Grundlegendes zu AppLocker-Richtlinienentwurfsentscheidungen
In diesem Artikel werden Fragen zum AppLocker-Entwurf, mögliche Antworten und andere Überlegungen beim Planen einer Bereitstellung von Anwendungssteuerungsrichtlinien mithilfe von AppLocker beschrieben.
Wenn Sie mit dem Entwurf und dem Planungsprozess beginnen, sollten Sie die Auswirkungen Ihrer Entwurfsoptionen berücksichtigen. Die daraus resultierenden Entscheidungen wirken sich auf Ihr Richtlinienbereitstellungsschema und die anschließende Wartung der Anwendungssteuerungsrichtlinie aus.
Sie sollten appLocker als Teil der Anwendungssteuerungsrichtlinien Ihrer organization in Betracht ziehen, wenn alle folgenden Punkte zutreffen:
- Sie führen unterstützte Versionen von Windows in Ihrem organization aus. Spezifische Anforderungen an die Betriebssystemversion finden Sie unter Anforderungen für die Verwendung von AppLocker.
- Sie benötigen eine verbesserte Kontrolle über den Zugriff auf die Anwendungen Ihrer organization.
- Die Anzahl der Anwendungen in Ihrem organization ist bekannt und verwaltbar.
- Sie verfügen über Ressourcen, um Richtlinien anhand der Anforderungen der organization zu testen.
- Sie verfügen über Ressourcen, um Helpdesk einzubinden oder einen Selbsthilfeprozess für Probleme mit dem Zugriff auf Endbenutzeranwendungen zu erstellen.
Im Folgenden finden Sie einige Fragen, die Sie berücksichtigen sollten, wenn Sie Anwendungssteuerungsrichtlinien bereitstellen (je nach Zielumgebung).
Welche Apps müssen Sie in Ihrem organization steuern?
Möglicherweise müssen Sie eine begrenzte Anzahl von Anwendungen steuern, weil diese auf vertrauliche Daten zugreifen, oder Sie möchten nur Apps zulassen, die für geschäftliche Zwecke genehmigt wurden. Es kann bestimmte Geschäftsgruppen geben, die eine strenge Kontrolle erfordern, und andere, die die Nutzung unabhängiger Anwendungen fördern.
| Mögliche Antworten | Überlegungen zum Entwurf |
|---|---|
| Steuern aller Apps | AppLocker-Richtlinien steuern Anwendungen, indem eine Liste zulässiger Anwendungen nach Dateityp erstellt wird. Ausnahmen sind ebenfalls möglich. AppLocker-Richtlinien können nur auf Anwendungen angewendet werden, die auf Computern mit einer der unterstützten Versionen von Windows installiert sind. |
| Steuern bestimmter Apps | Wenn Sie AppLocker-Regeln erstellen, wird eine Liste der zulässigen Apps erstellt. Alle Anwendungen in dieser Liste dürfen ausgeführt werden (mit Ausnahme der Anwendungen in der Ausnahmeliste). Die Ausführung von Anwendungen, die nicht in der Liste enthalten sind, wird blockiert. AppLocker-Richtlinien können nur auf Apps angewendet werden, die auf Computern mit einer der unterstützten Versionen von Windows installiert sind. |
| Nur klassische Windows-Anwendungen, nur gepackte Apps oder beides steuern | AppLocker-Richtlinien steuern Apps, indem eine Liste zulässiger Apps nach Dateityp erstellt wird. Da gepackte Apps unter der Publisher-Bedingung kategorisiert werden, können klassische Windows-Anwendungen und gepackte Apps gemeinsam gesteuert werden. Die Regeln, die Sie derzeit für klassische Windows-Anwendungen haben, können beibehalten werden, und Sie können neue Regeln für verpackte Apps erstellen. Einen Vergleich von klassischen Windows-Anwendungen und gepackten Apps finden Sie in diesem Artikel unter Vergleichen klassischer Windows-Anwendungen und gepackter Apps für AppLocker-Richtlinienentwurfsentscheidungen . |
