(0) exportieren Drucken
Alle erweitern
Dieser Artikel wurde noch nicht bewertet - Dieses Thema bewerten.

AppLocker: Häufig gestellte Fragen

Letzte Aktualisierung: März 2011

Betrifft: Windows 7, Windows Server 2008 R2

In diesem Thema für IT-Professionals werden Fragen und Antworten zu den Grundlagen, der Bereitstellung und der Verwaltung von AppLocker aufgeführt. AppLocker ist eine Anwendungssteuerungsfunktion in Windows Server 2008 R2 und Windows 7.

Grundlegendes zu AppLocker

Planen und Bereitstellen von AppLocker-Richtlinien

Verwalten von AppLocker-Richtlinien

Grundlegendes zu AppLocker

Was ist AppLocker?

AppLocker ist eine neue Funktion in Windows Server 2008 R2 und Windows 7, die die Funktionen der Softwareeinschränkungsrichtlinien erweitert. AppLocker enthält neue Funktionen und Erweiterungen, die den Verwaltungsaufwand reduzieren und den Administratoren dabei helfen zu steuern, wie Benutzer auf Dateien zugreifen und diese verwenden können, wie z. B. ausführbare Dateien, Skripts, Windows Installer-Dateien und DLLs. Mit AppLocker haben Sie folgende Möglichkeiten:

  • Definieren Sie Regeln auf der Grundlage von Dateiattributen, die von der digitalen Signatur abgeleitet werden, wie unter anderem Herausgeber, Produktname, Dateiname und Dateiversion. Sie können beispielsweise Regeln auf der Grundlage des Attributs Herausgeber, die bei Aktualisierungen erhalten bleiben, oder Regeln für eine bestimmte Version einer Datei erstellen.

  • Weisen Sie Regeln einer Sicherheitsgruppe oder einem bestimmten Benutzer zu.

  • Erstellen Sie Ausnahmen für Regeln. Sie können beispielsweise eine Regel erstellen, die die Ausführung aller Windows-Prozesse mit Ausnahme des Registrierungs-Editors (Regedit.exe) gestattet.

  • Verwenden Sie den Überwachungsmodus, um die Richtlinie bereitzustellen und vor der Erzwingung deren Auswirkungen zu prüfen.

  • Importieren oder exportieren Sie Regeln. Import und Export beeinflussen die gesamte Richtlinie. So werden beispielsweiße beim Export einer Richtlinie alle Regeln sämtlicher Regelsammlungen exportiert, einschließlich der Erzwingungseinstellungen für die Regelsammlungen. Beim Importieren einer Richtlinie werden die vorhandenen Richtlinien überschrieben.

  • Vereinfachen Sie das Erstellen und Verwalten von AppLocker-Regeln mit Windows PowerShell-Cmdlets für AppLocker.

Wie unterscheidet sich AppLocker von den Softwareeinschränkungsrichtlinien?

Softwareeinschränkungsrichtlinien wurden ursprünglich in Windows XP und Windows Server 2003 entworfen, um IT-Fachleuten dabei zu helfen, die Anzahl von Anwendungen einzuschränken, die Administratorzugriff erfordern. Mit der Einführung der Benutzerkontensteuerung (UAC) und der Betonung von Standardbenutzerkonten in Windows Vista erfordern mittlerweile weniger Anwendungen Administratorrechte. Daher wurde AppLocker eingeführt, um die ursprünglichen Ziele der Softwareeinschränkungsrichtlinien zu erweitern, indem es IT-Administratoren ermöglicht wird, eine umfassende Liste von Anwendungen zu erstellen, deren Ausführung zugelassen werden soll.

In der folgenden Tabelle wird AppLocker mit Softwareeinschränkungsrichtlinien verglichen.

