Technische Übersicht über AppLocker
Gilt für: Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8 Enterprise
Diese technische Übersicht für IT-Spezialisten enthält eine Beschreibung von AppLocker.Anhand dieser Informationen können Sie feststellen, ob Ihre Organisation von der Bereitstellung von AppLocker-Anwendungssteuerungsrichtlinien profitieren kann.Mit AppLocker können Administratoren steuern, welche Anwendungen und Dateien Benutzer ausführen können.Dies schließt ausführbare Dateien, Skripts, Windows Installer-Dateien, DLLs, App-Pakete und Installer für App-Pakete ein.
Tipp
Klicken Sie zum digitalen Speichern oder Drucken von Seiten aus dieser Bibliothek auf Exportieren (oben rechts auf der Seite), und folgen Sie dann den Anweisungen.
Was tut AppLocker?
Mit AppLocker haben Sie folgende Möglichkeiten:
Definieren Sie Regeln auf Grundlage von Dateiattributen, die Anwendungsaktualisierungen überdauern, etwa Herausgebername (aus der digitalen Signatur abgeleitet), Produktname, Dateiname und Dateiversion.Sie können Regeln auch auf Grundlage des Dateipfads und -hashs erstellen.
Weisen Sie Regeln einer Sicherheitsgruppe oder einem bestimmten Benutzer zu.
Erstellen Sie Ausnahmen für Regeln.Sie können beispielsweise eine Regel erstellen, die allen Benutzern die Ausführung aller Windows-Binärdateien mit Ausnahme des Registrierungs-Editors (Regedit.exe) gestattet.
Verwenden Sie den Überwachungsmodus, um die Richtlinie bereitzustellen und vor der Erzwingung deren Auswirkungen zu prüfen.
Erstellen Sie auf einem Stagingserver Regeln, testen Sie sie, exportieren Sie sie für Ihre Produktionsumgebung und importieren Sie sie in ein Gruppenrichtlinienobjekt.
Vereinfachen Sie das Erstellen und Verwalten von AppLocker-Regeln mit Windows PowerShell-Cmdlets für AppLocker.
Mit AppLocker können der Verwaltungsaufwand und die Kosten der Organisation für das Verwalten von Computerressourcen verringert werden, da die Anzahl der Helpdeskanrufe reduziert wird, die aus dem Ausführen nicht genehmigter Anwendungen resultieren.AppLocker adressiert die folgenden Anwendungssicherheitsszenarien:
Anwendungsbestand
AppLocker kann Richtlinien in einem Überwachungsmodus erzwingen. Dabei werden alle Anwendungszugriffsaktivitäten in Ereignisprotokollen erfasst.Diese Ereignisse können zur weitere Analyse gesammelt werden.Windows PowerShell-Cmdlets helfen ebenfalls bei der programmgesteuerten Analyse dieser Daten.
Schutz vor unerwünschter Software
AppLocker kann die Ausführung von Anwendungen verhindern, wenn diese von der Liste der zulässigen Anwendungen gestrichen werden.Wenn AppLocker-Regeln in der Produktionsumgebung erzwungen wurden, wird die Ausführung jeder Anwendung, die nicht in den Zulassungsregeln enthalten ist, blockiert.
Lizenzierungskonformität
AppLocker kann Ihnen helfen, Regeln zu erstellen, die die Ausführung nicht lizenzierter Software verhindern und das Ausführen lizenzierter Software auf autorisierte Benutzer beschränken.
Softwarestandardisierung
AppLocker-Richtlinien können so konfiguriert werden, dass nur unterstützte oder genehmigte Anwendungen auf Computern innerhalb einer Geschäftsgruppe ausgeführt werden können.Dies ermöglicht eine einheitlichere Anwendungsbereitstellung.
Verbesserte Verwaltbarkeit
AppLocker zeichnet sich gegenüber dem Vorgänger Richtlinien für Softwareeinschränkung durch eine Reihe von Verwaltungsverbesserungen aus.Importieren und Exportieren von Richtlinien, automatisches Erstellen von Regeln aus mehreren Dateien, Bereitstellung des ausschließlichen Überwachungsmodus und PowerShell-Cmdlets sind nur einige der Verbesserungen gegenüber den Richtlinien für Softwareeinschränkung.
Verwendung von AppLocker
In vielen Organisationen stellen Informationen die wertvollsten Ressourcen dar, daher ist es unumgänglich, sicherzustellen, dass nur berechtigte Benutzer Zugriff auf diese Informationen erhalten.Mit Zugriffssteuerungstechnologien wie Active Directory-Rechteverwaltungsdienste (AD RMS) und Zugriffssteuerungslisten (ACLs) wird gesteuert, welchen Benutzern der Zugriff gewährt wird.