| Steuern von Apps nach Unternehmensgruppe und Benutzer | AppLocker-Richtlinien können über ein Gruppenrichtlinie Object (GPO) auf Computerobjekte innerhalb einer Organisationseinheit (OE) angewendet werden. Einzelne AppLocker-Regeln können auf einzelne Benutzer oder Gruppen von Benutzern angewendet werden. |
| Steuern von Apps nach Computer, nicht nach Benutzer | AppLocker ist eine computerbasierte Richtlinienimplementierung. Wenn Ihre Domänen- oder Standortorganisationsstruktur nicht auf einer logischen Benutzerstruktur basiert, z. B. einer Organisationseinheit, sollten Sie diese Struktur einrichten, bevor Sie mit der AppLocker-Planung beginnen. Andernfalls müssen Sie Benutzer, deren Computer und ihre App-Zugriffsanforderungen identifizieren. |
| Verstehen der App-Nutzung, aber es ist noch nicht erforderlich, Apps zu steuern | AppLocker-Richtlinien können so festgelegt werden, dass die App-Nutzung überwacht wird, damit Sie nachverfolgen können, welche Apps in Ihrer organization verwendet werden. Anschließend können Sie das AppLocker-Ereignisprotokoll verwenden, um AppLocker-Richtlinien zu erstellen. |
Hinweis
AppLocker-Regeln erlauben oder blockieren das Starten einer App oder Binärdatei. AppLocker steuert nicht das Verhalten von Apps, nachdem sie gestartet wurden. Weitere Informationen finden Sie unter Sicherheitsüberlegungen für AppLocker.
Vergleich von klassischen Windows-Anwendungen und gepackten Apps für AppLocker-Richtlinienentwurfsentscheidungen
AppLocker-Richtlinien für verpackte Apps können nur auf Apps angewendet werden, die auf Computern mit Windows-Betriebssystemen installiert sind, die Microsoft Store-Apps unterstützen. Klassische Windows-Anwendungen können jedoch in Windows Server 2008 R2 und Windows 7 zusätzlich zu den Computern gesteuert werden, die gepackte Apps unterstützen. Die Regeln für klassische Windows-Anwendungen und gepackte Apps können zusammen erzwungen werden. Die Unterschiede, die Sie für verpackte Apps berücksichtigen sollten, sind:
- Standardbenutzer können gepackte Apps installieren, während für viele klassische Windows-Anwendungen Administratoranmeldeinformationen erforderlich sind. In einer Umgebung, in der die meisten Benutzer Standardbenutzer sind, benötigen Sie möglicherweise nicht viele EXE-Regeln, aber Sie möchten möglicherweise explizitere Richtlinien für gepackte Apps.
- Klassische Windows-Anwendungen können geschrieben werden, um den Systemstatus zu ändern, wenn sie mit Administratoranmeldeinformationen ausgeführt werden. Die meisten verpackten Apps können den Systemstatus nicht ändern, da sie mit eingeschränkten Berechtigungen ausgeführt werden. Wenn Sie Ihre AppLocker-Richtlinien entwerfen, ist es wichtig zu verstehen, ob eine App, die Sie zulassen, systemweite Änderungen vornehmen kann.
- Gepackte Apps können über den Store abgerufen oder mithilfe von Windows PowerShell Cmdlets quergeladen werden. Wenn Sie Windows PowerShell Cmdlets verwenden, ist eine spezielle Enterprise-Lizenz erforderlich, um gepackte Apps zu erwerben. Klassische Windows-Anwendungen können auf herkömmlichem Wege erworben werden, z. B. über Softwarehersteller oder den Einzelhandel.
AppLocker steuert gepackte Apps und klassische Windows-Anwendungen mithilfe verschiedener Regelsammlungen. Sie haben die Wahl, gepackte Apps, klassische Windows-Anwendungen oder beides zu steuern.
Weitere Informationen finden Sie unter Paket-Apps und App-Installerregeln in AppLocker.
