Share via

Verwenden eines Referenzgeräts zum Erstellen und Verwalten von AppLocker-Richtlinien

In diesem Artikel für IT-Experten werden die Schritte zum Erstellen und Verwalten von AppLocker-Richtlinien mithilfe eines Referenzcomputers beschrieben.

Hintergrund und Voraussetzungen

Ein AppLocker-Referenzgerät ist ein Basisgerät, das Sie zum Konfigurieren von Richtlinien verwenden und dann zum Verwalten von AppLocker-Richtlinien verwenden können. Informationen zum Konfigurieren eines Referenzgeräts finden Sie unter Konfigurieren des AppLocker-Referenzgeräts.

Ein AppLocker-Referenzgerät, das zum Erstellen und Verwalten von AppLocker-Richtlinien verwendet wird, sollte die entsprechenden Apps für jede Organisationseinheit (OE) enthalten, um Ihre Produktionsumgebung nachzuahmen.

Sie können AppLocker-Richtlinientests auf dem Referenzgerät durchführen, indem Sie die Einstellung Nur Erzwingungsmodus überwachen oder Windows PowerShell Cmdlets verwenden.

Schritt 1: Automatisches Generieren von Regeln auf dem Referenzgerät

Mit AppLocker können Sie automatisch Regeln für alle Dateien in einem Ordner generieren. AppLocker überprüft den angegebenen Ordner und erstellt die Bedingungstypen, die Sie für jede Datei in diesem Ordner auswählen. Informationen zum automatischen Generieren von Regeln finden Sie unter Ausführen des Assistenten zum automatischen Generieren von Regeln.

Hinweis

Wenn Sie diesen Assistenten ausführen, um Ihre ersten Regeln für ein Gruppenrichtlinie Object (GPO) zu erstellen, werden Sie aufgefordert, die Standardregeln zu erstellen, die die Ausführung kritischer Systemdateien zulassen. Sie können die Standardregeln jederzeit bearbeiten. Wenn Ihr organization benutzerdefinierte Regeln verwendet, um die Ausführung der Windows-Systemdateien zuzulassen, stellen Sie sicher, dass Sie die Standardregeln löschen, nachdem Sie Ihre benutzerdefinierten Regeln erstellt haben.

Schritt 2: Erstellen der Standardregeln auf dem Referenzgerät

AppLocker enthält Standardregeln für jede Regelsammlung. Diese Regeln sollen dazu beitragen, sicherzustellen, dass die Dateien, die für den ordnungsgemäßen Betrieb von Windows erforderlich sind, in einer AppLocker-Regelsammlung zulässig sind. Sie müssen die Standardregeln für jede Regelsammlung ausführen. Informationen zu Standardregeln und Überlegungen zu deren Verwendung finden Sie unter Grundlegendes zu AppLocker-Standardregeln. Informationen zum Erstellen von Standardregeln finden Sie unter Erstellen von AppLocker-Standardregeln.

Wichtig

Sie können die Standardregeln als Vorlage verwenden, wenn Sie eigene Regeln erstellen. Dadurch können Dateien im Windows-Verzeichnis ausgeführt werden. Diese Regeln sollen jedoch nur beim ersten Testen von AppLocker-Regeln als Startrichtlinie verwendet werden.

Schritt 3: Ändern von Regeln und der Regelsammlung auf dem Referenzgerät

Wenn AppLocker-Richtlinien derzeit in Ihrer Produktionsumgebung ausgeführt werden, exportieren Sie die Richtlinien aus den entsprechenden Gruppenrichtlinienobjekten, und speichern Sie sie auf dem Referenzgerät. Informationen zum Exportieren und Speichern der Richtlinien finden Sie unter Exportieren einer AppLocker-Richtlinie aus einem GPO. Wenn keine AppLocker-Richtlinien bereitgestellt werden, erstellen Sie die Regeln, und entwickeln Sie die Richtlinien mithilfe der folgenden Verfahren:

Schritt 4: Testen und Aktualisieren der AppLocker-Richtlinie auf dem Referenzgerät

Sie sollten jeden Satz von Regeln testen, um sicherzustellen, dass sie wie beabsichtigt funktionieren. Das Cmdlet Test-AppLockerPolicy Windows PowerShell kann verwendet werden, um zu bestimmen, ob Apps auf Ihrem Referenzgerät durch die Regeln in Ihren Regelsammlungen blockiert werden. Führen Sie die Schritte auf jedem Referenzgerät aus, das Sie zum Definieren der AppLocker-Richtlinie verwendet haben. Stellen Sie sicher, dass das Referenzgerät mit der Domäne verknüpft ist und dass es die AppLocker-Richtlinie vom entsprechenden Gruppenrichtlinienobjekt empfängt. Da AppLocker-Regeln von verknüpften Gruppenrichtlinienobjekten geerbt werden, sollten Sie alle Regeln bereitstellen, um alle Test-GPOs gleichzeitig zu testen. Führen Sie die folgenden Verfahren aus, um diesen Schritt auszuführen:

Warnung

Wenn Sie die Einstellung für den Erzwingungsmodus für die Regelsammlung auf Regeln erzwingen oder Nicht konfiguriert festgelegt haben, wird die Richtlinie nach Abschluss des nächsten Schritts erzwungen. Legen Sie die Einstellung für den Erzwingungsmodus für die Regelsammlung auf Nur überwachen fest, wenn Sie nicht bereit sind, die Ausführung von Dateien zu blockieren.

Schritt 5: Exportieren und Importieren der Richtlinie in die Produktion

Nachdem Sie Ihre AppLocker-Richtlinie getestet haben, können Sie sie in das Gruppenrichtlinienobjekt importieren (oder in einzelne Computer importieren, die nicht von Gruppenrichtlinie verwaltet werden) und auf ihre beabsichtigte Wirksamkeit überprüfen. Führen Sie für diese Aufgaben die folgenden Verfahren aus:

Wenn die AppLocker-Richtlinienerzwingungseinstellung Nur überwachen lautet und Sie zufrieden sind, dass die Richtlinie Ihre Absicht erfüllt, können Sie sie in Regeln erzwingen ändern. Informationen zum Ändern der Erzwingungseinstellung finden Sie unter Konfigurieren einer AppLocker-Richtlinie zum Erzwingen von Regeln.

Schritt 6: Überwachen der Auswirkungen der Richtlinie in der Produktion

Wenn nach der Bereitstellung einer Richtlinie weitere Verfeinerungen oder Updates erforderlich sind, verwenden Sie die entsprechenden folgenden Verfahren, um die Richtlinie zu überwachen und zu aktualisieren:

Weitere Informationen