AppLocker
Betrifft:
- Windows 10
- Windows 11
- Windows Server 2016 und höher
Hinweis
Einige Funktionen von Windows Defender Anwendungssteuerung sind nur in bestimmten Windows-Versionen verfügbar. Erfahren Sie mehr über die Verfügbarkeit der Windows Defender Anwendungssteuerungsfeature.
Dieses Thema enthält eine Beschreibung von AppLocker und kann Ihnen bei der Entscheidung helfen, ob Ihre Organisation von der Implementierung der AppLocker-Anwendungssteuerungsrichtlinien profitieren kann. Mit AppLocker können Sie steuern, welche Anwendungen und Dateien Benutzer ausführen können. Dazu gehören ausführbare Dateien, Skripts, Windows Installer-Dateien, Dynamic Link Libraries (DLL-Dateien) App-Pakete und App-Installer-Pakete.
Hinweis
AppLocker kann keine Prozesse steuern, die unter dem Systemkonto unter einem Betriebssystem ausgeführt werden.
AppLocker kann Ihnen bei folgenden Aktivitäten helfen:
- Definieren von Regeln auf der Grundlage von Dateiattributen, die über App-Aktualisierungen hinweg erhalten bleiben, wie etwa des Namens des Herausgebers (abgeleitet aus der digitalen Signatur), des Produktnamens, des Dateinamens oder der Dateiversion. Sie können auch Regeln basierend auf dem Dateipfad und dem Hash erstellen.
- Zuweisen einer Regel zu einer Sicherheitsgruppe oder einem einzelnen Benutzer.
- Erstellen von Ausnahmen für Regeln. Sie können z. B. eine Regel erstellen, die allen Benutzern die Ausführung aller Windows-Binärdateien mit Ausnahme des Registrierungs-Editors (regedit.exe) gestattet.
- Verwenden des reinen Überwachungsmodus, um die Richtlinie bereitzustellen und ihre Implikationen zu verstehen, bevor sie durchgesetzt wird.
- Erstellen von Regeln auf einem Staging Server mit anschließendem Export in Ihre Produktionsumgebung und Import in ein Gruppenrichtlinienobjekt.
- Vereinfachen der Erstellung und Verwaltung von AppLocker-Regeln mithilfe von Windows PowerShell.
AppLocker hilft dabei den Verwaltungsaufwand und die Kosten für die Verwaltung von Computingressourcen zu verringern, indem es die Anzahl der Helpdeskanrufe reduziert, die durch die Ausführung nicht genehmigter Anwendungen begründet sind. AppLocker dient zum Umgang mit den folgenden Anwendungssicherheitsszenarien:
Anwendungsbestand
AppLocker kann seine Richtlinie im reinen Überwachungsmodus durchsetzen, in dem alle Anwendungszugriffsaktivitäten in Ereignisprotokollen registriert werden. Diese Ereignisse können zur weiteren Analyse gesammelt werden. Windows PowerShell-Cmdlets helfen auch bei der programmatischen Analyse dieser Daten.
Schutz vor unerwünschter Software
AppLocker kann die Ausführung von Anwendungen verhindern, wenn Sie diese aus der Liste der zugelassenen Anwendungen ausschließen. Wenn AppLocker-Regeln in der Produktionsumgebung erzwungen werden, wird die Ausführung aller Apps, die nicht in den zulässigen Regeln enthalten sind, blockiert.
Einhaltung von Lizenzen
Mit AppLocker können Sie Regeln erstellen, die die Ausführung nicht lizenzierter Software verhindern und die Verwendung lizenzierter Software auf autorisierte Benutzer beschränken.
Softwarestandardisierung
AppLocker-Richtlinien können so konfiguriert werden, dass auf Computern innerhalb einer Unternehmensgruppe nur unterstützte oder genehmigte Anwendungen ausgeführt werden können. Diese Konfiguration ermöglicht eine einheitlichere App-Bereitstellung.
Verbesserungen der Verwaltbarkeit
AppLocker bietet viele Verbesserungen bei der Verwaltbarkeit im Vergleich zu den Vorgängerrichtlinien für Softwareeinschränkung. Einige der Verbesserungen sind der Import und Export von Richtlinien, die automatische Generierung von Regeln aus mehreren Dateien, die Bereitstellung im reinen Überwachungsmodus sowie Windows PowerShell-Cmdlets.
Verwendung von AppLocker
In vielen Unternehmen sind Informationen die wichtigste Ressource, und es ist von entscheidender Bedeutung, dass nur genehmigte Benutzer darauf zugreifen können. Zugriffssteuerungstechnologien wie Active Directory Rights Management Services (AD RMS) und Zugriffssteuerungslisten (ACLs) helfen dabei, zu steuern, welche Benutzer Zugang zu diesen Informationen haben.