Verwenden von AppLocker zum Steuern von Skripts
Die Erzwingung von AppLocker-Skripts umfasst einen Handshake zwischen einem optimierten Skripthost wie PowerShell und AppLocker. Der Skripthost verarbeitet jedoch das tatsächliche Erzwingungsverhalten. Die meisten Skripthosts fragen Zuerst AppLocker, ob ein Skript basierend auf den derzeit aktiven AppLocker-Richtlinien ausgeführt werden soll. Der Skripthost blockiert, lässt oder ändert dann die Ausführung des Skripts, um den Benutzer und das Gerät bestmöglich zu schützen.
AppLocker verwendet das Ereignisprotokoll AppLocker – MSI und Script für alle Skripterzwingungsereignisse. Wenn ein Skripthost AppLocker fragt, ob ein Skript zulässig sein soll, wird ein Ereignis mit der Antwort protokolliert, die AppLocker an den Skripthost zurückgegeben wird.
Hinweis
Wenn ein Skript ausgeführt wird, das von der Richtlinie nicht zulässig ist, löst AppLocker ein Ereignis aus, das angibt, dass das Skript "blockiert" wurde. Das tatsächliche Skripterzwingungsverhalten wird jedoch vom Skripthost verarbeitet und kann die Ausführung der Datei möglicherweise nicht vollständig blockieren.
Die AppLocker-Skripterzwingung kann nur VBScript, JScript, .bat Dateien, .cmd Dateien und Windows PowerShell Skripts steuern. Es steuert nicht den gesamten interpretierten Code, der innerhalb eines Hostprozesses ausgeführt wird, z. B. Perl-Skripts und Makros. Interpretierter Code ist eine Form von ausführbarem Code, der innerhalb eines Hostprozesses ausgeführt wird. Windows-Batchdateien (*.bat) werden beispielsweise im Kontext des Windows-Befehlshosts (cmd.exe) ausgeführt. Um AppLocker zum Steuern von interpretiertem Code zu verwenden, muss der Hostprozess AppLocker aufrufen, bevor er den interpretierten Code ausführt, und dann die Entscheidung von AppLocker erzwingen. Nicht alle Hostprozesse rufen AppLocker auf. Daher kann AppLocker nicht jede Art von interpretiertem Code steuern, z. B. Microsoft Office-Makros.
Wichtig
Sie sollten die entsprechenden Sicherheitseinstellungen dieser Hostprozesse konfigurieren, wenn Sie deren Ausführung zulassen müssen. Konfigurieren Sie beispielsweise die Sicherheitseinstellungen in Microsoft Office, um sicherzustellen, dass nur signierte und vertrauenswürdige Makros geladen werden.
Wie steuern Sie derzeit die App-Nutzung in Ihrem organization?
Die meisten Organisationen entwickeln ihre App-Steuerungsrichtlinien und -methoden im Laufe der Zeit weiter. AppLocker eignet sich am besten in Organisationen mit gut verwalteten Anwendungsbereitstellungs- und Genehmigungsprozessen.
| Mögliche Antworten | Überlegungen zum Entwurf |
|---|---|
| Sicherheitsrichtlinien (lokal festgelegt oder über Gruppenrichtlinie) | Die Verwendung von AppLocker erfordert einen höheren Aufwand bei der Planung der Erstellung korrekter Richtlinien, aber diese Richtlinienerstellung führt zu einer einfacheren Verteilungsmethode. |
| Nicht von Microsoft stammende App-Steuerungssoftware | Die Verwendung von AppLocker erfordert eine vollständige Auswertung und Implementierung der App-Steuerungsrichtlinie. |
| Verwaltete Nutzung nach Gruppe oder Organisationseinheit | Die Verwendung von AppLocker erfordert eine vollständige Auswertung und Implementierung der App-Steuerungsrichtlinie. |
| Autorisierungs-Manager oder andere rollenbasierte Zugriffstechnologien | Die Verwendung von AppLocker erfordert eine vollständige Auswertung und Implementierung der App-Steuerungsrichtlinie. |
| Other | Die Verwendung von AppLocker erfordert eine vollständige Auswertung und Implementierung der App-Steuerungsrichtlinie. |
Gibt es bestimmte Gruppen in Ihrem organization, die angepasste Anwendungssteuerungsrichtlinien benötigen?
