(0) exportieren Drucken
Alle erweitern
11 von 14 fanden dies hilfreich - Dieses Thema bewerten.

Windows 7 AppLocker im Überblick

Letzte Aktualisierung: Januar 2010

Betrifft: Windows 7

Dieses Thema enthält eine Einführung in AppLocker, ein neues Anwendungssteuerungsfeature in Windows 7, mit dem Sie die Ausführung unerwünschter und unbekannter Anwendungen im Netzwerk einer Organisation verhindern und gleichzeitig die Sicherheit, Funktionalität und Kompatibilität verbessern können.

Eine vollständige Übersicht über die Ressourcen, Artikel, Demos und Anleitungen zu Windows 7 finden Sie im Windows-Client-TechCenter in der Springboard-Serie für Windows 7 (möglicherweise in englischer Sprache).

Einführung

Die gewünschte oder anfängliche Softwarekonfiguration eines typischen Desktopcomputers ändert sich in der Regel durch die Installation und Ausführung nicht standardmäßiger oder nicht genehmigter Software. Benutzer installieren private Software, per Internetdownload, Peer-to-Peer-Dateifreigabe und E-Mail erhaltene Software und erhöhen dadurch sowohl das Risiko von Malwareinfektionen als auch die Anzahl von Anrufen beim Helpdesk. Außerdem kann immer schwerer sichergestellt werden, dass nur genehmigte und lizenzierte Software ausgeführt wird. Eine weitere Folge ist die Beeinträchtigung der Geschäftsproduktivität. Aus diesem Grund wünschen sich viele Organisationen eine bessere Kontrolle über ihre Desktopumgebung und implementieren zu diesem Zweck verschiedene Sperrmechanismen, u. a. die Einschränkung von Administratoranmeldeinformationen. Das Ausführen von Anwendungen als Standardbenutzer ohne Administratorrechte ist ein Schritt in die richtige Richtung, da es die Konfigurationsänderungen einschränkt, die an der Desktopumgebung vorgenommen werden können. Standardbenutzerrechte verhindern jedoch nicht in die Installation oder Ausführung unbekannter oder unerwünschter Software in der Organisation.

Die Richtlinien für Softwareeinschränkung (SRP) in Windows XP und Windows Vista stellten einen Mechanismus bereit, mit dem IT-Administratoren Anwendungssteuerungsrichtlinien definieren und erzwingen konnten. In einer extrem dynamischen Desktopumgebung, in der ständig Anwendungen installiert und aktualisiert wurden, konnten Richtlinien für Softwareeinschränkung jedoch durch die vorrangige Verwendung von Hashregeln in den Anwendungssteuerungsrichtlinien zu einer Verwaltungslast werden. Bei Hashregeln muss bei jeder Aktualisierung einer Anwendung eine neue Hashregel erstellt werden.

Windows 7 AppLocker

Windows 7 erfüllt mit der Einführung von AppLocker den steigenden Bedarf an Anwendungssteuerungslösungen. AppLocker bietet einen einfachen und flexiblen Mechanismus, mit dem Administratoren genau angeben können, was in der Desktopumgebung ausgeführt werden darf. AppLocker bietet Administratoren die folgenden Möglichkeiten und dient somit nicht nur der Sicherheit, sondern bietet auch Betriebs- und Kompatibilitätsvorteile:

  • Sie können die Ausführung nicht lizenzierter Software in der Desktopumgebung verhindern, wenn die Software nicht in der Liste zulässiger Anwendungen enthalten ist.

  • Sie können die Ausführung von anfälligen, nicht autorisierten Anwendungen (einschließlich Malware) in der Desktopumgebung verhindern.

  • Sie können Benutzer darin hindern, Anwendungen auszuführen, die unnötig Bandbreite verbrauchen oder auf andere Weise die Computerumgebung beeinträchtigen.

  • Sie können verhindern, dass Benutzer Anwendungen ausführen, die Fehler in der Desktopumgebung verursachen und die Supportkosten durch Helpdeskanrufe erhöhen.

  • Sie können mehr Optionen für eine effektive Desktopkonfigurationsverwaltung bereitstellen.

  • Sie können Benutzern das Ausführen genehmigter Anwendungen und Softwareupdates basierend auf Richtlinien gestatten und gleichzeitig sicherstellen, dass nur Benutzer mit Administratoranmeldeinformationen Anwendungen und Softwareupdates installieren oder ausführen können.

  • Sie können sicherstellen, dass die Desktopumgebung den Unternehmensrichtlinien und Branchenbestimmungen entspricht.

Zwei Regeltypen in AppLocker sorgen für eine einfache und leistungsstarke Struktur: Zulassen und Verweigern. Zudem haben Sie die Möglichkeit, Ausnahmen von diesen Aktionen zu definieren. Die Zulassungsaktion für Regeln beschränkt die ausführbaren Anwendungen auf eine Liste zulässiger Anwendungen und blockiert alle anderen Anwendungen. Bei der Ablehnungsaktion für Regeln ist das Gegenteil der Fall. Alle Anwendungen können ausgeführt werden, außer denen in einer Liste unzulässiger Anwendungen. Die meisten Unternehmen setzen vermutlich eine Kombination aus Zulassungs- und Ablehnungsaktionen ein. In einer idealen AppLocker-Bereitstellung hingegen werden Zulassungsaktionen für Regeln mit integrierten Ausnahmen verwendet. Ausnahmeregeln ermöglichen es, bestimmte, normalerweise enthaltene Dateien von einer Zulassungs- oder Ablehnungsaktion für eine Regel auszuschließen. Mithilfe von Ausnahmen können Sie eine Regel erstellen, mit der "alles unter dem Windows-Betriebssystem ausgeführt werden kann, außer den integrierten Spielen". Zulassungsaktionen für Regeln mit Ausnahmen stellen eine solide Möglichkeit dar, eine Liste zulässiger Anwendungen zu erstellen, ohne dass eine Unzahl von Regeln dazu erforderlich ist.

