Überwachen der App-Verwendung mithilfe von AppLocker

In diesem Artikel für IT-Experten wird beschrieben, wie Sie die App-Nutzung überwachen, wenn AppLocker-Richtlinien angewendet werden.

Nachdem Sie AppLocker-Richtlinien bereitgestellt haben, überwachen Sie die Auswirkungen auf Geräte, um sicherzustellen, dass die Ergebnisse ihren Erwartungen entsprechen.

Ermitteln der Auswirkungen einer AppLocker-Richtlinie

Sie können bewerten, wie die AppLocker-Richtlinie derzeit zu Dokumentations- oder Überwachungszwecken implementiert wird oder bevor Sie die Richtlinie ändern. Wenn Sie Ihr Dokument zur Planung der AppLocker-Richtlinienbereitstellung aktualisieren, können Sie Ihre Ergebnisse nachverfolgen. Sie können einen oder mehrere der folgenden Schritte ausführen, um zu verstehen, welche Anwendungssteuerelemente derzeit durch AppLocker-Regeln erzwungen werden.

  • Analysieren der AppLocker-Protokolle in Ereignisanzeige

    Wenn die AppLocker-Richtlinienerzwingung auf Regeln erzwingen festgelegt ist, werden alle Dateien blockiert, die von Ihrer Richtlinie nicht zulässig sind. In diesem Fall wird ein Ereignis im AppLocker-Ereignisprotokoll für die Regelsammlung ausgelöst. Wenn die AppLocker-Richtlinienerzwingung auf Nur Überwachen festgelegt ist, werden Regeln nicht erzwungen, sondern dennoch ausgewertet, um Überwachungsereignisdaten zu generieren, die in die AppLocker-Protokolle geschrieben werden.

    Weitere Informationen zum Verfahren für den Zugriff auf das Protokoll finden Sie unter Anzeigen des AppLocker-Ereignisanzeige.

  • Aktivieren der Erzwingungseinstellung "Nur AppLocker überwachen"

    Mithilfe der Einstellung Nur überwachen können Sie sicherstellen, dass die AppLocker-Regeln für Ihre organization ordnungsgemäß konfiguriert sind. Wenn die AppLocker-Richtlinienerzwingung auf Nur Überwachen festgelegt ist, werden nur Regeln ausgewertet, aber alle ereignisse, die aus dieser Auswertung generiert werden, werden in das AppLocker-Protokoll geschrieben.

    Weitere Informationen zum Verfahren für diese Konfiguration finden Sie unter Konfigurieren einer AppLocker-Richtlinie nur für die Überwachung.

  • Überprüfen von AppLocker-Ereignissen mit Get-AppLockerFileInformation

    Sowohl für Ereignisabonnements als auch für lokale Ereignisse können Sie das Cmdlet Get-AppLockerFileInformation Windows PowerShell verwenden, um zu bestimmen, welche Dateien blockiert wurden oder blockiert werden (wenn Sie den Überwachungsmodus nur verwenden) und wie oft das Blockereignis für jede Datei aufgetreten ist.

    Weitere Informationen zum Verfahren für diese Überprüfung finden Sie unter Überprüfen von AppLocker-Ereignissen mit Get-AppLockerFileInformation.

  • Überprüfen von AppLocker-Ereignissen mit Test-AppLockerPolicy

    Sie können das Cmdlet Test-AppLockerPolicy Windows PowerShell verwenden, um zu bestimmen, ob sich eine der Regeln in Ihren Regelsammlungen auf Dateien auswirkt, die auf Ihrem Referenzgerät oder auf dem Gerät ausgeführt werden, auf dem Sie Richtlinien verwalten.

    Weitere Informationen zum Verfahren für diesen Test finden Sie unter Testen einer AppLocker-Richtlinie mithilfe von Test-AppLockerPolicy.

Überprüfen von AppLocker-Ereignissen mit Get-AppLockerFileInformation

Sowohl für Ereignisabonnements als auch für lokale Ereignisse können Sie das Cmdlet Get-AppLockerFileInformation Windows PowerShell verwenden, um zu bestimmen, welche Dateien blockiert wurden oder blockiert werden (wenn die Einstellung Nur Überwachen der Erzwingung angewendet wird) und wie oft das Blockereignis für jede Datei aufgetreten ist.

Die Mitgliedschaft in der lokalen Administratorgruppe oder einer entsprechenden Gruppe ist mindestens erforderlich, um dieses Verfahren abzuschließen.

Hinweis

Wenn sich die AppLocker-Protokolle nicht auf Ihrem lokalen Gerät befinden, benötigen Sie die Berechtigung zum Anzeigen der Protokolle. Wenn die Ausgabe in einer Datei gespeichert wird, benötigen Sie die Berechtigung zum Lesen dieser Datei.

So überprüfen Sie AppLocker-Ereignisse mit Get-AppLockerFileInformation

  1. Geben Sie an der Eingabeaufforderung PowerShell ein, und drücken Sie dann die EINGABETASTE.

  2. Führen Sie den folgenden Befehl aus, um zu überprüfen, wie oft Ihre AppLocker-Richtlinie eine Datei nicht zulässt:

    Get-AppLockerFileInformation -EventLog -EventType Audited -Statistics
    
  3. Führen Sie den folgenden Befehl aus, um zu überprüfen, wie oft eine Datei ausgeführt oder verhindert wurde:

    Get-AppLockerFileInformation -EventLog -EventType Allowed -Statistics
    

Anzeigen der AppLocker-Ereignisanzeige

Wenn die AppLocker-Richtlinienerzwingung auf Regeln erzwingen festgelegt ist, werden alle Dateien blockiert, die von Ihrer Richtlinie nicht zulässig sind. In diesem Fall wird ein Ereignis im AppLocker-Ereignisprotokoll für die Regelsammlung ausgelöst. Wenn die AppLocker-Richtlinienerzwingung auf Nur Überwachen festgelegt ist, werden Regeln nicht erzwungen, sondern dennoch ausgewertet, um Überwachungsereignisdaten zu generieren, die in die AppLocker-Protokolle geschrieben werden.

Die Mitgliedschaft in der lokalen Administratorgruppe oder einer entsprechenden Gruppe ist mindestens erforderlich, um dieses Verfahren abzuschließen.

So zeigen Sie Ereignisse im AppLocker-Protokoll mithilfe von Ereignisanzeige

  1. Um Ereignisanzeige zu öffnen, wechseln Sie zum Startmenü, geben Sie eventvwr.msc ein, und drücken Sie dann die EINGABETASTE.
  2. Doppelklicken Sie in der Konsolenstruktur unter Anwendungs- und Dienstprotokolle\Microsoft\Windows auf AppLocker.

AppLocker-Ereignisse werden entweder im EXE- und DLL-Protokoll , im MSI- und Skriptprotokoll oder im Paket-App-Bereitstellungs - oder Paket-App-Ausführungsprotokoll aufgeführt. Zu den Ereignisinformationen gehören die Erzwingungseinstellung, der Dateiname, das Datum und die Uhrzeit sowie der Benutzername. Die Protokolle können zur weiteren Analyse in andere Dateiformate exportiert werden.