Die meisten Geschäftsgruppen oder Abteilungen haben bestimmte Sicherheitsanforderungen, die sich auf den Datenzugriff und die Anwendungen beziehen, die für den Zugriff auf diese Daten verwendet werden. Sie sollten den Umfang des Projekts für jede Gruppe und die Prioritäten der Gruppe berücksichtigen, bevor Sie Anwendungssteuerungsrichtlinien für die gesamte organization bereitstellen.
| Mögliche Antworten | Überlegungen zum Entwurf |
|---|---|
| Ja | Für jede Gruppe müssen Sie eine Liste erstellen, die ihre Anwendungssteuerungsanforderungen enthält. Obwohl diese Überlegung die Planungszeit verlängern kann, führt dies häufig zu einer effektiveren Bereitstellung. Wenn Ihre GPO-Struktur nicht mit Organisationsgruppen übereinstimmt, können Sie AppLocker-Regeln auf bestimmte Benutzergruppen anwenden. |
| Nein | AppLocker-Richtlinien können global auf installierte Anwendungen angewendet werden. Abhängig von der Anzahl der Apps, die Sie steuern müssen, kann es schwierig sein, alle Regeln und Ausnahmen zu verwalten. |
Verfügt Ihre IT-Abteilung über Ressourcen zum Analysieren der Anwendungsnutzung und zum Entwerfen und Verwalten der Richtlinien?
Die Zeit und die Ressourcen, die Ihnen für die Durchführung der Recherche und Analyse zur Verfügung stehen, können sich auf die Details Ihres Plans und der Prozesse für die fortlaufende Richtlinienverwaltung und -wartung auswirken.
| Mögliche Antworten | Überlegungen zum Entwurf |
|---|---|
| Ja | Investieren Sie die Zeit, um die Anwendungssteuerungsanforderungen Ihrer organization zu analysieren und eine vollständige Bereitstellung zu planen, die so konstruierte Regeln wie möglich verwendet. |
| Nein | Erwägen Sie eine fokussierte und stufenweise Bereitstellung für bestimmte Gruppen, indem Sie einige Regeln verwenden. Wenn Sie Steuerelemente auf Anwendungen in einer bestimmten Gruppe anwenden, lernen Sie aus dieser Bereitstellung, um Ihre nächste Bereitstellung zu planen. |
Verfügt Ihr organization über Helpdesk-Support?
Wenn Sie Verhindern, dass Ihre Benutzer auf Anwendungen zugreifen, führt dies zumindest anfänglich zu einer Zunahme der Endbenutzerunterstützung. Es ist notwendig, die verschiedenen Supportprobleme in Ihrem organization zu beheben, damit Sicherheitsrichtlinien befolgt werden und der Geschäftsworkflow nicht beeinträchtigt wird.
| Mögliche Antworten | Überlegungen zum Entwurf |
|---|---|
| Ja | Binden Sie die Supportabteilung frühzeitig in die Planungsphase ein, da Ihre Benutzer möglicherweise daran gehindert werden, ihre Anwendungen zu verwenden, oder sie können Ausnahmen suchen, um bestimmte Anwendungen zu verwenden. |
| Nein | Investieren Sie Zeit in die Entwicklung von Onlinesupportprozessen und -dokumentationen vor der Bereitstellung. |
Wissen Sie, welche Anwendungen restriktive Richtlinien erfordern?
