AppLocker-Regelsammlungserweiterungen

In diesem Artikel werden die Regelsammlungserweiterungen beschrieben, die in Windows 10 und höher hinzugefügt wurden. Regelsammlungserweiterungen sind optionale Features, die nur für exe- und DLL-Regelsammlungen verfügbar sind. Konfigurieren Sie Regelsammlungserweiterungen, indem Sie ihre AppLocker-Richtlinien-XML direkt bearbeiten, wie im folgenden XML-Fragment gezeigt.

<RuleCollectionExtensions>
    <ThresholdExtensions>
        <Services EnforcementMode="Enabled"/>
    </ThresholdExtensions>
    <RedstoneExtensions>
        <SystemApps Allow="Enabled"/>
    </RedstoneExtensions>
</RuleCollectionExtensions>

Wichtig

Wenn Sie Ihrer AppLocker-Richtlinie Regelsammlungserweiterungen hinzufügen, müssen Sie sowohl ThresholdExtensions als auch RedstoneExtensions einschließen. Andernfalls führt Ihre Richtlinie zu unerwartetem Verhalten.

Erzwingung von Diensten

Standardmäßig gilt die AppLocker-Richtlinie nur für Code, der im Kontext eines Benutzers ausgeführt wird. Auf Windows 10, Windows 11 und Windows Server 2016 oder höher können Sie die AppLocker-Richtlinie auf Nichtbenutzerprozesse anwenden, einschließlich Diensten, die als SYSTEM ausgeführt werden. Sie müssen die Diensterzwingung aktivieren, wenn Sie AppLocker mit Windows Defender Verwalteten Installationsprogrammfeatures der Anwendungssteuerung (WDAC) verwenden.

Um die AppLocker-Richtlinie auf Nichtbenutzerprozesse anzuwenden, legen Sie <Services EnforcementMode="Enabled"/> im <ThresholdExtensions> Abschnitt fest, wie im vorherigen XML-Fragment gezeigt.

System-Apps

Wenn Sie AppLocker zum Steuern von Nichtbenutzerprozessen verwenden, muss Ihre Richtlinie den gesamten Windows-Systemcode zulassen, oder Ihr Gerät verhält sich bei der Nacht unerwartet. Um den gesamten Systemcode, der Teil von Windows ist, automatisch zuzulassen, legen Sie <SystemApps Allow="Enabled"/> im <RedstoneExtensions> Abschnitt fest, wie im vorherigen XML-Fragment gezeigt.