Wenn ein Benutzer jedoch einen Prozess ausführt, hat dieser Prozess die gleichen Zugriffsrechte auf die Daten wie der Benutzer.Daher können sensible Informationen leicht gelöscht oder aus der Organisation hinaus übertragen werden, wenn Benutzer wissentlich oder unbewusst Schadsoftware ausführen.AppLocker kann diese Art von Sicherheitsverletzung verhindern, indem der Dienst die Dateien einschränkt, die von Benutzern oder Gruppen ausgeführt werden dürfen.
Softwareherausgeber erstellen zunehmend Anwendungen, die von Nicht-Administratoren installiert werden können.Dies kann die schriftlichen Sicherheitsrichtlinien einer Organisation gefährden und klassische Lösungen zur Anwendungssteuerung außer Kraft setzen, die sich darauf stützen, dass Benutzer Anwendungen nicht installieren können.Mit AppLocker können Administratoren Listen mit zulässigen Dateien und Anwendungen erstellen, womit solche Einzelbenutzeranwendungen blockiert werden können.Da AppLocker DLL-Dateien steuern kann, lässt sich damit auch steuern, wer ActiveX-Steuerelemente installieren und ausführen darf.
AppLocker empfiehlt sich für Organisationen, die derzeit Gruppenrichtlinien zur Verwaltung ihrer Windows-basierten Computer verwenden.Da sich AppLocker bei Konfiguration und Bereitstellung auf Gruppenrichtlinien stützt, ist Erfahrung mit Gruppenrichtlinien von Vorteil, wenn Sie AppLocker einsetzen möchten.
Im Folgenden finden Sie Beispiele für Szenarien, in denen AppLocker verwendet werden kann:
Die Sicherheitsrichtlinie Ihrer Organisation gestattet lediglich den Einsatz von lizenzierter Software. Aus diesem Grund müssen Sie Benutzer daran hindern, nicht lizenzierte Software auszuführen und darüber hinaus den Einsatz von lizenzierter Software auf autorisierte Benutzer beschränken.
Eine Anwendung wird von Ihrer Organisation nicht mehr unterstützt. Daher müssen Sie verhindern, dass sie weiterhin verwendet wird.
Es besteht eine hohe Wahrscheinlichkeit, dass unerwünschte Software in Ihre Umgebung eingeführt werden kann. Daher müssen Sie diese Bedrohung mindern.
Die Lizenz für eine Anwendung wurde widerrufen oder ist in Ihrer Organisation abgelaufen. Daher müssen Sie verhindern, dass die Anwendung weiterhin von beliebigen Benutzern verwendet wird.
Eine neue Anwendung oder eine neue Version einer Anwendung wird bereitgestellt, und Sie müssen Benutzer daran hindern, die alte Version auszuführen.
Bestimmte Softwaretools sind innerhalb Ihrer Organisation nicht zugelassen, oder nur bestimmte Benutzer sollten Zugriff auf diese Tools haben.
Ein einzelner Benutzer oder eine kleine Gruppe von Benutzern muss eine bestimmte Anwendung verwenden, die von keinem anderen Benutzer verwendet werden darf.
Einige Computer in Ihrer Organisation werden von verschiedenen Personen mit unterschiedlichen Softwareverwendungsanforderungen gemeinsam genutzt, und Sie müssen bestimmte Anwendungen schützen.
Zusätzlich zu anderen Maßnahmen müssen Sie mithilfe der Anwendungsverwendung den Zugriff auf sensible Daten steuern.
AppLocker kann Ihnen helfen, digitale Ressourcen innerhalb Ihrer Organisation zu schützen, die Bedrohung verringern, dass Schadsoftware in Ihre Umgebung eingeführt wird, und die Verwaltung der Anwendungssteuerung und die Wartung von Anwendungssteuerungsrichtlinien verbessern.
Versionen, Interoperabilität und funktionelle Unterschiede
Unterstützte Versionen und Informationen zur Interoperabilität
AppLocker-Richtlinien können nur auf Computern konfiguriert werden, auf denen die unterstützten Versionen und Editionen des Windows-Betriebssystems ausgeführt werden, und gelten nur für diese Computer.Weitere Informationen finden Sie unter Anforderungen für die Verwendung von AppLocker.
