Auswählen der zu erstellenden Regeltypen
In diesem Artikel werden Ressourcen aufgeführt, die beim Erstellen von Richtlinienregeln für die Anwendungssteuerung mithilfe von AppLocker verwendet werden sollen.
Wenn Sie bestimmen, welche Typen von Regeln für jede Ihrer Gruppen erstellt werden sollen, sollten Sie auch bestimmen, welche Einstellung zum Erzwingen für jede Gruppe verwendet werden soll. Unterschiedliche Regeltypen sind für manche Apps besser geeignet, je nachdem, wie die Anwendungen in einer bestimmten Unternehmensgruppe bereitgestellt werden.
Die folgenden Artikel enthalten zusätzliche Informationen zu AppLocker-Regeln, mit denen Sie entscheiden können, welche Regeln für Ihre Anwendungen verwendet werden sollen:
- Grundlegendes zum Verhalten von AppLocker-Regeln
- Grundlegendes zu Ausnahmen von AppLocker-Regeln
- Grundlegendes zu AppLocker-Regelsammlungen
- Grundlegendes zu den AppLocker-Aktionen „Zulassen“ und „Verweigern“ für Regeln
- Grundlegendes zu AppLocker-Regelbedingungstypen
- Grundlegendes zu AppLocker-Standardregeln
Auswählen der Regelsammlung
Welche Regelsammlungen Sie verwenden, hängt von den Dateitypen ab, die Sie steuern möchten, einschließlich:
- Ausführbare Dateien: .exe und .com
- Windows Installer-Dateien: .msi, .msp und .mst
- Skripts: .ps1, .bat, .cmd, .vbs und .js
- Gepackte Apps und App-Installer-Pakete: .appx
- DLLs: .dll und .ocx
Standardmäßig lassen die Regeln die Ausführung einer Datei basierend auf Benutzer- oder Gruppenberechtigungen zu. Wenn Sie DLL-Regeln verwenden, muss eine DLL-Zulassungsregel für jede DLL erstellt werden, die von allen zulässigen Apps verwendet wird. Die DLL-Regelsammlung ist standardmäßig nicht aktiviert.
Im Woodgrove Bank-Beispiel lautet die Branchen-App für die Geschäftsgruppe Bank Tellers C:\Program Files\Woodgrove\Teller.exe, und diese App muss in eine Regel eingeschlossen werden. Da diese Regel Teil einer Liste zulässiger Anwendungen ist, müssen außerdem alle Windows-Dateien unter "C:\Windows" enthalten sein.
Bestimmen der Regelbedingung
Eine Regelbedingung besteht aus Kriterien, auf denen eine AppLocker-Regel basiert, und sie kann nur eine der Regelbedingungen in der folgenden Tabelle sein.
| Regelbedingung | Anwendungsszenario | Ressourcen |
|---|---|---|
| Herausgeber | Um eine Herausgeberbedingung zu verwenden, muss der Softwareherausgeber seine Dateien digital signieren, oder Sie müssen dies mithilfe eines Organisationszertifikats tun. Regeln, die auf Versionsebene angegeben sind, müssen möglicherweise aktualisiert werden, wenn eine neue Version der Datei veröffentlicht wird. | Weitere Informationen zu dieser Regelbedingung finden Sie unter Grundlegendes zur Herausgeberregelbedingung in AppLocker. |
| Pfad | Diese Regelbedingung kann jeder Datei zugewiesen werden. Da Pfadregeln jedoch Speicherorte innerhalb des Dateisystems angeben, gilt die Regel für jedes Unterverzeichnis (sofern nicht explizit ausgenommen). | Weitere Informationen zu dieser Regelbedingung finden Sie unter Grundlegendes zur Pfadregelbedingung in AppLocker. |
| Dateihash | Diese Regelbedingung kann jeder Datei zugewiesen werden. Die Regel muss jedoch jedes Mal aktualisiert werden, wenn eine neue Version der Datei veröffentlicht wird, da sich der Hashwert ändert. | Weitere Informationen zu dieser Regelbedingung finden Sie unter Grundlegendes zur Dateihash-Regelbedingung in AppLocker. |
Im Beispiel der Woodgrove Bank ist die Branchen-App für die Unternehmensgruppe Bank Tellers signiert und befindet sich unter C:\Program Files\Woodgrove\Teller.exe. Daher kann die Regel mit einer Herausgeberbedingung definiert werden.
Festlegen, wie die Ausführung von Systemdateien zugelassen wird
Da AppLocker-Regeln eine Liste zulässiger Apps erstellen, müssen Regeln erstellt werden, damit alle Windows-Dateien ausgeführt werden können. Sie können die Standardregeln von AppLocker für jede Regelsammlung generieren, um sicherzustellen, dass System-Apps ausgeführt werden. Sie können diese Standardregeln (aufgeführt unter AppLocker-Standardregeln) als Vorlage verwenden, wenn Sie Eigene Regeln erstellen. Diese Regeln dienen jedoch nur als Startrichtlinie, wenn Sie appLocker-Regeln zum ersten Mal testen, damit die Systemdateien in den Windows-Ordnern ausgeführt werden. Wenn eine Standardregel erstellt wird, beginnt ihr Name in der Regelsammlung mit "(Standardregel)".
Sie können auch eine Regel für die Systemdateien basierend auf der Pfadbedingung erstellen. Im vorherigen Beispiel befinden sich für die Gruppe Bank Tellers alle Windows-Dateien unter C:\Windows und können mit dem Bedingungstyp der Pfadregel definiert werden. Diese Regel ermöglicht den Zugriff auf diese Dateien, wenn Updates angewendet werden und sich die Dateien ändern. Wenn Sie mehr Anwendungssicherheit benötigen, müssen Sie möglicherweise die Regeln ändern, die aus der integrierten Standardregelsammlung erstellt wurden. Beispielsweise basiert die Standardregel, die allen Benutzern das Ausführen von „.exe“-Dateien im Windows-Ordner gestattet, auf einer Pfadbedingung, die die Ausführung aller Dateien innerhalb des Windows-Ordners zulässt. Der Windows-Ordner enthält einen temporären Unterordner „Temp“, für den die Gruppe „Benutzer“ die folgenden Berechtigungen erhält:
- Ordner durchlaufen/Datei ausführen
- Dateien erstellen/Daten schreiben
- Ordner erstellen/Daten anfügen
Diese Berechtigungseinstellungen werden aus Gründen der Anwendungskompatibilität auf diesen Ordner angewendet. Da jedoch jeder Benutzer Dateien an diesem Speicherort erstellen kann, kann das Zulassen der Ausführung von Apps von diesem Speicherort aus mit der Sicherheitsrichtlinie Ihrer Organisation in Konflikt stehen.
Nächste Schritte
Nachdem Sie die zu erstellenden Regeltypen ausgewählt haben, zeichnen Sie Ihre Ergebnisse auf, wie unter Dokumentieren Ihrer AppLocker-Regeln erläutert.
Nachdem Sie Ihre Ergebnisse für die zu erstellenden AppLocker-Regeln aufgezeichnet haben, müssen Sie überlegen, wie Sie die Regeln erzwingen. Informationen zur Durchführung dieser Erzwingung finden Sie unterFestlegen der Gruppenrichtlinienstruktur und Regelerzwingung.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für