 

Funktion Softwareeinschränkungsrichtlinien AppLocker

Regelbereich

Bestimmter Benutzer oder Gruppe (pro Gruppenrichtlinienobjekt)

Bestimmter Benutzer oder Gruppe (pro Regel)

Bereitgestellte Regelbedingungen

Dateihash, Pfad, Zertifikat, Registrierungspfad und Internetzonenregeln

Dateihash, Pfad und Herausgeberregeln

Bereitgestellte Regeltypen

Zulassen und Verweigern

Zulassen und Verweigern

Standardregelaktion

Zulassen und Verweigern

Verweigern

Überwachungsmodus

Nein

Ja

Assistent für das gleichzeitige Erstellen mehrerer Regeln

Nein

Ja

Richtlinienimport oder -export

Nein

Ja

Regelsammlung

Nein

Ja

PowerShell-Unterstützung

Nein

Ja

Benutzerdefinierte Fehlermeldungen

Nein

Ja

Wer darf Dateien installieren und ausführen?

Administratoren können mithilfe von AppLocker steuern, welche Dateien auf einzelnen Computern ausgeführt werden dürfen. Benutzer, die kein Mitglied der Gruppe Administratoren sind, dürfen eine Datei nicht ausführen, wenn die AppLocker-Richtlinie das Ausführen der Datei explizit verweigert oder die Datei nicht Teil der zulässigen Dateien ist.

Wenn das Ausführen oder Installieren der Datei Administratorrechte erfordert, wird verhindert, dass Benutzer ohne Administratorrechte die Datei ausführen. Dies gilt auch dann, wenn die Datei explizit über eine AppLocker-Richtlinie zugelassen ist. Auch wenn AppLocker-Richtlinien erzwungen wurden, können nur Mitglieder der Gruppe Administratoren Dateien installieren oder ausführen, die Administratorrechte erfordern.

Welche Dateitypen können mit AppLocker verwaltet werden?

AppLocker kann verwendet werden, um vier verschiedene Dateitypen zu verwalten: ausführbare Dateien (.exe), Windows Installer (.msi und .msp), Skript (.bat, .cmd, .js, .ps1 und .vbs) sowie DLL (.dll und .ocx). Jeder dieser Dateitypen wird mithilfe einer eigenen Regelsammlung verwaltet.

Was sind Regelbedingungen?

Regelbedingungen sind Eigenschaften von Dateien, die AppLocker verwendet, um Regeln zu erzwingen. Jede AppLocker-Regel kann eine primäre Regelbedingung verwenden. Die folgenden drei Regelbedingungen sind in AppLocker verfügbar:

  • Die Herausgeber-Regelbedingungen können nur für Dateien verwendet werden, die von einem Softwareherausgeber digital signiert wurden. Für diesen Bedingungstyp werden das digitale Zertifikat (Herausgebername und Produktname) und die Eigenschaften der Datei (Dateiname und Dateiversion) verwendet. Dieser Regeltyp kann für eine gesamte Produktsuite erstellt werden, sodass die Regel in den meisten Fällen auch dann noch gilt, wenn die Anwendung aktualisiert wird.

  • Pfad-Regelbedingungen beruhen auf dem Datei- oder dem Ordnerinstallationspfad bestimmter Anwendungen.

  • Dateihash-Regelbedingungen beruhen auf dem eindeutigen Dateihash, den Windows für jede Datei kryptografisch berechnet. Dieser Bedingungstyp ist eindeutig. Daher muss immer dann, wenn ein Herausgeber eine Datei aktualisiert, eine neue Regel erstellt werden.

Gelten AppLocker-Richtlinien für ausführbare Dateien auf tragbaren Geräten?

Ja, AppLocker verhindert, dass Computer nicht autorisierte ausführbare Dateien ausführen. AppLock schützt jedoch keine Anwendungen vor böswilligen Änderungen. Dies bedeutet, dass die AppLocker-Regeln unabhängig davon angewendet werden, wo sich die ausführbare Datei befindet, z. B. auf einem Netzwerk, auf einem USB-Laufwerk oder in einer E-Mail-Anlage. Wenn beispielsweise eine AppLocker-Regel auf dem Betriebssystem einer Anwendung vorhanden ist, die auf einem USB-Laufwerk gehostet und von einem böswilligen Benutzer geändert wird, verhindert AppLock, dass die Anwendung unter dem Betriebssystem ausgeführt wird.

