Arbeiten mit AppLocker-Regeln
In diesem Artikel für IT-Experten werden AppLocker-Regeltypen und deren Verwendung für Ihre Anwendungssteuerungsrichtlinien beschrieben.
Regelsammlungen
AppLocker-Richtlinien sind in Regelsammlungen organisiert, einschließlich ausführbarer Dateien, Skripts, Windows Installer-Dateien, gepackte Apps und gepackte App-Installationsprogramme sowie DLL-Dateien. Diese Sammlungen bieten Ihnen eine einfache Möglichkeit, die Regeln für verschiedene Arten von Apps zu unterscheiden. In der folgenden Tabelle sind die Dateiformate aufgeführt, die in den einzelnen Regelsammlungen enthalten sind.
| Regelsammlung | Zugeordnete Dateiformate |
|---|---|
| Ausführbare Dateien | EXE .com |
| Skripts | .ps1 BAT .cmd .vbs .js |
| Windows Installer-Dateien | .msi .msp .mst |
| Gepackte Apps und gepackte App-Installationsprogramme | .appx |
| DLL-Dateien | .dll .ocx |
Hinweis
AppLocker-Regeln für ausführbare Dateien gelten tatsächlich für alle PE-Dateien (Portable Executable), unabhängig von der Dateierweiterung, die Angreifer leicht ändern können. Die in der vorherigen Tabelle aufgeführten Dateierweiterungsinformationen für ausführbare Dateien sind nur veranschaulichend.
Die DLL-Regelsammlung ist standardmäßig nicht aktiviert. Informationen zum Aktivieren der DLL-Regelsammlung finden Sie unter DLL-Regelsammlungen.
Wichtig
Wenn Sie DLL-Regeln verwenden, müssen Sie eine Zulassungsregel erstellen, die jede DLL abdeckt, die von allen zulässigen Apps verwendet wird.
Wenn DLL-Regeln verwendet werden, muss AppLocker jede DLL überprüfen, die von einer Anwendung geladen wird. Daher kann es bei Benutzern zu Leistungseinbußen kommen, wenn DLL-Regeln verwendet werden. Diese Auswirkungen auf die Leistung sind jedoch in der Regel nicht wahrnehmbar, es sei denn, ein Gerät ist bereits ressourceneinschränkt.
Erzwingungsmodi
AppLocker-Richtlinien legen einen Erzwingungsmodus für jede Regelsammlung fest, die in der Richtlinie enthalten ist. Diese Erzwingungsmodi werden in der folgenden Tabelle beschrieben.
| Erzwingungsmodus | Beschreibung |
|---|---|
| Nicht konfiguriert | Trotz des Namens bedeutet dieser Erzwingungsmodus nicht , dass die Regeln ignoriert werden. Im Gegenteil, wenn Regeln in einer Regelsammlung vorhanden sind, die "nicht konfiguriert" ist, werden die Regeln erzwungen , es sei denn, eine Richtlinie mit einer höheren Rangfolge ändert den Erzwingungsmodus in Nur Überwachen. Da dieser Erzwingungsmodus für Richtlinienautoren verwirrend sein kann, sollten Sie diesen Wert nicht in Ihren AppLocker-Richtlinien verwenden. Stattdessen sollten Sie explizit zwischen den verbleibenden beiden Optionen wählen. |
| Regeln erzwingen | Regeln werden erzwungen. Wenn ein Benutzer eine App ausführt, die von einer AppLocker-Regel betroffen ist, wird die App-Binärdatei blockiert. Informationen zur Binärdatei werden dem AppLocker-Ereignisprotokoll hinzugefügt. |
| Nur Überwachen | Regeln werden überwacht, aber nicht erzwungen. Wenn ein Benutzer eine App ausführt, die von einer AppLocker-Regel betroffen ist, darf die App-Binärdatei ausgeführt werden. Die Informationen zur Binärdatei werden jedoch dem AppLocker-Ereignisprotokoll hinzugefügt. Der Erzwingungsmodus nur überwachen hilft Ihnen, die von der Richtlinie betroffenen Apps zu identifizieren, bevor die Richtlinie erzwungen wird. |
Wenn AppLocker-Richtlinien zusammengeführt werden, werden die Regeln aus allen Richtlinien der effektiven Richtlinie hinzugefügt, und für jede Regelsammlung wird ein einzelner Erzwingungsmodus ausgewählt. Wenn mehrere AppLocker-Richtlinien über Gruppenrichtlinie auf ein Gerät angewendet werden, wird die Einstellung des angewendeten Erzwingungsmodus basierend auf Gruppenrichtlinie Rangfolge ausgewählt. Wenn Sie eine AppLocker-Richtlinie lokal mithilfe des Set-AppLockerPolicy PowerShell-Cmdlets mit der Option -merge anwenden, wird der restriktivere Erzwingungsmodus zwischen der vorhandenen lokalen Richtlinie und der richtlinie ausgewählt, die zusammengeführt wird.
