Plan für die Verwaltung von AppLocker-Richtlinie

 

Betrifft: Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

Dieses Thema beschreibt die Entscheidungen, die Sie die Prozesse zum Verwalten und Warten von AppLocker-Richtlinien einrichten müssen.

Richtlinienverwaltung

Bevor Sie mit der Bereitstellung beginnen, sollten Sie wie die AppLocker-Regeln verwaltet werden. Entwicklung eines Prozesses zur Verwaltung von AppLocker Regeln trägt dazu bei, denen AppLocker weiterhin effizient zu steuern, wie Programme in Ihrer Organisation ausführen dürfen.

Anwendung und support-Richtlinien

Entwicklung eines Prozesses zur Verwaltung von AppLocker Regeln trägt dazu bei, denen AppLocker weiterhin effizient zu steuern, wie Programme in Ihrer Organisation ausführen dürfen. Aspekte umfassen:

  • Welche Art von Endbenutzer-Support für blockierte Applikationen bereitgestellt wird?

  • Wie werden neue Regeln zur Richtlinie hinzugefügt?

  • Wie werden die vorhandene Regeln aktualisiert?

  • Werden Ereignisse werden zur Überprüfung weitergeleitet?

Helpdesk-support

Wenn Ihre Organisation eine etablierte Helpdesk-Abteilung verfügt, berücksichtigen Sie bei der Bereitstellung von AppLocker-Richtlinien:

  • Welche Dokumentation erfordert Ihre Support-Abteilung für die richtlinienbereitstellung der neuen?

  • Was die kritischen Prozesse in allen Geschäftsbereichen sind beide im Workflow gruppieren und ein Timeout, die von Anwendungssteuerungsrichtlinien betroffen und kann Einfluss auf Ihre Support-Abteilung Arbeitslast?

  • Wer sind die Kontakte in der Support-Abteilung?

  • Wie lösen die Support-Abteilung Steuerelement Anwendungsprobleme zwischen dem Endbenutzer und diejenigen, die die AppLocker-Regeln verwalten?

Endbenutzer-support

Da AppLocker nicht genehmigte Anträge Ausführung verhindert wird, ist es wichtig, Ihre Organisation sorgfältig planen, wie Endbenutzer-Support bereitgestellt. Aspekte umfassen:

  • Möchten Sie eine Intranetsite als erste Zeile der Unterstützung für Benutzer, die versuchen, eine blockierte Anwendung auszuführen, verwenden?

  • Wie möchten Sie Ausnahmen für die Richtlinie unterstützt? Ermöglicht Ihnen, Benutzern ein Skript für den Zugriff auf eine blockierte Anwendung vorübergehend ausgeführt werden?

Verwenden eine Intranetsite

AppLocker kann so konfiguriert werden, dass die Standardnachricht angezeigt, aber mit einer benutzerdefinierten URL. Mithilfe dieser URL können Benutzer auf eine Support-Website umgeleitet werden, die Informationen zu den Ursachen des Fehlers und zu den Anwendungen enthält, die ausgeführt werden dürfen. Wenn Sie nicht eine benutzerdefinierte URL für die Nachricht angezeigt werden, wenn eine Anwendung blockiert ist, wird die Standard-URL verwendet.

Die folgende Abbildung zeigt ein Beispiel für eine blockierte Anwendung die Fehlermeldung. Können Sie dieLegen Sie einen Weblink UnterstützungEinstellung Anpassen derWeitere InformationenLink.

AppLocker blocked application error message

Blockierte Anwendungsfehlermeldung

Eine benutzerdefinierte URL für die Nachricht anzeigen, finden Sie unteranzuzeigen, eine benutzerdefinierte URL Nachricht Wenn Benutzer versuchen, eine blockierte Anwendung auszuführen(https://go.microsoft.com/fwlink/?LinkId=160265).