Überprüft AppLocker beim Definieren, ob eine binäre Signatur immer noch gültig ist, auf Zertifikatsperrungen?

Ja, beim Überprüfen der binären Signatur überprüft AppLocker die Zertifikatsperrung. Wenn jedoch ein Zertifikat zugelassen und anschließend gesperrt wurde, wird die Sperrung erst im Lauf eines Zeitraums von 24 Stunden wirksam.

Hat eine Ablehnungsaktion für eine Regel stets Vorrang?

Ja. AppLocker beinhaltet jedoch eine Funktion, mit der Ausnahmen für Ablehnungsaktionen einer Regel festgelegt werden können. Mithilfe der Regelausnahmen, die für Zulassungs- oder Ablehnungsaktionen übernommen werden können, werden Dateien oder Ordner angegeben, die von der Regel ausgeschlossen werden sollen. So kann z. B. eine Regel erstellt werden, um der Gruppe Jeder zu ermöglichen, sämtliche Anwendungen im Windows-Ordner mit Ausnahme von regedit.exe auszuführen. Eine weitere Regel kann erstellt werden, um es der Gruppe Helpdesk zu ermöglichen, regedit.exe auszuführen. Wenn jedoch eine explizite Ablehnungsaktion für regedit.exe vorhanden ist, kann diese von keiner anderen Regel, die der Gruppe Helpdesk den Zugriff auf regedit.exe gestattet, außer Kraft gesetzt werden.

Planen und Bereitstellen von AppLocker-Richtlinien

Welche Editionen von Windows 7 und Windows Server 2008 R2 unterstützen AppLocker-Regeln?

AppLocker-Regeln können auf Computern erzwungen werden, auf denen Windows 7 Ultimate, Windows 7 Enterprise oder eine beliebige Edition von Windows Server 2008 R2 mit Ausnahme von Windows Web Server 2008 R2 und Windows Server 2008 R2 Foundation ausgeführt wird.

Welche Editionen von Windows können zum Erstellen von AppLocker-Regeln verwendet werden?

Um Regeln für einen lokalen Computer zu erstellen, muss auf dem Computer Windows 7 Ultimate oder Windows 7 Enterprise ausführt werden. Wenn Regeln für ein Gruppenrichtlinienobjekt erstellt werden sollen, kann ein Computer verwendet werden, auf dem eine beliebige Edition von Windows 7 ausgeführt wird, sofern die Remoteserver-Verwaltungstools installiert sind. AppLocker-Regeln können auf einer beliebigen Edition von Windows Server 2008 R2 erstellt werden. AppLocker-Regeln können zwar auf Computern erstellt werden, auf denen Windows 7 Professional ausgeführt wird, sie werden auf diesen jedoch nicht erzwungen. Sie können die Regeln jedoch auf einem Computer erstellen, auf dem Windows 7 Professional ausgeführt wird, und anschließend die Implementierungsrichtlinie auf Computer exportieren, auf denen eine Edition von Windows ausgeführt wird, die die AppLocker-Regelerzwingung unterstützt.

Können Regeln der Softwareeinschränkungsrichtlinien in AppLocker-Regeln migriert werden?

Nein, nicht direkt. Da AppLocker eine neue Funktion in Windows Server 2008 R2 und Windows 7 ist, beruhen die AppLocker-Regeln nicht auf der gleichen Technologie wie die Regeln der Softwareeinschränkungsrichtlinien. Sie sollten die vorhandenen Regeln der Softwareeinschränkungsrichtlinien sorgfältig analysieren sowie ermitteln, wie diese den neuen AppLocker-Regeln konzeptionell zugeordnet werden können.

Kann die AppLocker-Standardregelaktion konfiguriert werden?