Regelbedingungen
Regelbedingungen sind Kriterien, die AppLocker dabei helfen, die Apps zu identifizieren, für die die Regel gilt. Die drei primären Regelbedingungen sind Herausgeber, Pfad und Dateihash.
- Herausgeber: Identifiziert eine App basierend auf ihrer digitalen Signatur
- Pfad: Identifiziert eine App anhand ihres Speicherorts im Dateisystem des Computers oder im Netzwerk.
- Dateihash: Stellt den vom System berechneten kryptografischen Authenticode-Hash der identifizierten Datei dar.
Herausgeber
Diese Bedingung identifiziert eine App basierend auf ihrer digitalen Signatur und erweiterten Attributen, sofern verfügbar. Die digitale Signatur enthält Informationen über das Unternehmen, das die App erstellt hat (den Herausgeber). Ausführbare Dateien, DLLs, Windows-Installer, gepackte Apps und gepackte App-Installationsprogramme enthalten auch erweiterte Attribute, die von der binären Ressource abgerufen werden. Diese Attribute enthalten häufig den Namen des Produkts, den ursprünglichen Dateinamen und die Versionsnummer der Datei, wie vom Herausgeber definiert. Wenn gepackte Apps und gepackte App-Installationsprogramme vorhanden sind, enthalten diese erweiterten Attribute den Namen und die Version des App-Pakets.
Hinweis
Regeln, die in der Regelsammlung für gepackte Apps und gepackte App-Installationsprogramme erstellt wurden, können nur Herausgeberbedingungen aufweisen, da Windows nicht signierte gepackte Apps und gepackte App-Installationsprogramme nicht unterstützt.
Verwenden Sie nach Möglichkeit eine Herausgeberregelbedingung, da sie gegenüber App-Updates sowie einer Änderung des Speicherorts von Dateien resilienter sind.
Wenn Sie eine Verweisdatei für eine Herausgeberbedingung auswählen, erstellt der Assistent eine Regel, die den Herausgeber, das Produkt, den Dateinamen und die Versionsnummer angibt. Sie können die Regel generischer gestalten, indem Sie den Schieberegler nach oben bewegen oder ein Platzhalterzeichen (*) in den Feldern "Produkt", "Dateiname" oder "Versionsnummer" verwenden.
Hinweis
Wenn Sie benutzerdefinierte Werte für eins der Felder einer Herausgeberregelbedingung im Assistenten zum Erstellen von Regeln eingeben möchten, müssen Sie das Kontrollkästchen Benutzerdefinierte Werte verwenden aktivieren. Wenn dieses Kontrollkästchen aktiviert ist, können Sie den Schieberegler nicht verwenden.
Die Dateiversion und paketversion steuern, ob ein Benutzer eine bestimmte Version, frühere Versionen oder höhere Versionen der App ausführen kann. Sie können eine Versionsnummer auswählen und dann die folgenden Optionen konfigurieren:
- Genau. Die Regel gilt nur für diese Version der App.
- Und darüber hinaus. Die Regel gilt für diese Version und alle höheren Versionen.
- Und weiter unten. Die Regel gilt für diese Version und alle früheren Versionen.