Funktionelle Unterschiede zwischen den Versionen
In der folgenden Tabelle sind die Unterschiede zwischen den Hauptfunktionen und -features von AppLocker nach Betriebssystemversion aufgeführt:
| Feature oder Funktion | Windows Server 2008 R2 und Windows 7 | Windows Server 2012 R2, Windows Server 2012, Windows 8.1 und Windows 8 |
|---|---|---|
| Möglichkeit zur Festlegung von Regeln für App-Pakete und für Installer für App-Pakete. | Nein | Ja |
| AppLocker-Richtlinien werden mithilfe von Gruppenrichtlinien verwaltet, und nur der Administrator des Computers kann eine AppLocker-Richtlinie aktualisieren. | Ja | Ja |
| Mit AppLocker können Fehlermeldungen so angepasst werden, dass Administratoren Benutzer auf eine Webseite für Hilfe verweisen können. | Ja | Ja |
| Möglichkeit zur Arbeit in Verbindung mit Richtlinien für Softwareeinschränkung (anhand separater GPOs) | Ja | Ja |
| AppLocker unterstützt einen kleinen Satz von Windows PowerShell-Cmdlets, die für Verwaltung und Wartung verwendet werden. | Ja | Ja |
| AppLocker-Regeln können die aufgeführten Dateiformate steuern: | - .exe - .com - PS1 - BAT - CMD - VBS - JS - MSI - MSP - DLL - OCX |
- .exe - .com - PS1 - BAT - CMD - VBS - JS - MSI - MSP - MST - DLL - OCX - APPX |
Informationen zum Vergleichen von Anwendungssteuerungsfunktionen in Richtlinien für Softwareeinschränkung und AppLocker sowie zur gemeinsamen Verwendung der beiden Features finden Sie unter Verwendung von AppLocker und Softwareeinschränkungsrichtlinien in derselben Domäne.
System requirements (Systemanforderungen)
AppLocker-Richtlinien können nur auf Computern konfiguriert werden, auf denen die unterstützten Versionen und Editionen des Windows-Betriebssystems ausgeführt werden, und gelten nur für diese Computer.Zur Verteilung von Gruppenrichtlinienobjekten mit AppLocker-Richtlinien ist eine Gruppenrichtlinie erforderlich.Weitere Informationen finden Sie unter Anforderungen für die Verwendung von AppLocker.
AppLocker-Regeln können auf Domänencontrollern erstellt werden.
Hinweis
Unter Windows Server 2008 R2 und Windows 7 können keine Regeln für App-Pakete und für Installer für App-Pakete erstellt oder erzwungen werden.
Installieren von AppLocker
AppLocker befindet sich im Produktumfang von Unternehmenseditionen von Windows.Sie können AppLocker-Regeln für einzelne Computer oder eine Gruppe von Computern erstellen.Für einen einzelnen Computer können Sie mit dem Editor für lokale Sicherheitsrichtlinien (secpol.msc) Regeln erstellen.Für eine Gruppe von Computern können Sie die Regeln innerhalb eines Gruppenrichtlinienobjekts mithilfe der Gruppenrichtlinien-Verwaltungskonsole (GPMC) erstellen.
Hinweis
Die Gruppenrichtlinien-Verwaltungskonsole ist nur auf Clientcomputern verfügbar, auf denen Windows ausgeführt wird, wenn die Remoteserver-Verwaltungstools installiert sind.Auf Computern, auf denen Windows Server ausgeführt wird, müssen Sie das Gruppenrichtlinienverwaltungs-Feature installieren.
Nutzung von AppLocker bei einer Server Core-Installation
Windows PowerShell kann dazu verwendet werden, AppLocker auf Server Core-Installationen mithilfe der AppLocker-Cmdlets und, sofern die Verwaltung innerhalb eines Gruppenrichtlinienobjekts erfolgt, den Gruppenrichtlinien-PowerShell-Cmdlets zu verwalten.Weitere Informationen finden Sie im PowerShell-Befehlsverzeichnis in AppLocker.
Virtualisierung: Überlegungen
Sie können AppLocker-Richtlinien mithilfe einer virtualisierten Instanz von Windows unter der Voraussetzung verwalten, dass diese die zuvor genannten Systemanforderungen erfüllt.Darüber hinaus können Sie Gruppenrichtlinien in einer virtualisierten Instanz nutzen.Es besteht jedoch das Risiko, dass Sie die von Ihnen erstellten und verwalteten Richtlinien verlieren, wenn die virtualisierte Instanz entfernt wird oder ein Fehler auftritt.
