Verwenden von Softwareeinschränkungs- und AppLocker-Richtlinien
Gilt für
- Windows 10
- Windows 11
- Windows Server 2016 und höher
Hinweis
Einige Funktionen von Windows Defender Anwendungssteuerung sind nur in bestimmten Windows-Versionen verfügbar. Erfahren Sie mehr über die Verfügbarkeit der Windows Defender Anwendungssteuerungsfeature.
In diesem Thema für IT-Experten wird beschrieben, wie Softwareeinschränkungsrichtlinien (Software Restriction Policies, SRP) und AppLocker-Richtlinien in derselben Windows-Bereitstellung verwendet werden.
Grundlegendes zum Unterschied zwischen SRP und AppLocker
Möglicherweise möchten Sie Anwendungssteuerungsrichtlinien in Windows-Betriebssystemen vor Windows Server 2008 R2 oder Windows 7 bereitstellen. Sie können AppLocker-Richtlinien nur für die unterstützten Versionen und Editionen von Windows verwenden, wie unter Anforderungen für die Verwendung von AppLocker aufgeführt. Sie können SRP jedoch für diese unterstützten Editionen von Windows plus Windows Server 2003 und Windows XP verwenden. Informationen zum Vergleichen von Features und Funktionen in SRP und AppLocker, sodass Sie bestimmen können, wann sie die einzelnen Technologien verwenden müssen, um Die Ziele der Anwendungssteuerung zu erreichen, finden Sie unter Bestimmen der Ziele der Anwendungssteuerung.
Verwenden von SRP und AppLocker in derselben Domäne
SRP und AppLocker verwenden Gruppenrichtlinie für die Domänenverwaltung. Wenn richtlinien jedoch von SRP und AppLocker in derselben Domäne generiert werden und über Gruppenrichtlinie angewendet werden, haben AppLocker-Richtlinien Vorrang vor Richtlinien, die von SRP auf Computern generiert werden, auf denen ein Betriebssystem ausgeführt wird, das AppLocker unterstützt. Informationen dazu, wie die Vererbung in Gruppenrichtlinie auf AppLocker-Richtlinien und von SRP generierte Richtlinien angewendet wird, finden Sie unter Grundlegendes zu AppLocker-Regeln und Erzwingungseinstellungsvererbung in Gruppenrichtlinie.
Wichtig: Als bewährte Methode sollten Sie separate Gruppenrichtlinie Objects verwenden, um Ihre SRP- und AppLocker-Richtlinien zu implementieren. Um die Problembehandlung zu reduzieren, kombinieren Sie sie nicht im selben Gruppenrichtlinienobjekt.
Das folgende Szenario enthält ein Beispiel dafür, wie sich jeder Richtlinientyp auf eine Software-App für Bankangestellte auswirkt, bei der die App auf verschiedenen Windows-Desktopbetriebssystemen bereitgestellt und vom Tellers-GPO verwaltet wird.
| Betriebssystem | Teller-GPO mit AppLocker-Richtlinie | Tellers-GPO mit SRP | Teller-GPO mit AppLocker-Richtlinie und SRP |
|---|---|---|---|
| Windows 10, Windows 8.1, Windows 8 und Windows 7 | AppLocker-Richtlinien im Gruppenrichtlinienobjekt werden angewendet und ersetzen alle lokalen AppLocker-Richtlinien. | Lokale AppLocker-Richtlinien werden von SRP generierten Richtlinien abgelöst, die über das Gruppenrichtlinienobjekt angewendet werden. | AppLocker-Richtlinien im Gruppenrichtlinienobjekt werden angewendet und ersetzen die von SRP generierten Richtlinien im Gruppenrichtlinienobjekt und lokale AppLocker-Richtlinien oder von SRP generierte Richtlinien. |
| Windows Vista | AppLocker-Richtlinien werden nicht angewendet. | Richtlinien, die von SRP im GPO generiert werden, werden angewendet und ersetzen lokale Richtlinien, die von SRP generiert werden. AppLocker-Richtlinien werden nicht angewendet. | Richtlinien, die von SRP im GPO generiert werden, werden angewendet und ersetzen lokale Richtlinien, die von SRP generiert werden. AppLocker-Richtlinien nicht angewendet. |
| Windows XP | AppLocker-Richtlinien werden nicht angewendet. | Richtlinien, die von SRP im GPO generiert werden, werden angewendet und ersetzen lokale Richtlinien, die von SRP generiert werden. AppLocker-Richtlinien werden nicht angewendet. | Richtlinien, die von SRP im GPO generiert werden, werden angewendet und ersetzen lokale Richtlinien, die von SRP generiert werden. AppLocker-Richtlinien nicht angewendet. |
Hinweis: Informationen zu unterstützten Versionen und Editionen des Windows-Betriebssystems finden Sie unter Anforderungen für die Verwendung von AppLocker.
Testen und Überprüfen von SRPs und AppLocker-Richtlinien, die in derselben Umgebung bereitgestellt werden
Da SRPs und AppLocker-Richtlinien unterschiedlich funktionieren, sollten sie nicht im selben Gruppenrichtlinienobjekt implementiert werden. Wenn diese Regel implementiert wird, wird das Testen des Ergebnisses der Richtlinie vereinfacht, was für die erfolgreiche Steuerung der Anwendungsnutzung in der Organisation von entscheidender Bedeutung ist. Das Konfigurieren eines Test- und Richtlinienverteilungssystems kann Ihnen helfen, das Ergebnis einer Richtlinie zu verstehen. Die Auswirkungen von Richtlinien, die von SRP- und AppLocker-Richtlinien generiert werden, müssen separat und mit verschiedenen Tools getestet werden.
Schritt 1: Testen der Auswirkungen von SRPs
Sie können das Gruppenrichtlinie Management Console (GPMC) oder das Resultant Set of Policy (RSoP)-Snap-In verwenden, um die Auswirkungen der Anwendung von SRPs mithilfe von Gruppenrichtlinienobjekten zu bestimmen.
Schritt 2: Testen der Wirkung von AppLocker-Richtlinien
Sie können AppLocker-Richtlinien mit Windows PowerShell Cmdlets testen. Informationen zum Untersuchen des Ergebnisses einer Richtlinie finden Sie unter:
- Testen einer AppLocker-Richtlinie mithilfe von „Test-AppLockerPolicy“
- Überwachen der App-Verwendung mithilfe von AppLocker
Eine weitere Methode zum Bestimmen des Ergebnisses einer Richtlinie ist das Festlegen des Erzwingungsmodus auf Nur überwachen. Wenn die Richtlinie bereitgestellt wird, werden Ereignisse in die AppLocker-Protokolle geschrieben, als ob die Richtlinie erzwungen würde. Informationen zur Verwendung des Modus "Nur überwachen " finden Sie unter:
- Grundlegendes zu AppLocker-Erzwingungseinstellungen
- Konfigurieren einer AppLocker-Richtlinie für reine Überwachungszwecke