaltet werden. Zu diesem Zweck können AppLocker-Richtlinien in ein GPO integriert werden. Dadurch geht die Verwaltung des App-Zugriffs auf die IT-Abteilung über, was gleichzeitig aber auch den Vorteil hat, dass die Anzahl der ausführbaren Apps und deren Versionen gesteuert werden können. |
Sicherheit: Die Organisation muss Daten teilweise schützen, indem ausschließlich genehmigte Apps verwendet werden. |
AppLocker erleichtert den Schutz von Daten, indem einer festgelegten Gruppe von Benutzern Zugriff auf die Apps gewährt wird, die wiederum auf die Daten zugreifen. Wenn die Sicherheit Vorrang hat, werden die restriktivsten Anwendungssteuerungsrichtlinien verwendet. |
Wie greifen Benutzer in Ihrer Organisation derzeit auf Apps zu?
AppLocker ist sehr effektiv für Organisationen mit Anwendungseinschränkungsanforderungen, wenn deren Umgebungen eine einfache Topografie aufweisen und deren Anwendungssteuerungsrichtlinien-Ziele überschaubar sind. Beispielsweise kann AppLocker eine Umgebung unterstützen, in der Nicht-Mitarbeiter Zugriff auf Computer haben, die mit dem Organisationsnetzwerk verbunden sind, wie dies beispielsweise bei einer Schule oder Bibliothek der Fall ist. Auch große Organisationen profitieren ebenfalls von der Bereitstellung der AppLocker-Richtlinien, wenn das Ziel darin besteht, die Steuerung auf detaillierter Ebene umzusetzen, und zwar für Desktopcomputer mit einer relativ kleinen Anzahl zu verwaltender Anwendungen oder für Anwendungen, die sich mit einer geringen Anzahl von Regeln verwalten lassen.
| Mögliche Antworten | Überlegungen zum Entwurf |
|---|---|
Der Benutzerzugriff erfolgt ohne Administratorrechte. Apps werden mithilfe einer Installationsbereitstellungstechnologie installiert. |
AppLocker hilft Unternehmensgruppen, die in der Regel eine begrenzte Gruppe von Apps nutzen (z. B. Personal- und Finanzabteilungen), die Gesamtbetriebskosten zu senken. Gleichzeitig greifen diese Abteilungen auf hochsensible Daten zu, die oftmals sensible und betriebsinterne Informationen enthalten. Wenn Sie mithilfe von AppLocker Regeln für bestimmte Apps erstellen, die ausgeführt werden dürfen, können Sie nicht autorisierte Anwendungen am Zugriff auf diese Informationen hindern. HinweisAppLocker unterstützt Organisationen, in denen Benutzer mit Administratorberechtigungen arbeiten, auch bei der Erstellung standardisierter Desktops. Es muss jedoch beachtet werden, dass Benutzer mit Administratoranmeldeinformationen der lokalen AppLocker-Richtlinie neue Regeln hinzufügen können. |
Benutzer müssen bei Bedarf Anwendungen installieren können. Benutzer verfügen derzeit über Administratorzugriff, und es wäre schwierig, diesen Zugriff zu ändern. |
Die Erzwingung von AppLocker-Regeln ist für Unternehmensgruppen, die in der Lage sein müssen, bei Bedarf und ohne Genehmigung der IT-Abteilung Apps zu installieren, nicht geeignet. Wenn diese Anforderung auf mindestens eine OE in Ihrer Organisation zutrifft, können Sie mithilfe von AppLocker festlegen, dass in dieser OE keine Anwendungsregeln erzwungen werden, oder die Erzwingungseinstellung Nur überwachen implementieren. |
Basiert die Struktur in Active Directory-Domänendiensten auf der Organisationshierarchie?
Der Entwurf von Anwendungssteuerungsrichtlinien auf Grundlage einer Organisationsstruktur, die bereits in Active Directory-Domänendienste (AD DS) integriert ist, ist einfacher, als die vorhandene Struktur in eine Organisationsstruktur umzuwandeln. Da die Wirksamkeit von Anwendungssteuerungsrichtlinien von der Möglichkeit abhängt, Richtlinien zu aktualisieren, sollten Sie überlegen, welche organisatorischen Aufgaben noch erledigt werden müssen, bevor die Bereitstellung beginnt.
| Mögliche Antworten | Überlegungen zum Entwurf |
|---|---|
Ja |
AppLocker-Regeln können auf Grundlage Ihrer AD DS-Struktur mithilfe von Gruppenrichtlinien entwickelt und implementiert werden. |
Nein |
Die IT-Abteilung muss ein Schema erstellen, mit dem identifiziert werden kann, auf welche Weise Anwendungssteuerungsrichtlinien auf den richtigen Benutzer oder Computer angewendet werden können. |
Aufzeichnen der Ergebnisse
Im nächsten Schritt des Verfahrens müssen Ihre Antworten auf die obigen Fragen aufgezeichnet und analysiert werden. Wenn AppLocker die richtige Lösung für Ihre Ziele ist, können Sie diese mithilfe der Anwendungssteuerungsrichtlinien festlegen und AppLocker-Regeln planen. Am Ende dieses Verfahrens erstellen Sie ein Planungsdokument.
Infos zum Festlegen der Ziele, die mit Richtlinien umgesetzt werden sollen, finden Sie unter Ermitteln Ihrer Anwendungssteuerungsziele.
Infos über das Erstellen dieses Planungsdokuments finden Sie unter Erstellen Ihres AppLocker-Planungsdokuments.