Im Rahmen der Standardregelaktion werden nur jene Anwendungen ausgeführt, die in der AppLocker-Regelsammlung ausdrücklich zugelassen sind. Obwohl keine Einstellung vorhanden ist, mit der das Standardregelverhalten konfiguriert wird, können Sie das Standardregelverhalten mithilfe der Standardregelsammlung von AppLocker überschreiben. Erstellen Sie hierzu eine Zulassungsregel mit einer auf * festgelegten Pfadbedingung. Mithilfe dieser Konfiguration können alle Dateien ausgeführt werden. Anschließend können Sie Ablehnungsregeln erstellen, um bestimmte Dateien zu blockieren.

Warum kann die Standardregelaktion nicht geändert werden?

Das Festlegen von zulässigen Dateien ist ein sicherere und überschaubarere Möglichkeit, Anwendungen in einer Organisation zu steuern, als das Festlegen der verweigerten Dateien. Obwohl das erstmalige Einrichten von Regeln mithilfe einer Verweigerungsliste einfacher sein kann, stellen Organisationen, die ihre Umgebungen einschränken möchten, fest, dass sie bedeutend mehr Regeln benötigen, um bestimmte Dateien zu blockieren, als beim Erstellen einer Liste zulässiger Dateien erforderlich wären.

Können die AppLocker-Regeln vor dem Erzwingen getestet werden?

Ja, Sie können den AppLocker-Erzwingungsmodus Nur überwachen verwenden, um die Regeln vor dem Erzwingen zu testen. Beim Implementieren werden Anwendungen, die blockiert würden, als Warnereignisse in den AppLocker-Protokollen aufgezeichnet.

Können AppLocker-Regeln auf bestimmte Benutzer oder Gruppen angewendet werden?

Ja, für bestimmte Benutzer oder Gruppen können Regeln erstellt werden. Eine Regel kann jedoch nur für einen Benutzer oder eine Gruppe gelten. Sie können auch AppLocker-Regeln erstellen, die für alle Benutzer (Gruppe Jeder) gelten, und anschließend dieses Gruppenrichtlinienobjekt für eine bestimmte Computergruppe übernehmen.

Müssen die Domänencontroller aktualisiert werden, um AppLocker-Regeln zu verwenden?

Nein, Sie müssen die Domänencontroller nicht aktualisieren. Sie können vorhandene Domänencontroller unter Windows Server 2003 oder Windows Server 2008 verwenden, um die AppLocker-Richtlinie zu hosten. Sie können jedoch keine Computer unter Windows Server 2003 oder Windows Server 2008 verwenden, um AppLocker-Regeln zu erstellen.

Verwendet AppLocker für die Regelerzwingung irgendwelche Dienste?

Ja, AppLocker verwendet den Anwendungsidentitätsdienst (AppIDSvc) für die Regelerzwingung. Damit AppLocker-Regeln erzwungen werden können, muss dieser Dienst im Gruppenrichtlinienobjekt auf automatisches Starten gesetzt werden.

Wie werden DLL-Regeln erstellt?

Um DLL-Regeln in einem Gruppenrichtlinienobjekt zu erstellen, muss die DLL-Regelsammlung aktiviert werden. (Die DLL-Regelsammlung ist in der Standardeinstellung deaktiviert).

Warum ist die DLL-Regelsammlung in der Standardeinstellung deaktiviert?

Das Verwalten von DLLs kann eine komplizierte Aufgabe sein. Jede Anwendung erfordert, dass bestimmten DLLs ausgeführt werden, und eine Anwendung kann viele DLLs starten. Aus diesem Grund ist das Implementieren von DLL-Regeln eine erweiterte Methode der Verwendung von AppLocker. Eine nicht ordnungsgemäße Konfiguration der DLL-Regeln kann Anwendungskompatibilitätsprobleme verursachen. Da AppLocker stets vor dem Ausführen einer DLL prüft, ob diese zulässig ist, werden im Ereignisprotokoll viele AppLocker-Ereignisse generiert. Daher sollten Sie die DLL-Regeln vor dem Aktivieren der Regelsammlung sorgfältig planen.

Können alle Anwendungen mit Ausnahme eines bestimmten Softwareherausgebers blockiert werden?