Verwaltung von AppLocker-Ereignissen

Jedes Mal, die ein Prozess über die Berechtigung zum Ausführen, fordert erstellt AppLocker ein Ereignis im Ereignisprotokoll AppLocker. Die Ereignisdetails wollten, dass die Datei ausgeführt werden, die Attribute der Datei, die Benutzer der Initiierung der Anforderung und die Regel-GUID, die verwendet wurde, um die AppLocker-Ausführung Entscheidung zu treffen. Das AppLocker-Ereignisprotokoll befindet sich unter folgendem Pfad: Anwendungs- und Dienstprotokolle\Microsoft\Windows\AppLocker. Das AppLocker-Protokoll umfasst drei Protokolle:

  1. Exe- und DLL. Enthält die Ereignisse für alle Dateien, die durch die ausführbare Datei und DLL-Regelsammlungen (.exe, .com, DLL- und OCX) betroffen.

  2. MSI und Script. Enthält die Ereignisse für alle Dateien, die von der Regelsammlungen Windows Installer und Skript (MSI-Datei, MSP,. ps1, bat, .cmd, VBS und js) betroffen sind.

  3. App-Bereitstellung gepacktoderverpackt die app-Ausführungenthält Ereignisse, die für alle betroffenen von der app für Windows 8-apps und app-Installer-Regelsammlung (AppX) gepackt.

Diese Ereignisse an einem zentralen Ort sammeln können Sie die Problembehandlung bei der Regel-Konfiguration und Verwalten von AppLocker-Richtlinien. Ereignis Auflistung Technologien, z. B. in Windows verfügbaren ermöglichen es Administratoren, bestimmte Ereignis Channels abonnieren und haben die Ereignisse vom Quellcomputer, die in einer weitergeleiteten Ereignisprotokoll auf einem Windows Server-Betriebssystem Collector aggregiert. Weitere Informationen zum Einrichten eines Ereignisabonnements finden Sie unterEinrichten von Computern zum Erfassen und weitergeleitete Ereignisse(https://go.microsoft.com/fwlink/?LinkId=145012).

Richtlinienwartung

Bereitstellen einer neuen Anwendung oder vorhandenen Anwendung vom Softwareherausgeber aktualisiert werden, müssen Sie überarbeiten Sie Ihren Regelsammlungen, um sicherzustellen, dass die Richtlinie aktuell ist.

Sie können eine AppLocker-Richtlinie bearbeiten, indem Sie Regeln hinzufügen, ändern oder entfernen. Sie können keine jedoch eine Version für die Richtlinie angeben, durch zusätzliche Regeln importieren. Um die Versionskontrolle beim Ändern einer AppLocker-Richtlinie zu gewährleisten, verwenden Sie Gruppenrichtlinienverwaltungs-Software, die Sie Versionen von Gruppenrichtlinienobjekten (GPOs) erstellen kann. Ein Beispiel für diese Art von Software ist die Funktion "Erweiterte Gruppenrichtlinienverwaltung" aus dem Microsoft Desktop Optimization Pack. Weitere Informationen zur erweiterten Gruppenrichtlinienverwaltung (Advanced Group Policy Management, AGPM) finden Sie in der Übersicht zur erweiterten Gruppenrichtlinienverwaltung (https://go.microsoft.com/fwlink/?LinkId=145013).

Warnung

AppLocker-Regelsammlungen sollten während des Erzwingens in der Gruppenrichtlinie nicht bearbeitet werden. Da AppLocker steuert, welche Dateien ausgeführt werden dürfen, können Änderungen an aktiven Richtlinien zu unerwartetem Verhalten führen.

Neue Version einer Anwendung unterstützten

Wenn eine neue Version einer Anwendung in der Organisation bereitgestellt wird, müssen Sie feststellen, ob Sie weiterhin die vorherige Version der Anwendung zu unterstützen. Um die neue Version hinzuzufügen, müssen Sie nur zum Erstellen einer neuen Regel für jede Datei, die der Anwendung zugeordnet ist. Wenn Sie herausgeberbedingungen verwenden und die Version nicht angegeben ist, können die vorhandene Regel oder Regeln ausreichen, führen Sie die aktualisierte Datei sein. Sie müssen jedoch sicherstellen, dass die aktualisierte Anwendung nicht die Dateinamen verändert oder Dateien zur Unterstützung neuen Funktionen hinzugefügt. In diesem Fall müssen Sie die vorhandene Regeln ändern oder neue Regeln erstellen. Um weiterhin eine Publisher-basierten Regel ohne eine bestimmte Dateiversion wiederverwenden, Sie müssen außerdem sicherstellen, dass die digitale Signatur der Datei weiterhin mit der früheren Version identisch ist – die Herausgeber, Produktname und Dateinamen (falls in der Regel konfiguriert wird), müssen alle für die Regel ordnungsgemäß angewendet werden übereinstimmen.