Wenn ein Benutzer einen Prozess ausgeführt, hat dieser Prozess jedoch dieselbe Zugriffsstufe zu Daten, über die auch der Benutzer verfügt. Daher können vertrauliche Informationen leicht gelöscht oder aus der Organisation gebracht werden, wenn ein Benutzer mit oder ohne Absicht schädliche Software ausführt. AppLocker kann solche Sicherheitsrisiken verringern, indem es die Zahl der Dateien einschränkt, die Benutzer oder Gruppen ausführen können. Softwareherausgeber erstellen zunehmend Apps, die von Nicht-Administratoren installiert werden können. Diese Berechtigung könnte die geschriebene Sicherheitsrichtlinie eines organization gefährden und herkömmliche App-Steuerungslösungen umgehen, die darauf angewiesen sind, dass Benutzer Apps nicht installieren können. AppLocker erstellt eine Liste zulässiger Dateien und Apps, um zu verhindern, dass solche benutzerspezifischen Apps ausgeführt werden. Da AppLocker DLLs steuern kann, ist es auch nützlich, zu steuern, wer ActiveX-Steuerelemente installieren und ausführen kann.
AppLocker ist ideal für Unternehmen, die derzeit Gruppenrichtlinien verwenden, um ihre PCs zu verwalten.
Es folgen einige Beispiele für Szenarien, in denen AppLocker eingesetzt werden kann:
- Die Sicherheitsrichtlinie Ihrer Organisation schreibt die Verwendung lizenzierter Software vor. Sie müssen daher verhindern, dass Benutzer nicht lizenzierte Software ausführen und darüber hinaus dafür sorgen, dass die lizenzierte Software nur von autorisierten Benutzern verwendet werden kann.
- Eine App wird von Ihrer Organisation nicht mehr unterstützt. Sie müssen daher verhindern, dass irgendjemand sie verwendet.
- Die Gefahr, dass unerwünschte Software in Ihre Umgebung eingebracht werden kann, ist hoch, und Sie müssen diese Gefahr reduzieren.
- Die Lizenz für eine App wurde widerrufen oder ist in Ihrem organization abgelaufen. Sie müssen daher verhindern, dass sie von allen Benutzern verwendet wird.
- Eine neue App oder eine neue App-Version wird bereitgestellt, und Sie müssen verhindern, dass Benutzer die alte Version verwenden.
- Bestimmte Softwaretools sind innerhalb der organization nicht zulässig, oder nur bestimmte Benutzer sollten Zugriff auf diese Tools haben.
- Ein einzelner Benutzer oder eine kleine Gruppe von Benutzern muss eine bestimmte App nutzen, deren Verwendung allen anderen Benutzern untersagt ist.
- Einige Computer in Ihrer Organisation werden von Anwendern mit unterschiedlichen Softwareanforderungen genutzt, und Sie müssen bestimmte Apps schützen.
- Zusätzlich zu anderen Maßnahmen müssen Sie den Zugriff auf sensible Daten über die App-Nutzung steuern.
Hinweis
AppLocker ist ein sicherheitsrelevantes Sicherheitsfeature und keine Sicherheitsgrenze. Windows Defender Anwendungssteuerung sollte verwendet werden, wenn das Ziel darin besteht, einen robusten Schutz vor einer Bedrohung bereitzustellen, und es werden keine entwurfsbedingten Einschränkungen erwartet, die das Sicherheitsfeature daran hindern würden, dieses Ziel zu erreichen.
AppLocker kann Ihnen dabei helfen, die digitalen Ressourcen in Ihrer Organisation zu schützen, Bedrohungen durch das Einbringen schädlicher Software in Ihre Umgebung zu reduzieren und die Verwaltung der Anwendungssteuerung und die Pflege von Anwendungssteuerungsrichtlinien zu verbessern.
Installieren von AppLocker
AppLocker ist im Lieferumfang von Enterprise-Editionen von Windows enthalten. Sie können AppLocker-Regeln für einen einzelnen Computer oder für eine Gruppe von Computern erstellen. Für einen einzelnen Computer können Sie Regeln mit dem Editor für lokale Sicherheitsrichtlinien (secpol.msc) erstellen. Für eine Gruppe von Computern können Sie die Regeln in einem Gruppenrichtlinienobjekt mithilfe der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) erstellen.
Hinweis
Die GPMC ist nur auf Clientcomputern unter Windows verfügbar, indem Die Remoteserver-Verwaltungstools installiert werden. Auf Computern mit Windows Server müssen Sie das Feature für die Gruppenrichtlinienverwaltung installieren.
Verwendung von AppLocker auf Server Core
AppLocker auf Server Core-Installationen wird nicht unterstützt.