Ja. Erstellen Sie hierzu eine Herausgeberbedingungsregel, die das Ausführen aller Dateien ermöglicht, die von einem bestimmten Softwareherausgeber signiert wurden. In einigen Fällen muss für dynamisch erstellte Binärdateien eine Pfadregelbedingung erstellt werden.

noteHinweis
Verwenden Sie den Erzwingungsmodus Nur überwachen, um vor dem Erzwingen der Regeln sicherzustellen, dass Ihre Anwendungsliste vollständig ist.

Wird die Leistung beim Anwendungsstart beeinträchtigt?

Benutzer werden beim Anwendungsstart keine Leistungsveränderungen wahrnehmen, wenn die AppLocker-Regeln erzwungen wurden. Wie bei den meisten Richtlinien entsteht ein zusätzlicher Aufwand beim Prüfen oder Einrichten der Richtlinie. Beim Erzwingen einer DLL-Regelsammlung kann die Leistung beim Anwendungsstart beeinträchtigt werden, wenn die Anwendung zahlreiche DLLs lädt, da AppLocker alle DLLs überprüft.

Kann AppLocker Application Virtualization-Anwendungen (App-V) steuern?

Ja, Sie sollten jedoch einige Punkte beachten:

  • Wenn die AppLocker-Regeln aktiviert wurden, muss eine Pfadregelbedingung mit einer Zulassungsaktion für den App-V-Installationspfad festgelegt werden.

  • Wenn App-V am Standardspeicherort installiert ist, reicht das Generieren der AppLocker-Standardregeln aus, um die Ausführung zu ermöglichen.

Verwalten von AppLocker-Richtlinien

Warum werden meine AppLocker-Regeln nicht erzwungen?

In der Regel werden die AppLocker-Regeln aus folgenden Gründen nicht erzwungen:

  • Der Anwendungsidentitätsdienst (AppIDsvc) wird nicht ausgeführt.

  • Die Regelerzwingung ist auf Nur überwachen festgelegt.

Wie können die AppLocker-Ereignisse auf Clientcomputern angezeigt werden?

Sie können AppLocker-Ereignisse mithilfe von Ereignisweiterleitungstechnologien, der Ereignisanzeige (eventvwr.msc) oder dem Windows PowerShell-Cmdlet Get-WinEvent anzeigen.

Sie können entweder Remotedesktop verwenden, um sich an einem Clientcomputer anzumelden, oder sich an diesem Computer physisch anmelden, um die AppLocker-Ereignisse anzuzeigen oder zu erfassen.

In der Ereignisanzeige werden AppLocker-Ereignisse in einem Protokoll unter folgendem Pfad gespeichert: Anwendungs- und Dienstprotokolle\Microsoft\Windows\AppLocker. Es gibt zwei untergeordnete Protokolle: eines für ausführbare Dateien und DLLs und eines für Windows Installer-Dateien und -Skripts.

Wie muss vorgegangen werden, wenn die Regeln zu restriktiv sind, sodass Windows nicht ordnungsgemäß ausgeführt oder nicht gestartet wird?

Wenn AppLocker aktiviert wird, können nur die festgelegten Anwendungen ausgeführt werden. Beim erstmaligen Erstellen von Regeln fordert Sie AppLocker auf, die Standardregeln zu erstellen. Diese Standardregeln stellen sicher, dass wichtige Windows-Systemdateien sowie alle Dateien im Verzeichnis Programmdateien ausgeführt werden können. Obwohl die Standardregeln nicht erforderlich sind, wird empfohlen, mit den Standardregeln als Grundlage zu beginnen und diese anschließend zu bearbeiten oder eigene Regeln zu erstellen, um sicherzustellen, dass Windows ordnungsgemäß ausgeführt wird.

Wenn Computer aufgrund der AppLocker-Richtlinie nicht ordnungsgemäß gestartet werden können, bearbeiten Sie die AppLocker-Regeln im entsprechenden Gruppenrichtlinienobjekt, sodass diese weniger restriktiv sind. Wenn die AppLocker-Regeln in der lokalen Richtlinie eines Computers definiert werden, starten Sie den Computer im abgesicherten Modus, erstellen Sie die AppLocker-Standardregeln, und starten Sie anschließend den Computer neu.

