Verwenden von Softwareeinschränkungs- und AppLocker-Richtlinien
In diesem Thema für IT-Spezialisten wird die Verwendung von Richtlinien für Softwareeinschränkung (Software Restriction Policies, SRP) und AppLocker-Richtlinien in derselben Windows-Bereitstellung beschrieben.
Grundlegendes zum Unterschied zwischen SRP und AppLocker
Es ist ratsam, Anwendungssteuerungsrichtlinien in Windows-Betriebssystemen vor Windows Server 2008 R2 oder Windows 7 bereitzustellen. AppLocker-Richtlinien können nur für die unter Anforderungen für die Verwendung von AppLocker aufgeführten unterstützten Versionen und Editionen von Windows verwendet werden. Allerdings können Sie SRP für diese unterstützten Editionen von Windows plus Windows Server 2003 und Windows XP verwenden. Informationen zum Vergleich von Features und Funktionen in SRP und AppLocker, damit Sie ermitteln können, wann Sie die jeweilige Technologie für Ihre Anwendungssteuerungsziele verwenden, finden Sie unter Ermitteln Ihrer Anwendungssteuerungsziele.
Verwenden von SRP und AppLocker in derselben Domäne
SRP und AppLocker verwenden die Gruppenrichtlinie für die Domänenverwaltung. Allerdings haben, wenn von SRP und AppLocker generierte Richtlinien in derselben Domäne vorhanden sind und durch die Gruppenrichtlinie angewendet werden, AppLocker-Richtlinien Vorrang vor von SRP generierten Richtlinien auf Computern mit einem Betriebssystem, das AppLocker unterstützt. Informationen dazu, wie die Vererbung in „Gruppenrichtlinie“ für AppLocker-Richtlinien und von SRP generierten Richtlinien gilt, finden Sie unter Grundlegendes zu AppLocker-Regeln und zur Erzwingungseinstellungsvererbung in „Gruppenrichtlinie“.
Wichtig
Empfehlung: Verwenden Sie separate Gruppenrichtlinienobjekte, um die SRP- und AppLocker-Richtlinien zu implementieren. Kombinieren Sie sie nicht im selben Gruppenrichtlinienobjekt, um die Problembehandlung zu reduzieren.
Das folgende Szenario enthält ein Beispiel, wie sich jeder Richtlinientyp auf eine Bank Teller-Software-App auswirken würde, bei der die App auf verschiedenen Windows-Desktopbetriebssystemen bereitgestellt und vom Tellers-GPO verwaltet wird.
Betriebssystem | Tellers-GPO mit AppLocker-Richtlinie | Tellers-GPO mit SRP | Tellers-GPO mit AppLocker-Richtlinie und SRP |
---|---|---|---|
Windows 10, Windows 8.1, Windows 8 und Windows 7 |
AppLocker-Richtlinien im Gruppenrichtlinienobjekt werden angewendet und lösen alle lokalen AppLocker-Richtlinien ab. |
Lokale AppLocker-Richtlinien lösen von SRP generierte Richtlinien ab, die über das Gruppenrichtlinienobjekt angewendet werden. |
AppLocker-Richtlinien im Gruppenrichtlinienobjekt werden angewendet und lösen die von SRP im GPO generierten Richtlinien und lokale AppLocker-Richtlinien oder von SRP generierte Richtlinien ab. |
Windows Vista |
AppLocker-Richtlinien werden nicht angewendet. |
Von SRP im GPO generierte Richtlinien werden angewendet und lösen von SRP generierte lokale Richtlinien ab. AppLocker-Richtlinien werden nicht angewendet. |
Von SRP im GPO generierte Richtlinien werden angewendet und lösen von SRP generierte lokale Richtlinien ab. AppLocker-Richtlinien werden nicht angewendet. |
Windows XP |
AppLocker-Richtlinien werden nicht angewendet. |
Von SRP im GPO generierte Richtlinien werden angewendet und lösen von SRP generierte lokale Richtlinien ab. AppLocker-Richtlinien werden nicht angewendet. |
Von SRP im GPO generierte Richtlinien werden angewendet und lösen von SRP generierte lokale Richtlinien ab. AppLocker-Richtlinien werden nicht angewendet. |
Hinweis
Weitere Informationen zu unterstützten Versionen und Editionen des Windows-Betriebssystems finden Sie unter Anforderungen für die Verwendung von AppLocker.
Testen und Validieren von SRPs und AppLocker-Richtlinien, die in derselben Umgebung bereitgestellt werden
Da SRPs und AppLocker-Richtlinien unterschiedlich funktionieren, sollten sie nicht im selben Gruppenrichtlinienobjekt implementiert werden. Dadurch wird das Testen des Ergebnisses der Richtlinie unkompliziert, was wichtig für das erfolgreiche Steuern der Anwendungsverwendung in der Organisation ist. Das Konfigurieren eines Test- und Richtlinienverteilungssystems kann Ihnen helfen, das Ergebnis einer Richtlinie zu verstehen. Die Auswirkungen der von SRP generierten Richtlinien und von AppLocker-Richtlinien müssen separat und mit verschiedenen Tools getestet werden.
Schritt 1: Testen der Auswirkungen von SRPs
Sie können mithilfe der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) oder des Richtlinienergebnissatz-Snap-Ins die Auswirkungen der Anwendung von SRPs mithilfe von Gruppenrichtlinienobjekten ermitteln.
Schritt 2: Testen der Auswirkungen von AppLocker-Richtlinien
Sie können AppLocker-Richtlinien mithilfe von Windows PowerShell-Cmdlets testen. Informationen zum Untersuchen des Ergebnisses einer Richtlinie finden Sie unter:
Eine weitere Methode zum Ermitteln des Ergebnisses einer Richtlinie ist das Festlegen des Erzwingungsmodus auf Nur überwachen. Nach der Bereitstellung der Richtlinie werden Ereignisse in die AppLocker-Protokolle geschrieben, als ob die Richtlinie umgesetzt worden wäre. Informationen zur Verwendung des Modus Nur überwachen finden Sie unter:
Grundlegendes zu AppLocker-Erzwingungseinstellungen
Konfigurieren einer AppLocker-Richtlinie für reine Überwachungszwecke