Überlegungen zur Virtualisierung
Sie können AppLocker-Richtlinien unter Verwendung einer virtualisierten Windows-Instanz bereitstellen, sofern diese alle oben aufgeführten Systemanforderungen erfüllt. Sie können auch eine Gruppenrichtlinie in einer virtualisierten Instanz ausführen. Dabei besteht jedoch das Risiko, dass die erstellten und gepflegten Richtlinien verloren gehen, wenn die virtualisierte Instanz entfernt wird oder ausfällt.
Sicherheitsaspekte
Anwendungssteuerungsrichtlinien legen fest, welche Apps auf dem lokalen Computer ausgeführt werden können.
Die verschiedenen Formen schädlicher Software machen es Benutzern nicht leicht zu wissen, welche Anwendungen sicher ausgeführt werden können. Wenn schädliche Software aktiviert wird, kann sie Inhalte auf einer Festplatte beschädigen, ein Netzwerk mit Anfragen überlasten (DoS-Angriffe), vertrauliche Informationen im Internet zugänglich machen oder die Sicherheit eines Computers gefährden.
Die Gegenmaßnahme besteht darin, eine gute Grundlage für Ihre Anwendungssteuerungsrichtlinien auf den PCs Ihrer Organisation zu schaffen und diese Richtlinien dann in einer Testumgebung gründlich zu prüfen, bevor sie in der Produktionsumgebung eingesetzt werden. AppLocker kann ein Teil Ihrer Anwendungssteuerungsstrategie sein, da Sie damit festlegen können, welche Software auf Ihren Computern ausgeführt werden kann.
Eine fehlerhafte Implementierung einer Anwendungssteuerungsrichtlinie kann benötigte Anwendungen unbrauchbar machen oder dazu führen, dass schädliche oder unerwünschte Software ausgeführt wird. Daher ist es wichtig, dass Organisationen genügend Ressourcen für die Verwaltung und Problembehandlung bei der Implementierung solcher Richtlinien bereitstellen.
Weitere Informationen zu bestimmten Sicherheitsproblemen finden Sie unter Sicherheitsüberlegungen für AppLocker.
Wenn Sie AppLocker zur Erstellung von Anwendungssteuerungsrichtlinien verwenden, sollten Sie sich der folgenden Sicherheitsaspekte bewusst sein:
- Wer hat das Recht, AppLocker-Richtlinien einzurichten?
- Wie prüfen Sie, ob die Richtlinien durchgesetzt werden?
- Welche Ereignisse sollten überwacht werden?
Zur Referenz für Ihre Planung identifiziert die folgende Tabelle die grundlegenden Einstellungen für einen PC, auf dem AppLocker installiert ist:
| Einstellung | Standardwert |
|---|---|
| Erstellte Konten | Keine |
| Authentifizierungsmethode | Nicht anwendbar |
| Verwaltungsschnittstellen | AppLocker kann mithilfe eines Microsoft Management Console-Snap-ins, der Gruppenrichtlinienverwaltung oder Windows PowerShell verwaltet werden. |
| Geöffnete Ports | Keine |
| Erforderliche Mindestberechtigungen | Administrator auf dem lokalen Computer, Domänenadministrator oder jeder Satz von Berechtigungen, der Ihnen ermöglicht, Gruppenrichtlinienobjekte zu erstellen, zu bearbeiten und zu verteilen. |
| Verwendete Protokolle | Nicht anwendbar |
| Geplante Aufgaben | Appidpolicyconverter.exe wird in eine bei Bedarf auszuführende geplante Aufgabe eingefügt. |
| Sicherheitsrichtlinien | Keine erforderlich. AppLocker erstellt Sicherheitsrichtlinien. |
| Erforderliche Systemdienste | Anwendungsidentitätsdienst (appidsvc) unter LocalServiceAndNoImpersonation. |
| Speicherung der Anmeldeinformationen | None |
Inhalt dieses Abschnitts
| Thema | Beschreibung |
|---|---|
| Verwalten von AppLocker | Dieses Thema für IT-Experten bietet Links zu bestimmten Verfahren für die Verwaltung von AppLocker-Richtlinien. |
| AppLocker-Designanleitung | Dieses Thema für IT-Spezialisten veranschaulicht die Entwurfs- und Planungsschritte für die Bereitstellung von Anwendungssteuerungsrichtlinien mit AppLocker. |
| AppLocker-Bereitstellungsanleitung | In diesem Thema für IT-Experten werden die Konzepte für die Bereitstellung von AppLocker-Richtlinien vorgestellt und die dafür erforderlichen Schritte beschrieben. |
| Technische Referenz zu AppLocker | Dieses Übersichtsthema für IT-Experten enthält Links zu den Themen in der technischen Referenz. |