(0) exportieren Drucken
Alle erweitern

Technische Übersicht über AppLocker

Veröffentlicht: Februar 2012

Letzte Aktualisierung: Oktober 2012

Betrifft: Windows 8 Enterprise, Windows Server 2012

Diese technische Übersicht für IT-Spezialisten enthält eine Beschreibung von AppLocker™. Anhand dieser Übersicht können Sie feststellen, ob Sie von der Bereitstellung von AppLocker-Richtlinien profitieren können. AppLocker ist ein Feature zur Anwendungssteuerung in Windows Server 2012, Windows Server 2008 R2, Windows 8 und Windows 7.

Mit AppLocker können Administratoren steuern, welche Anwendungen und Dateien Benutzer ausführen können. Dies schließt ausführbare Dateien, Skripts, Windows® Installer-Dateien, DLLs, App-Pakete und Installer für App-Pakete ein.

Mit AppLocker haben Sie folgende Möglichkeiten:

  • Definieren Sie Regeln auf Grundlage von Dateiattributen, die Anwendungsaktualisierungen überdauern, etwa Herausgebername (aus der digitalen Signatur abgeleitet), Produktname, Dateiname und Dateiversion. Sie können Regeln auch auf Grundlage des Dateipfads und -hashs erstellen.

  • Weisen Sie Regeln einer Sicherheitsgruppe oder einem bestimmten Benutzer zu.

  • Erstellen Sie Ausnahmen für Regeln. Sie können beispielsweise eine Regel erstellen, die allen Benutzern die Ausführung aller Windows-Binärdateien mit Ausnahme des Registrierungs-Editors (Regedit.exe) gestattet.

  • Verwenden Sie den Überwachungsmodus, um die Richtlinie bereitzustellen und vor der Erzwingung deren Auswirkungen zu prüfen.

  • Erstellen Sie auf einem Stagingserver Regeln, testen Sie sie, exportieren Sie sie für Ihre Produktionsumgebung und importieren Sie sie in ein Gruppenrichtlinienobjekt.

  • Vereinfachen Sie das Erstellen und Verwalten von AppLocker-Regeln mit Windows PowerShell-Cmdlets für AppLocker.

Mit AppLocker können der Verwaltungsaufwand und die Kosten der Organisation für das Verwalten von Computerressourcen verringert werden, da die Anzahl der Helpdesk-Anrufe reduziert wird, die aus dem Ausführen nicht genehmigter Anwendungen resultieren. AppLocker adressiert die folgenden Anwendungssicherheitsszenarien:

  • Anwendungsbestand

    AppLocker kann Richtlinien in einem Überwachungsmodus erzwingen. Dabei werden alle Anwendungszugriffsaktivitäten in Ereignisprotokollen erfasst. Diese Ereignisse können zur weitere Analyse gesammelt werden. Windows PowerShell-Cmdlets helfen ebenfalls bei der programmgesteuerten Analyse dieser Daten.

  • Schutz vor unerwünschter Software

    AppLocker kann die Ausführung von Anwendungen verhindern, wenn diese von der Liste der zulässigen Anwendungen gestrichen werden. Nachdem AppLocker-Regeln in der Produktionsumgebung erzwungen wurden, wird jede Anwendung, die nicht in den Zulassungsregeln auftaucht, am Ausführen gehindert.

  • Lizenzierungskonformität

    AppLocker kann Ihnen dabei helfen, Regeln zu erstellen, die nicht lizenzierte Software an der Ausführung hindert und das Ausführen lizenzierter Software auf autorisierte Benutzer beschränkt.

  • Softwarestandardisierung

    AppLocker-Richtlinien können so konfiguriert werden, dass nur unterstützte oder genehmigte Anwendungen auf Computern innerhalb einer Geschäftsgruppe ausgeführt werden können. Dies ermöglicht eine einheitlichere Anwendungsbereitstellung.

