Erstellen einer Regel für App-Pakete
In diesem Artikel für IT-Experten erfahren Sie, wie Sie eine AppLocker-Regel für gepackte Apps mit einer Herausgeberbedingung erstellen.
Gepackte Apps basieren auf einem App-Modell, das sicherstellt, dass alle Dateien in einem App-Paket dieselbe Identität verwenden. Daher ist es möglich, die gesamte App mit einer einzelnen AppLocker-Regel zu steuern, im Gegensatz zu nicht gepackten Apps, bei denen jede Datei innerhalb der App eine eindeutige Identität aufweisen könnte. Alle gepackten Apps müssen signiert sein. AppLocker unterstützt nur Herausgeberregeln für gepackte Apps. Eine Herausgeberregel für eine gepackte App basiert auf den folgenden Informationen:
- Herausgeber des Pakets
- Paketname
- Paketversion
Alle Dateien in einem Paket und die Paketinstallationsprogramme teilen diese Attribute. Daher steuert eine AppLocker-Regel für eine gepackte App sowohl die Installation als auch die Ausführung der App. Andernfalls verhalten sich die Herausgeberregeln für gepackte Apps genauso wie in anderen Regelsammlungen.
Informationen zur Herausgeberbedingung finden Sie unter Grundlegendes zur Herausgeberregelbedingung in AppLocker.
Um eine AppLocker-Richtlinie in einem Gruppenrichtlinie Object (GPO) zu verwalten, können Sie diese Aufgabe mithilfe der Gruppenrichtlinie Management Console ausführen. Verwenden Sie zum Verwalten einer AppLocker-Richtlinie für den lokalen Computer oder zur Verwendung in einer Sicherheitsvorlage das Snap-In Lokale Sicherheitsrichtlinie. Informationen zur Verwendung dieser MMC-Snap-Ins zum Verwalten von AppLocker finden Sie unter Verwalten von AppLocker.
So erstellen Sie eine gepackte App-Regel
Öffnen Sie die AppLocker-Konsole.
Wählen Sie im Menü Aktion oder durch Klicken mit der rechten Maustaste auf App-Gepackte Regeln die Option Neue Regel erstellen aus.
Wählen Sie auf der Seite Before You Begin (Vorbereitung ) die Option Weiter aus.
Wählen Sie auf der Seite Berechtigungen die Aktion (Zulassen oder Verweigern) und den Benutzer oder die Gruppe aus, auf die bzw. die die Regel angewendet werden soll, und wählen Sie dann Weiter aus.
Auf der Seite Herausgeber können Sie einen bestimmten Verweis für die gepackte App-Regel auswählen und den Bereich für die Regel festlegen. In der folgenden Tabelle werden die Verweisoptionen beschrieben.
Selection Beschreibung Beispiel Verwenden einer installierten gepackten App als Referenz Wenn diese Option ausgewählt ist, müssen Sie eine app auswählen, die bereits installiert ist, auf der Ihre neue Regel basieren soll. AppLocker verwendet den Herausgeber, den Paketnamen und die Paketversion, um die Regel zu definieren. Sie möchten, dass die Gruppe "Sales" nur die App mit dem Namen "Microsoft.BingMaps" für externe Verkaufsanrufe verwendet. Die Microsoft.BingMaps-App ist bereits auf dem Gerät installiert, auf dem Sie die Regel erstellen. Wählen Sie daher diese Option aus. Wählen Sie dann die App aus der Liste der auf dem Computer installierten Apps aus, und erstellen Sie die Regel mithilfe dieser App als Referenz. Verwenden eines gepackten App-Installationsprogramms als Referenz Wenn diese Option ausgewählt ist, müssen Sie für AppLocker ein App-Installationsprogramm auswählen, auf dem Die neue Regel basieren soll. Ein gepacktes App-Installationsprogramm verfügt über die .appx-Erweiterung. AppLocker verwendet den Herausgeber, den Paketnamen und die Paketversion des Installers, um die Regel zu definieren. Ihr Unternehmen entwickelt viele interne branchenspezifische gepackte Apps. Die App-Installationsprogramme werden auf einer gemeinsamen Dateifreigabe gespeichert. Mitarbeiter können die erforderlichen Apps aus dieser Dateifreigabe installieren. Sie möchten allen Mitarbeitern erlauben, die Lohnbuchhaltungs-App von dieser Freigabe zu installieren. Wählen Sie diese Option im Assistenten aus, navigieren Sie zur Dateifreigabe, und wählen Sie das Installationsprogramm für die Lohnbuchhaltungs-App als Referenz aus, um Ihre Regel zu erstellen. In der folgenden Tabelle wird das Festlegen des Bereichs für die gepackte App-Regel beschrieben.