In der folgenden Tabelle wird beschrieben, wie eine Herausgeberbedingung angewendet wird.
| Option | Die Herausgeberbedingung lässt zu oder verweigert... |
|---|---|
| Alle signierten Dateien | Alle von einem Herausgeber signierten Dateien. |
| Nur Herausgeber | Alle vom benannten Herausgeber signierten Dateien. |
| Herausgeber und Produktname | Alle Dateien für das angegebene Produkt, das vom benannten Herausgeber signiert wurde. |
| Herausgeber- und Produktname und Dateiname | Jede Version der benannten Datei oder des Pakets für das benannte Produkt, das vom Herausgeber signiert wurde. |
| Herausgeber, Produktname, Dateiname und Dateiversion | Genau Die angegebene Version der benannten Datei oder des benannten Pakets für das benannte Produkt, das vom Herausgeber signiert wurde. |
| Herausgeber, Produktname, Dateiname und Dateiversion | Und darüber hinaus Die angegebene Version der benannten Datei oder des benannten Pakets und alle neuen Releases für das vom Herausgeber signierte Produkt. |
| Herausgeber, Produktname, Dateiname und Dateiversion | Und unten Die angegebene Version der benannten Datei oder des benannten Pakets und alle früheren Versionen für das vom Herausgeber signierte Produkt. |
| „Benutzerdefiniert“ | Sie können die Felder Herausgeber, Produktname, Dateiname, Versionspaketname und Paketversion bearbeiten, um eine benutzerdefinierte Regel zu erstellen. |
Pfad
Diese Regelbedingung identifiziert eine Anwendung anhand ihres Speicherorts im Dateisystem des Computers oder im Netzwerk.
AppLocker verwendet benutzerdefinierte Pfadvariablen für bekannte Pfade wie Programme und Windows.
In der folgenden Tabelle sind diese Pfadvariablen aufgeführt.
| Windows-Verzeichnis oder -Datenträger | AppLocker-Pfadvariable | Windows-Umgebungsvariable |
|---|---|---|
| Windows | %WINDIR% | %SystemRoot% |
| System32 und SysWOW64 | %SYSTEM32% | %SystemDirectory% |
| Windows-Installationsverzeichnis | %OSDRIVE% | %SystemDrive% |
| Programme | %PROGRAMFILES% | %ProgramFiles% und %ProgramFiles(x86)% |
| Wechselmedien (z. B. eine CD oder DVD) | %REMOVABLE% | |
| Wechseldatenträger (z. B. ein USB-Speicherstick) | %HOT% |
Wichtig
Da eine Pfadregelbedingung so konfiguriert werden kann, dass sie eine große Anzahl von Ordnern und Dateien enthält, sollten Pfadbedingungen sorgfältig geplant werden. Wenn eine Pfadregel z. B. einen Ordnerspeicherort enthält, über den Nicht-Administratoren Daten schreiben können, kann ein Benutzer (oder eine Schadsoftware, die als Standardbenutzer ausgeführt wird) nicht genehmigte Dateien an diesen Speicherort kopieren und die Dateien ausführen. Aus diesem Grund sollten Sie das Erstellen von Pfadbedingungen für standardmäßige beschreibbare Speicherorte vermeiden, z. B. für ein Benutzerprofil.
Dateihash
Wenn Sie die Dateihashregelbedingung auswählen, berechnet das System den kryptografischen Authenticode-Hash der identifizierten Datei. Der Vorteil dieser Regelbedingung besteht darin, dass eine Dateihashregelbedingung nur für eine Datei gilt, da jede Datei über einen eindeutigen Hash verfügt. Der Nachteil besteht darin, dass sich bei jeder Aktualisierung der Datei (z. B. ein Sicherheitsupdate oder Upgrade) der Hash der Datei ändert. Daher müssen Sie Dateihashregeln manuell aktualisieren.
