Verwenden eines Referenzcomputers zum Erstellen und Verwalten von AppLocker-Richtlinien
Betrifft: Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8
In diesem Thema für IT-Experten werden die Schritte zum Erstellen und Warten von AppLocker-Richtlinien mithilfe eines Referenzcomputers beschrieben.
Hintergrund und Voraussetzungen
Ein AppLocker-Referenzcomputer ist ein Basiscomputer, mit dem Sie AppLocker-Richtlinien konfigurieren und verwalten können. Das Verfahren zum Konfigurieren eines Referenzcomputers wird unter Konfigurieren des AppLocker-Referenzcomputers beschrieben.
Auf dem AppLocker-Referenzcomputer, mit dem Sie die AppLocker-Richtlinien erstellen und warten, sollten alle entsprechenden Anwendungen für die einzelnen Organisationseinheiten (OE) installiert sein, sodass die Produktionsumgebung simuliert werden kann.
Wichtig
Auf dem Referenzcomputer muss eine der unterstützten Windows-Editionen ausgeführt werden. Informationen zu den Betriebssystemanforderungen für AppLocker finden Sie unter Anforderungen für die Verwendung von AppLocker.
Auf dem Referenzcomputer können Sie AppLocker-Richtlinientests mit der Erzwingungseinstellung Nur überwachen oder mit Windows PowerShell-Cmdlets ausführen. Außerdem können Sie den Referenzcomputer auch als Teil einer Testkonfiguration verwenden, die Richtlinien umfasst, die mithilfe von Softwarebeschränkungsrichtlinien erstellt wurden.
Schritt 1: Automatisches Generieren von Regeln auf dem Referenzcomputer
Mit AppLocker können Sie automatisch Regeln für alle Dateien innerhalb eines Ordners generieren. Dabei werden von AppLocker der angegebene Ordner durchsucht und die Bedingungstypen erstellt, die für die einzelnen Dateien in diesem Ordner ausgewählt werden. Das entsprechende Verfahren hierfür finden Sie unter Ausführen des Assistenten zum automatischen Generieren von Regeln.
Hinweis
Wenn Sie den Assistenten ausführen, um die ersten Regeln für ein Gruppenrichtlinienobjekt (GPO) zu erstellen, werden Sie nach Abschluss der Ausführung des Assistenten aufgefordert, die Standardregeln zu erstellen, mit deren Hilfe wichtige Systemdateien ausgeführt werden können. Sie können die Standardregeln jederzeit bearbeiten. Wenn in Ihrem Unternehmen die Standardregeln bearbeitet oder benutzerdefinierte Regeln erstellt werden, damit die Windows-Systemdateien ausgeführt werden können, müssen Sie die Standardregeln löschen, nachdem Sie sie durch benutzerdefinierte Regeln ersetzt haben.
Schritt 2: Erstellen der Standardregeln auf dem Referenzcomputer
In AppLocker gehören zu jeder Regelsammlung bestimmte Standardregeln. Mit diesen Regeln können Sie sicherstellen, dass die für den ordnungsgemäßen Betrieb von Windows erforderlichen Dateien in einer AppLocker-Regelsammlung zugelassen werden. Die Standardregeln müssen für jede Regelsammlung ausgeführt werden. Informationen zu Standardregeln und Hinweise zu ihrer Verwendung finden Sie unter Grundlegendes zu den AppLocker-Standardregeln. Das Verfahren zum Erstellen der Standardregeln finden Sie unter Erstellen von AppLocker-Standardregeln.
Wichtig
Sie können die Standardregeln als Vorlage zum Erstellen eigener Regeln verwenden. So können Dateien im Windows-Verzeichnis ausgeführt werden. Diese Regeln sollten jedoch nur als Ausgangsrichtlinie für erste Tests von AppLocker-Regeln verwendet werden.
Schritt 3: Ändern von Regeln und der Regelsammlung auf dem Referenzcomputer
Wenn in der Produktionsumgebung aktuell AppLocker-Richtlinien verwendet werden, exportieren Sie die Richtlinien aus dem zugehörigen Gruppenrichtlinienobjekt, und speichern Sie diese auf dem Referenzcomputer. Das entsprechende Verfahren hierfür finden Sie unter Exportieren einer AppLocker-Richtlinie aus einem Gruppenrichtlinienobjekt. Wenn keine AppLocker-Richtlinien bereitgestellt wurden, erstellen Sie die Regeln und entwickeln Sie die Richtlinien mit den folgenden Verfahren:
Schritt 4: Testen und Aktualisieren der AppLocker-Richtlinie auf dem Referenzcomputer
Jeder einzelne Regelsatz sollte getestet werden, um das gewünschte Verhalten sicherzustellen. Mit dem Windows PowerShell-Cmdlet Test-AppLockerPolicy können Sie feststellen, ob eine der Regeln der Regelsammlung auf dem Referenzcomputer blockiert wird. Führen Sie die Schritte auf jedem Referenzcomputer aus, mit dem Sie AppLocker-Richtlinie definiert haben. Stellen Sie sicher, dass der Referenzcomputer der Domäne angehört und die AppLocker-Richtlinie des entsprechenden Gruppenrichtlinienobjekts empfängt. Da AppLocker-Regeln von verknüpften Gruppenrichtlinienobjekten geerbt werden, sollten Sie in allen Testgruppenrichtlinienobjekten alle Regeln für gleichzeitige Tests bereitstellen. Führen Sie diesen Schritt mithilfe der folgenden Verfahren aus:
Warnung
Wenn Sie die Erzwingungseinstellung für die Regelsammlung auf Regeln erzwingen festgelegt oder die Regelsammlung nicht konfiguriert haben, wird die Richtlinie beim Aktualisieren des Gruppenrichtlinienobjekts im nächsten Schritt implementiert. Wenn Sie die Erzwingungseinstellung für die Regelsammlung auf Nur überwachen festgelegt haben, werden Anwendungszugriffsereignisse in das AppLocker-Protokoll geschrieben, und die Richtlinie wird nicht aktiviert.
Schritt 5: Exportieren der Richtlinie aus der Produktionsumgebung und Importieren der Richtlinie in die Produktionsumgebung
Nachdem die AppLocker-Richtlinie erfolgreich getestet wurde, kann sie in das Gruppenrichtlinienobjekt (oder auf einzelne Computer, die nicht mit Gruppenrichtlinien verwaltet werden) importiert und auf ihr gewünschtes Verhalten überprüft werden. Führen Sie hierzu die folgenden Verfahren aus:
Wenn die Erzwingungseinstellung der AppLocker-Richtlinie auf Nur überwachen festgelegt wurde und die Richtlinie ihren Zweck erfüllt, kann sie auf Regeln erzwingen festgelegt werden. Informationen zum Ändern der Erzwingungseinstellung finden Sie unter Konfigurieren einer AppLocker-Richtlinie zum Erzwingen von Regeln.
Schritt 6: Überwachen des Verhaltens der Richtlinie in der Produktionsumgebung
Wenn nach der Bereitstellung der Richtlinie weitere Überarbeitungen oder Aktualisierungen erforderlich sind, kann die Richtlinie mit den folgenden Verfahren überwacht und aktualisiert werden:
Siehe auch
Bereitstellen der AppLocker-Richtlinie in der Produktionsumgebung