Grundlegendes zu AppLocker-Regelbedingungstypen
In diesem Artikel für IT-Experten werden die drei Arten von AppLocker-Regelbedingungen beschrieben.
Regelbedingungen sind Kriterien, auf denen die AppLocker-Regel basiert. Primäre Bedingungen sind erforderlich, um eine AppLocker-Regel zu erstellen. Die drei primären Regelbedingungen sind Herausgeber, Pfad und Dateihash.
Herausgeber
Um eine Herausgeberbedingung zu verwenden, muss der Softwareherausgeber seine App-Dateien digital signieren, oder Sie müssen dies mithilfe eines internen Zertifikats tun. Regeln, die auf Versionsebene angegeben sind, müssen möglicherweise aktualisiert werden, wenn eine neue Version der Datei veröffentlicht wird. Weitere Informationen zu dieser Regelbedingung finden Sie unter Grundlegendes zur Herausgeberregelbedingung in AppLocker.
Pfad
Diese Regelbedingung kann jeder Datei zugewiesen werden. Da Pfadregeln jedoch Speicherorte innerhalb des Dateisystems angeben, wirkt sich die Regel auch auf alle Unterverzeichnisse aus, sofern sie nicht explizit ausgenommen sind. Weitere Informationen zu dieser Regelbedingung finden Sie unter Grundlegendes zur Pfadregelbedingung in AppLocker.
Dateihash
Diese Regelbedingung kann jeder Datei zugewiesen werden. Die Regel muss jedoch jedes Mal aktualisiert werden, wenn eine neue Version der Datei veröffentlicht wird, da der Authenticode-Hashwert für jede Version der Datei eindeutig ist. Weitere Informationen zu dieser Regelbedingung finden Sie unter Grundlegendes zur Dateihash-Regelbedingung in AppLocker.
Überlegungen
Die Auswahl der geeigneten Bedingung für jede Regel hängt von den allgemeinen Richtlinienzielen für die Anwendungssteuerung des organization, den Wartungszielen für AppLocker-Regeln und dem Zustand der vorhandenen (oder geplanten) Anwendungsbereitstellung ab. Anhand der folgenden Fragen können Sie entscheiden, welche Regelbedingung Sie verwenden möchten.
Ist die Datei von einem Softwareherausgeber digital signiert?
Wenn der Softwareherausgeber die Datei signiert hat, wird empfohlen, Regeln mit Herausgeberbedingungen zu erstellen. Sie können weiterhin Dateihash- und Pfadbedingungen für signierte Dateien erstellen. Wenn der Softwareherausgeber die Datei jedoch nicht signiert hat, haben Sie folgende Möglichkeiten:
Signieren Sie die Datei mithilfe eines internen Zertifikats.
Erstellen Sie eine Regel mithilfe einer Dateihashbedingung.
Erstellen Sie eine Regel mithilfe einer Pfadbedingung.
Hinweis
Um zu bestimmen, wie viele Anwendungen auf einem Referenzcomputer digital signiert sind, können Sie das Cmdlet Get-AppLockerFileInformation Windows PowerShell für ein Verzeichnis mit Dateien verwenden. Zeigt beispielsweise
Get-AppLockerFileInformation -Directory C:\Windows\ -FileType EXE -recurse
die Eigenschaften für alle .exe- und .com-Dateien im Windows-Verzeichnis an.
Welchen Regelbedingungstyp bevorzugen Ihre organization?
Verwandte Artikel
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für