Kann AppLocker über die Befehlszeile gesteuert werden?

Ja. AppLocker stellt Windows PowerShell-Cmdlets bereit, die entworfen wurden, um die Verwaltung einer AppLocker-Richtlinie zu rationalisieren. Diese können verwendet werden, um AppLocker-Richtlinien zu erstellen, zu testen, zu warten und Fehler zu beheben. Die Cmdlets sind für die Verwendung mit der AppLocker-Benutzeroberfläche konzipiert, auf die über die MMC-Snap-In-Erweiterung (Microsoft Management Console) für das Snap-In Lokale Sicherheitsrichtlinie und die Gruppenrichtlinien-Verwaltungskonsole zugegriffen wird.

Kann AppLocker über einen virtuellen Computer verwaltet werden?

Nein. Bei einem virtuellen Computer handelt es sich um ein separates Abbild. Daher kann das Abbild nicht auf die Richtliniendateien des Computers zugreifen, auf dem die AppLocker-Richtlinien gehostet werden.

Können Notfallverwaltungsaufgaben, wie z. B. das Übernehmen einer Richtlinienausnahme für einen einzelnen Benutzer, mithilfe von Remotedesktop durchgeführt werden?

Einige Aufgaben können mit Remotedesktop ausgeführt werden. AppLocker-Richtlinien können mithilfe von Domänengruppenrichtlinienobjekten, lokalen Gruppenrichtlinienobjekten oder beiden übernommen werden. Wenn ein Benutzer den Zugriff auf eine Anwendung anfordert, kann eines der Windows PowerShell-Cmdlets oder das Snap-In Lokale Sicherheitsrichtlinie (secpol.msc) verwendet werden, um eine lokale Regel hinzuzufügen, mit der die Anwendung vorübergehend zugelassen wird. In beiden Fällen müssen Sie über Administratorrechte verfügen. Sie können hierzu Remotedesktop oder die Windows PowerShell-Remotezugriffsfunktionen verwenden.

Kann ein Administrator eine Richtlinie rückgängig machen oder korrigieren, wenn ein Fehler unterlaufen ist?

In AppLocker können Aktionen nicht rückgängig gemacht werden. Es tritt jedoch eine leichte Verzögerung bei der Anwendung von Richtlinien ein. Daher können Sie die Regeln ändern, sofern das AppLocker-Snap-In noch geöffnet ist. Das Weitergeben der Richtlinie an einen Clientcomputer, der einer Domäne angehört, kann eine bestimmte Zeit dauern. Daher können Sie fehlerhafte Regeln möglicherweise löschen und die richtigen erstellen, bevor die Richtlinie angewendet wird.

CautionVorsicht
AppLocker-Regelsammlungen sollten während des Erzwingens in der Gruppenrichtlinie nicht bearbeitet werden. Da AppLocker steuert, welche Dateien ausgeführt werden dürfen, können Änderungen an aktiven Richtlinien zu unerwartetem Verhalten führen.

Können Berechtigungen oder Regeln gesichert werden?

Ja. Hierfür stehen drei Methoden zur Verfügung:

  • Sichern der Gruppenrichtlinienobjekte mit der Gruppenrichtlinien-Verwaltungskonsole (nur für Domänenrichtlinien).

  • Exportieren der AppLocker-Richtlinie mit dem AppLocker-Snap-In

  • Erstellen eines Skripts mit dem Windows PowerShell-Cmdlet Get-AppLockerPolicy, um die Richtlinie zu exportieren

Können mit AppLocker bestimmte Zeiträume im Laufe eines Tages eingerichtet werden, an denen eine Anwendung verwendet werden kann?

Nein, AppLocker kann nicht verwendet werden, um Anwendungen im Laufe eines Tages nur zu bestimmten Zeiten auszuführen oder um die Anzahl der Stunden einzuschränken, zu denen eine Anwendung ausgeführt werden kann.