Mit AppLocker werden Herausgeberregeln eingeführt, die auf digitalen Anwendungssignaturen basieren. Herausgeberregeln ermöglichen das Erstellen von Regeln, die auch bei Updates einer Anwendungen bestehen bleiben, indem Attribute angegeben werden können (z. B. die Version einer Anwendung). So könnte eine Organisation z. B. die folgende Regel erstellen: "Ausführung aller Versionen ab 9.0 des Programms Acrobat Reader zulassen, wenn sie vom Softwareherausgeber Adobe signiert sind". Wenn Adobe nun Acrobat aktualisiert, können Sie das Anwendungsupdate bereitstellen, ohne eine neue Regel für die neue Anwendungsversion erstellen zu müssen.

AppLocker unterstützt mehrere, unabhängig konfigurierbare Richtlinien, die als Regelsammlungen bezeichnet werden: ausführbare Dateien, Installationsprogramme und DLLs. Mithilfe mehrerer Sammlungen kann eine Organisation Regeln erstellen, die über die herkömmlichen Lösungen mit ausschließlich ausführbaren Dateien hinausgehen. Das sorgt für eine höhere Flexibilität und einen besseren Schutz. Eine Organisation könnte z. B. folgende Regel erstellen: "Die Sicherheitsgruppe "Grafik" darf das Installationsprogramm oder die Anwendung von Adobe für Photoshop ausführen, solange es sich um Adobe Photoshop Version 14.*, handelt". Dadurch behalten IT-Administratoren die Kontrolle, und gleichzeitig können Benutzer die Computer in Übereinstimmung mit ihren Geschäftsanforderungen auf dem Laufenden halten. Darüber hinaus kann für jede dieser Richtlinien einzeln der Modus "nur überwachen" festgelegt werden. Damit können Sie Regeln testen, bevor sie Anwendungen blockieren und möglicherweise die Produktivität der Endbenutzer beeinträchtigen.

AppLocker-Regeln können bestimmten Benutzern oder Gruppen in der Organisation zugewiesen werden. Diese spezifische Steuerung ermöglicht es Ihnen, Kompatibilitätsanforderungen besser zu erfüllen, indem Sie genau überprüfen und festlegen können, welche Benutzer welche Anwendungen ausführen dürfen. Sie können z. B. folgende Regel erstellen: "Benutzer in der Sicherheitsgruppe "Finanzen" dürfen die Geschäftsanwendungen aus dem Finanzbereich ausführen". Dadurch wird verhindert, dass Personen, die nicht der Sicherheitsgruppe "Finanzen" angehören, Finanzanwendungen ausführen können (einschließlich Administratoren), ermöglicht aber denjenigen den Zugriff, die diese Anwendungen aus Geschäftsgründen ausführen müssen.

AppLocker ermöglicht IT-Administratoren mit neuen Regelerstellungstools und Assistenten eine unkomplizierte Bedienung. Ein IT-Administrator kann z. B. zu Testzwecken Regeln automatisch auf einem Referenzcomputer generieren und die Regeln anschließend zur allgemeinen Bereitstellung in die Produktionsumgebung importieren. Der IT-Administrator kann Richtlinien auch exportieren, um eine Sicherung der Produktionskonfiguration oder eine Dokumentation für Kompatibilitätszwecke bereitzustellen. Zum Erstellen und Bereitstellen von AppLocker-Regeln kann die Gruppenrichtlinieninfrastruktur verwendet werden, sodass keine zusätzlichen Schulungs- und Supportkosten für die Organisation anfallen.

AppLocker ist eine neue Technologie, die in Windows 7 Enterprise und Windows 7 Ultimate verfügbar ist. Außerdem ist AppLocker in Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter und Windows Server 2008 R2 für Itanium-basierte Systeme verfügbar. Richtlinien für Softwareeinschränkung sind in diesen Editionen ebenfalls verfügbar.

Zusammenfassung

Ihre Desktopumgebung gehört nicht nur zu Ihren wichtigsten Produktivitätsquellen sondern stellt auch eine erhebliche Investition dar. Sie benötigen Tools, die den Benutzern das Ausführen der Anwendungen ermöglichen, mit denen sie produktiv arbeiten können, und die gleichzeitig einen effizienten Schutz vor unbekannter und unerwünschter Software bieten.

Windows 7 erfüllt mit der Einführung von AppLocker die Nachfrage nach Anwendungssteuerungslösungen. AppLocker bietet einen einfachen und flexiblen Mechanismus, mit dem Administratoren genau angeben können, was in der Desktopumgebung ausgeführt werden darf. Dadurch dient AppLocker nicht nur der Sicherheit, sondern bietet auch Betriebs- und Kompatibilitätsvorteile. Außerdem kann AppLocker mit bekannten und bewährten Tools und Techniken verwaltet werden, sodass sich Ihre IT-Ressourcen darauf konzentrieren können, Ihre IT-Infrastruktur den wechselnden Geschäftsanforderungen anzupassen.

Siehe auch

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft. Alle Rechte vorbehalten.