Jede erfolgreiche Implementierung von Anwendungssteuerungsrichtlinien basiert auf Ihrem Wissen und Ihrem Verständnis der App-Nutzung innerhalb der organization oder Unternehmensgruppe. Darüber hinaus hängt das Design der Anwendungssteuerung von den Sicherheitsanforderungen für Daten und die Apps ab, die auf diese Daten zugreifen.
| Mögliche Antworten | Überlegungen zum Entwurf |
|---|---|
| Ja | Sie sollten die Anwendungssteuerungsprioritäten für eine Unternehmensgruppe bestimmen und dann versuchen, das einfachste Schema für ihre Anwendungssteuerungsrichtlinien zu entwerfen. |
| Nein | Sie müssen ein Überwachungs- und Anforderungserfassungsprojekt ausführen, um die Anwendungsnutzung zu ermitteln. AppLocker bietet die Möglichkeit zum Bereitstellen von Richtlinien im Modus "Nur überwachen" und Tools zum Anzeigen der Ereignisprotokolle. |
Wie können Sie Anwendungen (aktualisiert oder neu) in Ihrem organization bereitstellen oder genehmigen?
Die Implementierung einer erfolgreichen Anwendungssteuerungsrichtlinie basiert auf Ihrem Wissen und Ihrem Verständnis der Anwendungsnutzung innerhalb der organization oder Unternehmensgruppe. Darüber hinaus hängt der Entwurf der Anwendungssteuerung von den Sicherheitsanforderungen für Daten und die Anwendungen ab, die auf diese Daten zugreifen. Das Verständnis der Upgrade- und Bereitstellungsrichtlinie trägt dazu bei, die Erstellung der Anwendungssteuerungsrichtlinien zu gestalten.
| Mögliche Antworten | Überlegungen zum Entwurf |
|---|---|
| Ungeplante | Sie müssen anforderungen aus jeder Gruppe erfassen. Einige Gruppen möchten möglicherweise uneingeschränkten Zugriff oder eine installation, während andere Gruppen strenge Kontrollen wünschen. |
| Streng geschriebene Richtlinien oder Richtlinien, die befolgt werden müssen | Sie müssen AppLocker-Regeln entwickeln, die diese Richtlinien widerspiegeln, und dann die Regeln testen und verwalten. |
| Kein Prozess vorhanden | Sie müssen ermitteln, ob Sie über die Ressourcen zum Entwickeln einer Anwendungssteuerungsrichtlinie verfügen und für welche Gruppen. |
Welche Prioritäten haben Ihre organization bei der Implementierung von Anwendungssteuerungsrichtlinien?
Einige Organisationen profitieren von Anwendungssteuerungsrichtlinien, wie sich aus einer Steigerung der Produktivität oder Konformität ergibt, während andere bei der Erfüllung ihrer Aufgaben behindert werden. Priorisieren Sie diese Aspekte für jede Gruppe, damit Sie die Effektivität von AppLocker bewerten können.
| Mögliche Antworten | Überlegungen zum Entwurf |
|---|---|
| Produktivität: Die organization stellt sicher, dass Tools funktionieren und erforderliche Anwendungen installiert werden können. | Um Innovations- und Produktivitätsziele zu erreichen, benötigen einige Gruppen die Möglichkeit, verschiedene Software aus verschiedenen Quellen zu installieren und auszuführen, einschließlich der von ihnen entwickelten Software. Wenn Innovation und Produktivität eine hohe Priorität haben, kann es daher zeitaufwändig sein, Anwendungssteuerungsrichtlinien über eine Liste zulässiger Anwendungen zu verwalten und den Fortschritt zu behindern. |
| Verwaltung: Die organization kennt und steuert die von ihr unterstützten Anwendungen. | In einigen Geschäftsgruppen kann die Anwendungsnutzung von einem zentralen Steuerungspunkt aus verwaltet werden. Zu diesem Zweck können AppLocker-Richtlinien in ein Gruppenrichtlinienobjekt integriert werden. |
| Sicherheit: Die organization müssen Daten teilweise schützen, indem sichergestellt wird, dass nur genehmigte Apps verwendet werden. | AppLocker kann zum Schutz von Daten beitragen, indem es einer definierten Gruppe von Benutzern erlaubt, Apps zu ermöglichen, die auf die Daten zugreifen. Wenn sicherheit die oberste Priorität hat, können Ihre Anwendungssteuerungsrichtlinien restriktiver sein. |
Wie wird derzeit auf Apps in Ihrem organization zugegriffen?