Warum können die AppLocker-Richtlinien nur von einem Administrator geändert werden?

Auf diese Weise wird verhindert, dass ein am Computer angemeldeter Standardbenutzer die AppLocker-Regeln ändern kann, um auf eine Anwendung zuzugreifen oder diese hinzuzufügen. Auf einem Computer, der zu einer Domäne gehört, kann der Administrator des Computers AppLocker-Regeln erstellen, die mit den im Domänen-Gruppenrichtlinienobjekt angegebenen Regeln auf Domänenebene zusammengeführt werden können.

Können AppLocker-Regeln erstellt werden, mit denen bestimmten Benutzern der Zugriff auf ein Programm gestattet und anderen der Zugriff verweigert wird?

Ja, AppLocker-Regeln können sich auf Benutzer und Gruppen beziehen. Sie können für eine Anwendung beliebig viele Regeln erstellen. Sie können z. B. eine Regel erstellen, die der Gruppe „Finanzwesen“ gewährt, winword.exe auszuführen, während eine zweite Regel der Gruppe „Personalwesen“ gewährt, winword.exe auszuführen.

Wie kann einem Benutzer vorübergehend gestattet werden, Anwendungen auszuführen oder zu installieren?

Es gibt eine Vielzahl von Methoden. Die jeweils am besten geeignete ist abhängig von Ihrer Administratorpraxis. Im Folgenden finden Sie einige mögliche Methoden:

  • Sie können den Erzwingungsmodus der entsprechenden Regelsammlung auf Nur überwachen festlegen, damit AppLocker aktuell keine Anwendung sperrt. Anschließend können Sie den Erzwingungsmodus in Regeln erzwingen ändern.

  • Sie können eine Organisationseinheit erstellen, die einen separaten Regelsatz umfasst, die Benutzer jedoch nicht daran hindert, eine bestimmte Anwendung auszuführen. Verschieben Sie den Benutzer vorübergehend in diese Organisationseinheit, während sie das Update oder die Anwendung installieren. Verschieben Sie die Benutzer anschließend wieder in die Organisationseinheit, in der die ursprüngliche Regelerzwingung gilt.

Kann AppLocker Regelkonflikte erkennen?

Nein. Sie können jedoch mithilfe der Windows PowerShell-Cmdlets Get-AppLockerPolicy und Test-AppLockerPolicy überprüfen, ob bestimmte Dateien anhand einer AppLocker-Richtlinie zulässig sind. Eine zweite Option ist das Erstellen einer doppelten Richtlinie (z. B. auf einem Referenzcomputer), sodass die Richtlinie vor der Bereitstellung getestet sowie sichergestellt werden kann, dass die gewünschten Ergebnisse erzielt werden.

Ist zum Verwenden der AppLocker-Richtlinien eine Domänen- und Gruppenrichtlinieninfrastruktur erforderlich?

Nein. Sie können AppLocker auf einem eigenständigen Computer ausführen, auf dem Windows 7 Ultimate oder Windows 7 Enterprise ausgeführt wird. Sie können Regeln mit den Export- und Importfunktionen von AppLocker auf diese Computer verteilen.

noteHinweis
Achten Sie darauf, keine zu restriktive Liste zu erstellen, die das Ausführen von Betriebssystemdateien verhindert. Um dies zu verhindern, können Sie zunächst die Standardregeln definieren und anschließend Einschränkungen je nach Bedarf inkrementell übernehmen.

Was geschieht, wenn das Zertifikat einer Datei abläuft, über deren Herausgeberregel ich verfüge? Unterstützt AppLocker Zeitstempel?

Wenn das Zertifikat der Anwendung abläuft, während die Regel erzwungen wird, wird das Ausführen der Binärdatei verhindert. Eine Binärdatei wird als signiert betrachtet, sofern die Zeitstempelung während der Gültigkeitsdauer sowohl des Signierens des Zertifikats als auch der Zeitstempelung der Zertifikate in der Zertifikatskette erfolgt ist.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft. Alle Rechte vorbehalten.