Überlegungen zur Sicherheit
Richtlinien zur Anwendungssteuerung geben an, welche Programme auf dem lokalen Computer ausgeführt werden dürfen.
Die Vielfalt an Erscheinungsformen bösartiger Software kann den Benutzern ein Urteil darüber, welche Anwendungen sicher sind, sehr erschweren.Bei einer Aktivierung kann bösartige Software Inhalte auf der Festplatte beschädigen, ein Netzwerk zum Zwecke eines Denial-of-Service (DoS)-Angriffs mit Anfragen überfluten, vertrauliche Informationen über das Internet versenden und die Sicherheit eines Computers kompromittieren.
Eine geeignete Schutzmaßnahme ist der Entwurf robuster Richtlinien zur Anwendungssteuerung für Endbenutzercomputer in Ihrer Organisation, die in einer Laborumgebung zunächst gründlich getestet und anschließend in der Produktionsumgebung eingesetzt werden.AppLocker kann hierbei einen Teil Ihrer Anwendungssteuerungsstrategie übernehmen, da Sie damit steuern können, welche Software auf Ihren Computern ausgeführt werden darf.
Eine fehlerhafte Implementierung von Richtlinien zur Anwendungssteuerung kann erforderliche Anwendungen blockieren und die Ausführung bösartiger oder nicht vorgesehener Software zulassen.Daher ist es sehr wichtig, dass der Verwaltung und Problembehandlung bei der Implementierung solcher Richtlinien genügend Ressourcen zugeteilt werden.
Weitere Informationen zu bestimmten Sicherheitsproblemen finden Sie unter Sicherheitsüberlegungen für AppLocker.
Beachten Sie die folgenden Sicherheitsüberlegungen, wenn Sie AppLocker zur Erstellung von Richtlinien zur Anwendungssteuerung verwenden:
Wer ist berechtigt, AppLocker-Richtlinien festzulegen?
Wie kann überprüft werden, ob die Richtlinien umgesetzt werden?
Welche Ereignisse sollten überwacht werden?
Zur Referenz bei der Sicherheitsplanung erhalten Sie in der folgenden Tabelle die Grundeinstellungen für Clientcomputer mit installiertem AppLocker-Dienst:
| Einstellung | Standardwert |
|---|---|
| Erstellte Konten | Keine |
| Authentifizierungsmethode | Nicht verfügbar |
| Verwaltungsschnittstellen | AppLocker kann über ein Microsoft Management Console-Snap-In, Gruppenrichtlinienverwaltung und Windows PowerShell verwaltet werden. |
| Geöffnete Ports | Keine |
| Mindestberechtigungen erforderlich | Administrator auf dem lokalen Computer, Domänenadministrator oder ein beliebiger Satz von Rechten, die das Erstellen, Bearbeiten und Verteilen von Gruppenrichtlinienobjekte erlauben. |
| Verwendete Protokolle | Nicht verfügbar |
| Geplante Tasks | Appidpolicyconverter.exe wird in eine geplante Aufgabe verlagert, um bei Bedarf ausgeführt zu werden. |
| Sicherheitsrichtlinien | Nicht erforderlichAppLocker erstellt Sicherheitsrichtlinien. |
| Systemdienste erforderlich | Der Anwendungsidentitätsdienst (appidsvc) wird unter "LocalServiceAndNoImpersonation" ausgeführt. |
| Speichern von Anmeldeinformationen | Keine |
Verwalten von AppLocker-Richtlinien
Informationen zur Applocker-Richtlinienwartung finden Sie in den folgenden Themen:
Siehe auch
| Ressource | Windows Server 2008 R2 und Windows 7 | Windows Server 2012 R2, Windows Server 2012, Windows 8.1 und Windows 8 |
|---|---|---|
| Produktbewertung | Häufig gestellte Fragen Ausführliche Anleitung für AppLocker |
Häufig gestellte Fragen Ausführliche Anleitung für AppLocker |
| Verfahren | AppLocker-Betriebshandbuch | Verwalten von AppLocker Verwalten von App-Paketen mit AppLocker |
| Skripting | Verwenden der AppLocker Windows PowerShell-Cmdlets | Verwenden der AppLocker Windows PowerShell-Cmdlets |
| Technische Inhalte | Technische Referenz zu AppLocker | Technische Referenz zu AppLocker |
| Entwurf, Planung und Bereitstellung | Entwurfshandbuch für AppLocker-Richtlinien Handbuch zur AppLocker-Richtlinienbereitstellung |
Entwurfshandbuch für AppLocker-Richtlinien Handbuch zur AppLocker-Richtlinienbereitstellung |