Selection Beschreibung Beispiel Gilt für jeden Verleger Diese Einstellung ist die am wenigsten restriktive Bereichsbedingung für eine Zulassungsregel . Es ermöglicht, dass jede gepackte App ausgeführt oder installiert werden kann.
Wenn es sich bei dieser Einstellung um eine Ablehnungsregel handelt, ist diese Option dagegen die restriktivste, da sie die Installation oder Ausführung aller Apps verweigert.Sie möchten, dass die Gruppe "Vertrieb" jede gepackte App eines beliebigen signierten Herausgebers verwendet. Sie legen die Berechtigungen fest, damit die Gruppe "Sales" eine beliebige App ausführen kann. Gilt für einen bestimmten Verleger Diese Einstellung bezieht sich auf alle Apps, die von einem bestimmten Herausgeber veröffentlicht wurden. Sie möchten allen Benutzern die Installation von Apps ermöglichen, die vom Herausgeber von Microsoft.BingMaps veröffentlicht wurden. Sie können Microsoft.BingMaps als Referenz auswählen und diesen Regelbereich auswählen. Gilt für einen Paketnamen Mit dieser Einstellung wird die Regel auf alle Pakete festgelegt, die den Herausgebernamen und paketnamen als Referenzdatei gemeinsam nutzen. Sie möchten Ihrer Gruppe "Vertrieb" erlauben, eine beliebige Version der Microsoft.BingMaps-App zu installieren. Sie können die Microsoft.BingMaps-App als Referenz und diesen Regelbereich auswählen. Gilt für eine Paketversion Mit dieser Einstellung wird die Regel auf eine bestimmte Version des Pakets festgelegt. Sie möchten bei dem, was Sie zulassen, selektiv sein. Sie möchten nicht implizit allen zukünftigen Updates der Microsoft.BingMaps-App vertrauen. Sie können den Bereich Ihrer Regel auf die Version der App beschränken, die derzeit auf Ihrem Referenzcomputer installiert ist. Anwenden benutzerdefinierter Werte auf die Regel Wenn Sie das Kontrollkästchen Benutzerdefinierte Werte verwenden aktivieren, können Sie die Bereichsfelder an Ihre besonderen Umstände anpassen. Sie möchten es Benutzern ermöglichen, alle Microsoft.Bing-Anwendungen zu installieren, einschließlich Microsoft.BingMaps, Microsoft.BingWeather, Microsoft.BingMoney. Sie können microsoft.BingMaps als Verweis auswählen, das Kontrollkästchen Benutzerdefinierte Werte verwenden aktivieren und das Feld "Paketname" bearbeiten, indem Sie "Microsoft.Bing*" als Paketnamen hinzufügen. Wählen Sie Weiter aus.
(Optional) Geben Sie auf der Seite Ausnahmen Bedingungen an, durch die Dateien von der Regel ausgeschlossen werden sollen. Mit diesen Bedingungen können Sie Ausnahmen basierend auf demselben Regelverweis und Regelbereich hinzufügen, den Sie zuvor festgelegt haben. Wählen Sie Weiter aus.
Übernehmen Sie auf der Seite Name entweder den automatisch generierten Regelnamen, oder geben Sie einen neuen Regelnamen ein, und wählen Sie dann Erstellen aus.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für