Wählen Sie die Typen von Regeln erstellen
Betrifft: Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8
Dieses Thema enthält Ressourcen, die Sie verwenden können, wenn Ihre Anwendung Richtlinienregeln mithilfe von AppLocker auswählen.
Beim bestimmen, welche Typen von Regeln für die einzelnen Gruppen erstellen, sollten Sie auch, welche erzwingungseinstellung für jede Gruppe ermitteln. Regeltypen eignen sich besonders für einige Objekte, je nachdem, wie die Anwendung in einer bestimmten Geschäftsgruppe bereitgestellt werden.
Weitere Informationen zu AppLocker-Regeln, mit die Sie entscheiden, welche Regeln für die Anwendung können Sie in den folgenden Themen:
Grundlegendes zu Zulassungs- und Ablehnungsaktionen für AppLocker-Regeln
Grundlegendes zu den Bedingungstypen für AppLocker-RegelnGrundlegendes zu den Bedingungstypen für AppLocker-Regel
Wählen Sie die Regelsammlung
Die Regeln, die Sie erstellen, werden in der folgenden Regelsammlungen:
Ausführbare Dateien: .exe und .com
Windows Installer-Dateien: MSI-, MSP- und MST
Skripts: .ps1, .bat, .cmd, .vbs und .js
App-Pakete und app-Pakete verpackt: AppX
DLLs: .dll und .ocx
Hinweis
AppX und MST-Dateitypen gelten nicht für AppLocker auf Windows Server 2008 R2 und Windows 7 ausgeführt wird.
Standardmäßig lässt die Regeln eine Datei, die basierend auf Benutzer oder Gruppe Berechtigungen ausgeführt. Wenn Sie DLL-Regeln verwenden, müssen Sie für jede DLL-Datei, die von allen zugelassenen Anwendungen verwendet wird, eine DLL-Zulassungsregel erstellen. Die DLL-Regelsammlung ist standardmäßig nicht aktiviert.
Im Woodgrove Bank-Beispiel die Line-of-Business-Anwendung für die Unternehmensgruppe Kassierer ist c:\Programme\Microsoft Files\Woodgrove\Teller.exe, und diese Anwendung muss in einer Regel enthalten sein. Darüber hinaus, da diese Regel zu einer Liste der zulässigen Anwendungen ist, müssen die Windows-Dateien unter C:\Windows sein.
Bestimmen der Bedingung
Eine Regel ist die Kriterien, von denen eine AppLocker-Regel basiert, und kann nur eine der regelbedingungen in der folgenden Tabelle.
Regelbedingung |
Verwendungsszenario |
Ressourcen |
|---|---|---|
Herausgeber |
Um eine Herausgeberbedingung zu verwenden, müssen die Dateien digital vom Softwareherausgeber signiert werden, oder Sie müssen dazu ein internes Zertifikat verwenden. Regeln mit Angabe der Versionsebene müssen möglicherweise aktualisiert werden, wenn eine neue Version der Datei veröffentlicht wird. |
Weitere Informationen zu dieser Regelbedingung finden Sie unter Grundlegendes zur Herausgeberregelbedingung in AppLocker. |
Pfad |
Diese Regelbedingung kann jeder Datei zugewiesen werden. Da Pfadregeln jedoch Speicherorte im Dateisystem angeben, sind auch Unterverzeichnisse durch die Regel betroffen (es sei denn, sie sind ausdrücklich ausgenommen). |
Weitere Informationen zu dieser Regelbedingung finden Sie unter Grundlegendes zur Pfadregelbedingung in AppLocker. |
Dateihash |
Jede Datei kann diese Bedingung zugewiesen werden. Allerdings muss die Regel jedes Mal aktualisiert werden, wenn eine neue Version der Datei freigegeben wird, da der Hashwert teilweise auf die Version basiert. |
Weitere Informationen zu dieser Regelbedingung finden Sie unter Grundlegendes zur Dateihashregel-Bedingung in AppLocker. |
Im Woodgrove Bank-Beispiel wird die Line-of-Business-Anwendung für die Unternehmensgruppe Kassierer ist signiert und befindet sich unter c:\Programme\Microsoft Files\Woodgrove\Teller.exe. Aus diesem Grund kann die Regel mit einer herausgeberbedingung definiert werden. Wenn die Regel auf eine bestimmte Version oder höher definiert ist (z. B. Teller.exe Version 8.0 und höher), dadurch können Sie alle Updates für diese Anwendung erfolgen, ohne Unterbrechung des Zugriffs auf die Benutzer, wenn die Anwendung, Name und signierte des Aufenthaltsorts Attribute identisch.
Bestimmt, wie Systemdateien zulassen
Da AppLocker-Regeln eine Liste der zulässigen Anwendungen erstellen, müssen einer oder mehreren Regeln erstellt werden, damit alle Windows-Dateien ausführen können. AppLocker bietet eine Möglichkeit, um sicherzustellen, dass Systemdateien ordnungsgemäß gelten der Regelsammlung durch die Standardregeln für jede Regelsammlung generieren. Sie können die Standardregeln als Vorlage zum Erstellen eigener Regeln verwenden. Diese Regeln sollten jedoch nur als Ausgangsrichtlinie für erste Tests von AppLocker-Regeln verwendet werden, sodass die Systemdateien im Windows-Ordner ausgeführt werden können. Wenn eine Standardregel erstellt wird, wird es mit"(Standard)" im Namen gekennzeichnet, wie es in der Regelsammlung angezeigt wird.
Sie können auch eine Regel für die Systemdateien, die basierend auf der pfadbedingung erstellen. Im vorhergehenden Beispiel für die Gruppe Kassierer alle Windows-Dateien befinden sich unter C:\Windows und können mit dem Pfad Bedingung Regeltyp definiert werden. Dies ermöglicht den Zugriff auf diese Dateien, wenn Updates angewendet werden, und ändern Sie die Dateien. Wenn Sie zusätzliche Anwendungssicherheit benötigen, müssen Sie vielleicht die auf der Basis der integrierten Standardregelsammlung erstellten Regeln ändern. Beispielsweise basiert die Standardregel, die allen Benutzern die Ausführung von EXE-Dateien im Windows-Ordner erlaubt, auf einer Pfadbedingung, die die Ausführung aller Dateien im Windows-Ordner erlaubt. Der Windows-Ordner enthält einen Temp-Unterordner, in der die Gruppe "Benutzer" folgende Berechtigungen besitzt:
Ordner durchlaufen oder Datei ausführen
Dateien erstellen oder Daten schreiben
Ordner erstellen oder Daten anfügen
Diese Berechtigungseinstellungen gelten für diesen Ordner zur Anwendungskompatibilität. Da jedoch jeder Benutzer an diesem Speicherort Dateien erstellen kann, könnte die Erlaubnis, von diesem Speicherort aus Anwendungen auszuführen, mit der Sicherheitsrichtlinie Ihrer Organisation in Konflikt stehen.
Nächste Schritte
Nachdem Sie die Typen von Regeln erstellen ausgewählt haben, notieren Sie Ihre Ergebnisse wie in erläutert Dokumentieren der AppLocker-Regeln.
Nach der Aufzeichnung der Ergebnisse für die AppLocker-Regeln erstellen, müssen Sie überlegen, wie die Regeln zu erzwingen. Informationen hierzu finden Sie unter Bestimmen der Gruppenrichtlinie Struktur und die Regel erzwingen.