AppLocker-Standardregeln
AppLocker-Richtlinien, die mit dem AppLocker-Gruppenrichtlinie-Editor erstellt wurden, können Standardregeln enthalten. Standardregeln sollen sicherstellen, dass die Dateien, die für den ordnungsgemäßen Betrieb von Windows erforderlich sind, in einer AppLocker-Regelsammlung zulässig sind. Hintergrundinformationen finden Sie unter Grundlegendes zu AppLocker-Standardregeln und schritte unter Erstellen von AppLocker-Standardregeln.
Ausführbare Standardregeltypen umfassen:
- Zulassen, dass Mitglieder der lokalen Administratorgruppe alle Apps ausführen können.
- Zulassen, dass Mitglieder der Gruppe Jeder Apps ausführen können, die sich im Windows-Ordner befinden.
- Mitgliedern der Gruppe Jeder das Ausführen von Apps erlauben, die sich im Ordner "Programme" befinden.
Zu den Standardregeltypen von Skripts gehören:
- Zulassen, dass Mitglieder der lokalen Administratorgruppe alle Skripts ausführen können.
- Zulassen, dass Mitglieder der Gruppe Jeder Skripts ausführen können, die sich im Ordner "Programme" befinden.
- Zulassen, dass Mitglieder der Gruppe Jeder Skripts ausführen können, die sich im Windows-Ordner befinden.
Zu den Standardregeltypen von Windows Installer gehören:
- Zulassen, dass Mitglieder der lokalen Administratorgruppe alle Windows Installer-Dateien ausführen können.
- Mitgliedern der Gruppe Jeder erlauben, alle digital signierten Windows Installer-Dateien auszuführen.
- Mitgliedern der Gruppe Jeder erlauben, alle Windows Installer-Dateien auszuführen, die sich im Ordner Windows\Installer befinden.
DLL-Standardregeltypen:
- Zulassen, dass Mitglieder der lokalen Administratorgruppe alle DLLs ausführen können.
- Mitgliedern der Gruppe Jeder das Ausführen von DLLs erlauben, die sich im Ordner "Programme" befinden.
- Zulassen, dass Mitglieder der Gruppe Jeder DLLs ausführen können, die sich im Windows-Ordner befinden.
Standardregeltypen für verpackte Apps:
- Zulassen, dass Mitglieder der Gruppe Jeder alle signierten gepackten Apps und App-Installationsprogramme installieren und ausführen können.
Verhalten von AppLocker-Regeln
Wenn keine AppLocker-Regeln für eine bestimmte Regelsammlung definiert sind, dürfen alle Dateien, die von dieser Regelsammlung abgedeckt werden, ausgeführt werden. Wenn jedoch eine Regel für eine bestimmte Regelsammlung vorhanden ist, werden nur die Dateien ausgeführt, die mindestens einer Zulassungsregel entsprechen, und keine Verweigerungsregeln. Wenn Sie beispielsweise eine ausführbare Regel erstellen, die die Ausführung .exe Dateien in %SystemDrive%\FilePath zulässt, dürfen nur ausführbare Dateien in diesem Pfad ausgeführt werden.
Eine Regel kann für die Verwendung von Zulassen- oder Ablehnungsaktionen konfiguriert werden:
- Zulassen Sie können angeben, welche Dateien in Ihrer Umgebung ausgeführt werden dürfen und für welche Benutzer oder Benutzergruppen. Sie können auch Ausnahmen konfigurieren, um Dateien zu identifizieren, die von der Regel ausgeschlossen sind.
- Verweigern. Sie können angeben, welche Dateien in Ihrer Umgebung nicht ausgeführt werden dürfen und für welche Benutzer oder Benutzergruppen. Sie können auch Ausnahmen konfigurieren, um Dateien zu identifizieren, die von der Regel ausgeschlossen sind.
Als bewährte Methode verwenden Sie Zulassen von Aktionen mit Ausnahmen. Obwohl Sie eine Kombination aus Zulassen- und Verweigern-Aktionen verwenden können, gewinnen Ablehnungsaktionen immer. Sie können keine andere Regel verwenden, um eine Datei zuzulassen, die einer Ablehnungsregel entspricht.