Um zu bestimmen, ob eine Datei während einer anwendungsaktualisierung geändert wurde, Einzelheiten des Herausgebers Version mit dem Updatepaket bereitgestellt. Sie können auch die Verleger-Webseite zum Abrufen dieser Informationen überprüfen. Jede Datei kann auch überprüft werden, um die Version zu ermitteln.

Für Dateien, die gewährt bzw. verweigert mit Dateihashbedingungen, müssen Sie den neuen Dateihash abrufen. Um Unterstützung für eine neue Version hinzufügen und verwalten Sie eine Unterstützung für die ältere Version, können Sie eine neue Dateihashregel für die neue Version zu erstellen oder Sie bearbeiten Sie die vorhandene Regel und Dateihash neue der Liste hinzufügen.

Für Dateien mit pfadbedingungen sollten Sie sicherstellen, dass der Installationspfad nicht von geändert wurde, was in der Regel angegeben ist. Wenn der Pfad geändert wurde, müssen Sie die Regel vor der Installation der neuen Version der Anwendung zu aktualisieren.

Anwendung vor kurzem bereitgestellt.

Um eine neue Anwendung zu unterstützen, müssen Sie eine oder mehrere Regeln zu den vorhandenen AppLocker-Richtlinien hinzufügen.

Anwendung wird nicht mehr unterstützt.

Ihrer Organisation festgelegt, dass es nicht mehr eine Anwendung unterstützen, die AppLocker-Regeln zugeordnet wurde, ist die einfachste Möglichkeit, die verhindern, dass Benutzer die Anwendung ausführen, löschen Sie diese Regeln.

Anwendung wird blockiert, jedoch dürfen

Eine Datei konnte aus drei Gründen blockiert werden:

  • Die häufigste Ursache ist, dass keine Regel vorhanden ist, um die Anwendung ausführen kann.

  • Es gibt möglicherweise eine vorhandene Regel, die für die Datei erstellt wurde, zu restriktiv ist.

  • Eine Deny-Regel, die nicht überschrieben werden kann, wird die Datei blockiert.

Vor dem Bearbeiten der Regelsammlung, ermitteln Sie zunächst welche Regel die Datei verhindert wird. Sie können das Problem beheben, indem Sie mit derTest-AppLockerPolicyWindows PowerShell-Cmdlet. Weitere Informationen zur Problembehandlung bei einer AppLockerpolicy finden Sie unterTesten und Aktualisieren einer AppLocker-Richtlinie(https://go.microsoft.com/fwlink/?LinkId=160269).

Nächste Schritte

Notieren Sie nach der Entscheidung, wie Ihre Organisation die AppLocker-Richtlinien verwaltet werden sollen die Ergebnisse.

  • Endbenutzer-Support-Richtlinie. Dokumentieren Sie den Prozess, den Sie verwenden, um die Anrufe von Benutzern, die versucht haben, eine blockierte Anwendung auszuführen, und sicherstellen, dass Supportmitarbeiter klare Eskalationsverfahren Schritte verfügen, damit der Administrator die AppLocker-Richtlinie aktualisieren kann bei Bedarf.

  • Ereignisse zu verarbeiten. Dokumentieren Sie, ob Ereignisse Speicher archiviert, und gibt an, ob die Ereignisse verarbeitet werden für die Analyse an einer zentralen Stelle aufgerufen, wie einen Speicher erfasst werden.

  • Verwaltung von Gruppenrichtlinien. Detaillierte Informationen Sie, wie Regeln der Richtlinie hinzugefügt werden und in welcher Gruppenrichtlinienobjekt die Regeln definiert sind.

Informationen und Schritte zum Dokumentieren Ihrer Prozesse finden Sie unterDokumentieren Sie Ihre Anwendung Control Management-Prozesse.