AppLocker eignet sich für Organisationen mit einer gut verwalteten Anwendungsverwaltung mit einfachen Richtlinienzielen für die Anwendungssteuerung. Beispielsweise kann AppLocker eine Umgebung nutzen, in der Nichtbeschäftigte Zugriff auf Computer haben, die mit dem Organisationsnetzwerk verbunden sind, z. B. eine Schule oder Bibliothek.
| Mögliche Antworten | Überlegungen zum Entwurf |
|---|---|
| Benutzer werden ohne Administratorrechte ausgeführt. | Apps werden mithilfe einer Installationsbereitstellungstechnologie installiert. |
| AppLocker kann dazu beitragen, die Gesamtkosten für Geschäftsgruppen zu reduzieren, die in der Regel eine begrenzte Anzahl von Apps verwenden, z. B. Personal- und Finanzabteilungen. Gleichzeitig greifen diese Abteilungen auf hochsensible Informationen zu, von denen viele vertrauliche und proprietäre Informationen enthalten. Indem Sie AppLocker verwenden, um Regeln für bestimmte Apps zu erstellen, die ausgeführt werden dürfen, können Sie verhindern, dass nicht autorisierte Anwendungen auf diese Informationen zugreifen. Hinweis: AppLocker kann auch bei der Erstellung standardisierter Desktops in Organisationen, in denen Benutzer als Administratoren ausgeführt werden, effektiv sein. Es ist jedoch wichtig zu beachten, dass Benutzer mit Administratoranmeldeinformationen der lokalen AppLocker-Richtlinie neue Regeln hinzufügen können. |
Benutzer müssen in der Lage sein, Anwendungen nach Bedarf zu installieren. |
| Benutzer haben derzeit Administratorzugriff, und es wäre schwierig, diese Berechtigung zu ändern. | Das Erzwingen von AppLocker-Regeln eignet sich nicht für Geschäftsgruppen, die Apps nach Bedarf und ohne Genehmigung der IT-Abteilung installieren können müssen. Wenn eine oder mehrere Organisationseinheiten in Ihrem organization diese Anforderung erfüllt, können Sie festlegen, dass Anwendungsregeln in diesen Organisationseinheiten nicht mithilfe von AppLocker erzwungen werden oder die Einstellung Nur Überwachen der Erzwingung über AppLocker implementiert werden soll. |
Basiert die Struktur in Active Directory Domain Services auf der Hierarchie des organization?
Das Entwerfen von Anwendungssteuerungsrichtlinien basierend auf einer Organisationsstruktur, die bereits in Active Directory Domain Services (AD DS) integriert ist, ist einfacher als das Konvertieren der vorhandenen Struktur in eine Organisationsstruktur. Da die Effektivität von Anwendungssteuerungsrichtlinien von der Möglichkeit abhängt, Richtlinien zu aktualisieren, sollten Sie berücksichtigen, welche organisatorischen Aufgaben vor Beginn der Bereitstellung ausgeführt werden müssen.
| Mögliche Antworten | Überlegungen zum Entwurf |
|---|---|
| Ja | AppLocker-Regeln können basierend auf Ihrer AD DS-Struktur über Gruppenrichtlinie entwickelt und implementiert werden. |
| Nein | Die IT-Abteilung muss ein Schema erstellen, um zu ermitteln, wie Anwendungssteuerungsrichtlinien auf den richtigen Benutzer oder Computer angewendet werden können. |
Aufzeichnen Ihrer Ergebnisse
Der nächste Schritt im Prozess besteht darin, Ihre Antworten auf die vorherigen Fragen aufzuzeichnen und zu analysieren. Wenn AppLocker die richtige Lösung für Ihre Ziele ist, können Sie die Ziele der Anwendungssteuerungsrichtlinie festlegen und Ihre AppLocker-Regeln planen. Dieser Prozess gipfelt in der Erstellung Ihres Planungsdokuments.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für