Regelausnahmen
Sie können AppLocker-Regeln auf einzelne Benutzer oder eine Gruppe von Benutzern anwenden. Wenn Sie eine Regel auf eine Gruppe von Benutzern anwenden, wirkt sich die Regel auf alle Benutzer in dieser Gruppe aus. Wenn Sie einer Teilmenge einer Benutzergruppe die Verwendung einer App erlauben müssen, können Sie eine spezielle Regel für diese Teilmenge erstellen. Die Regel "Jeder darf Windows mit Ausnahme von Registrierungs-Editor ausführen" erlaubt beispielsweise allen Personen im organization die Ausführung des Windows-Betriebssystems, erlaubt jedoch nicht, dass alle Benutzer die Registrierung Editor ausführen können.
Die Auswirkung dieser Regel würde verhindern, dass Benutzer wie Helpdeskmitarbeiter ein Programm ausführen, das für ihre Supportaufgaben erforderlich ist. Um dieses Problem zu beheben, erstellen Sie eine zweite Regel, die für die Helpdesk-Benutzergruppe gilt: "Helpdesk das Ausführen der Registrierung Editor erlauben". Wenn Sie stattdessen eine Ablehnungsregel verwenden, die alle Benutzer daran hindert, Die Registrierung Editor auszuführen, lässt die zweite Regel den Helpdeskbenutzern nicht das Ausführen der Registrierung Editor zu.
DLL-Regelsammlung
Da die DLL-Regelsammlung standardmäßig nicht aktiviert ist, müssen Sie das folgende Verfahren ausführen, bevor Sie DLL-Regeln erstellen und erzwingen können.
Die Mitgliedschaft in der lokalen Administratorgruppe oder einer entsprechenden Gruppe ist mindestens erforderlich, um dieses Verfahren abzuschließen.
So aktivieren Sie die DLL-Regelsammlung
- Wählen Sie Start aus, geben Sie secpol.msc ein, und drücken Sie dann die EINGABETASTE.
- Wenn das Dialogfeld Benutzerkontensteuerung angezeigt wird, vergewissern Sie sich, dass die angezeigte Aktion ihren Wünschen entspricht, und wählen Sie dann Ja aus.
- Doppelklicken Sie in der Konsolenstruktur auf Anwendungssteuerungsrichtlinien, klicken Sie mit der rechten Maustaste auf AppLocker, und wählen Sie dann Eigenschaften aus.
- Wählen Sie die Registerkarte Erweitert aus, aktivieren Sie das Kontrollkästchen DLL-Regelsammlung aktivieren , und wählen Sie dann OK aus.
Wichtig
Bevor Sie DLL-Regeln erzwingen, stellen Sie sicher, dass es Zulassungsregeln für jede DLL gibt, die von allen zulässigen Apps benötigt wird.
AppLocker-Assistenten
Sie können Regeln mithilfe von zwei AppLocker-Assistenten erstellen:
- Mit dem Assistenten zum Erstellen von Regeln können Sie jeweils eine Regel erstellen.
- Mit dem Assistenten zum automatischen Generieren von Regeln können Sie mehrere Regeln gleichzeitig erstellen. Sie können einen Ordner auswählen und dem Assistenten das Erstellen von Regeln für alle gefundenen relevanten Dateien überlassen. Oder lassen Sie den Assistenten für gepackte Apps Regeln für alle gepackten Apps erstellen, die auf dem Computer installiert sind. Sie können auch den Benutzer oder die Gruppe angeben, auf den die Regeln angewendet werden sollen. Dieser Assistent generiert automatisch nur Zulassungsregeln.
Weitere Aspekte
- Standardmäßig erlauben AppLocker-Regeln Benutzern nicht, Dateien zu öffnen oder auszuführen, die nicht zulässig sind. Administratoren sollten eine liste der zulässigen Anwendungen auf dem neuesten Stand halten.
- Es gibt zwei Arten von AppLocker-Bedingungen, die nach einem Update einer App nicht beibehalten werden:
- Eine Dateihashbedingung Dateihashregelbedingungen können mit jeder App verwendet werden, da zum Zeitpunkt der Erstellung der Regel ein kryptografischer Hashwert der App-Datei generiert wird. Der Hashwert ist jedoch spezifisch für die genaue Version der Datei. Wenn Sie mehrere Versionen der Datei zulassen müssen, benötigen Sie individuelle Dateihashbedingungen für jede Version der Datei.
- Eine Herausgeberbedingung mit einer bestimmten Produktversion Wenn Sie eine Herausgeberregelbedingung erstellen, die die Option Genau Version verwendet, kann die Regel nicht beibehalten werden, wenn eine neue Version der App installiert ist. Es muss eine neue Herausgeberbedingung erstellt werden, oder die Version muss in der Regel bearbeitet werden, damit sie weniger spezifisch ist.
- Wenn eine App nicht digital signiert ist, können Sie keine Herausgeberregelbedingung für diese App verwenden.
- Wenn Regeln für die EXE-Regelsammlung erzwungen werden, müssen Sie Regeln in der Regelsammlung für gepackte Apps und gepackte App-Installationsprogramme erstellen. Andernfalls werden alle gepackten Apps und gepackten App-Installationsprogramme blockiert.
- Eine benutzerdefinierte konfigurierte URL kann in die Meldung aufgenommen werden, die angezeigt wird, wenn eine App blockiert wird.
- Erwarten Sie eine Erhöhung der Anzahl von Helpdeskanrufen, wenn Benutzer auf apps stoßen, die nicht zulässig sind.
Inhalt dieses Abschnitts
| Artikel | Beschreibung |
|---|---|
| Erstellen einer Regel, die eine Dateihashbedingung verwendet | In diesem Artikel für IT-Experten wird gezeigt, wie Sie eine AppLocker-Regel mit einer Dateihashbedingung erstellen. |
| Erstellen einer Regel, die eine Pfadbedingung verwendet | In diesem Artikel für IT-Experten wird gezeigt, wie Sie eine AppLocker-Regel mit einer Pfadbedingung erstellen. |
| Erstellen einer Regel, die eine Herausgeberbedingung verwendet | In diesem Artikel für IT-Experten wird gezeigt, wie Sie eine AppLocker-Regel mit einer Herausgeberbedingung erstellen. |
| Erstellen von AppLocker-Standardregeln | In diesem Artikel für IT-Experten werden die Schritte zum Erstellen eines Standardsatzes von AppLocker-Regeln beschrieben, mit denen Windows-Systemdateien ausgeführt werden können. |
| Hinzufügen von Ausnahmen für eine AppLocker-Regel | In diesem Artikel für IT-Experten werden die Schritte beschrieben, um anzugeben, welche Apps als Ausnahmen für eine AppLocker-Regel ausgeführt werden können oder nicht. |
| Erstellen einer Regel für App-Pakete | In diesem Artikel für IT-Experten erfahren Sie, wie Sie eine AppLocker-Regel für gepackte Apps mit einer Herausgeberbedingung erstellen. |
| Löschen einer AppLocker-Regel | In diesem Artikel für IT-Experten werden die Schritte zum Löschen einer AppLocker-Regel beschrieben. |
| Bearbeiten von AppLocker-Regeln | In diesem Artikel für IT-Experten werden die Schritte zum Bearbeiten einer Herausgeberregel, einer Pfadregel und einer Dateihashregel in AppLocker beschrieben. |
| Aktivieren der DLL-Regelsammlung | In diesem Artikel für IT-Experten werden die Schritte zum Aktivieren des Features für die DLL-Regelsammlung für AppLocker beschrieben. |
| Erzwingen von AppLocker-Regeln | In diesem Artikel für IT-Experten wird beschrieben, wie Sie Anwendungskontrollesregeln mithilfe von AppLocker erzwingen. |
| Ausführen des Assistenten zum automatischen Generieren von Regeln | In diesem Artikel für IT-Experten werden die Schritte zum Ausführen des Assistenten zum Erstellen von AppLocker-Regeln auf einem Referenzgerät beschrieben. |
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für