  • Verbesserte Verwaltbarkeit

    AppLocker bringt im Vergleich zum Vorgänger SRP (Richtlinien für Softwareeinschränkung) eine Anzahl an Verwaltungsverbesserungen mit sich. Importieren und Exportieren von Richtlinien, automatisches Erstellen von Regeln aus mehreren Dateien, Überwachungsmodusbereitstellung und PowerShell-Cmdlets sind nur einige der Verbesserungen im Vergleich zu SRP.

In vielen Organisationen stellen Informationen die wertvollsten Ressourcen dar, daher ist es unumgänglich, sicherzustellen, dass nur berechtigte Benutzer Zugriff auf diese Informationen erhalten. Mit Zugriffssteuerungstechnologien wie Active Directory-Rechteverwaltungsdienste (AD RMS) und Zugriffssteuerungslisten (ACLs) wird gesteuert, welchen Benutzern der Zugriff gewährt wird. Wenn ein Benutzer jedoch einen Prozess ausführt, hat dieser Prozess die gleichen Zugriffsrechte auf die Daten wie der Benutzer. Daher können sensible Informationen leicht gelöscht oder aus der Organisation hinaus übertragen werden, wenn Benutzer wissentlich oder unbewusst Schadsoftware ausführen. AppLocker kann diese Art von Sicherheitsverletzung verhindern, indem der Dienst die Dateien einschränkt, die von Benutzern oder Gruppen ausgeführt werden dürfen.

Softwareherausgeber erstellen zunehmend Anwendungen, die von Standardbenutzern (Nicht-Administratoren) installiert werden können. Dies kann die schriftlichen Sicherheitsrichtlinien einer Organisation gefährden und klassische Lösungen zur Anwendungssteuerung außer Kraft setzen, die sich darauf verlassen, dass Standardbenutzer Anwendungen nicht installieren können. Mit AppLocker können Administratoren Listen mit zulässigen Dateien und Anwendungen erstellen, womit solche Einzelbenutzeranwendungen blockiert werden können. Da AppLocker auch DLL-Dateien steuern kann, ist es auch zur Installations- und Ausführungssteuerung bei ActiveX-Steuerelementen geeignet.

AppLocker empfiehlt sich für Organisationen, die derzeit Gruppenrichtlinien zur Verwaltung ihrer Windows-basierten Computer verwenden. Da sich AppLocker bei Konfiguration und Bereitstellung auf Gruppenrichtlinien stützt, ist Erfahrung mit Gruppenrichtlinien von Vorteil.

Im Folgenden finden Sie Beispiele für Szenarien, in denen AppLocker verwendet werden kann:

  • Die Sicherheitsrichtlinie Ihrer Organisation gestattet lediglich den Einsatz von lizenzierter Software. Aus diesem Grund müssen Sie Benutzer daran hindern, nicht lizenzierte Software auszuführen und darüber hinaus den Einsatz von lizenzierter Software auf autorisierte Benutzer beschränken.

  • Eine Anwendung wird von Ihrer Organisation nicht mehr unterstützt. Daher müssen Sie verhindern, dass sie weiterhin verwendet wird.

  • Es besteht eine hohe Wahrscheinlichkeit, dass unerwünschte Software in Ihre Umgebung eingeführt werden kann. Daher müssen Sie diese Bedrohung mindern.

  • Die Lizenz für eine Anwendung wurde widerrufen oder ist in Ihrer Organisation abgelaufen. Daher müssen Sie verhindern, dass die Anwendung weiterhin verwendet wird.

  • Eine neue Anwendung oder eine neue Version einer Anwendung wird bereitgestellt, und Sie müssen Benutzer daran hindern, die alte Version auszuführen.

  • Bestimmte Softwaretools sind innerhalb Ihrer Organisation nicht zugelassen, oder der Zugriff auf diese Tools ist auf bestimmte Benutzer begrenzt.

  • Ein einzelner Benutzer oder eine kleine Gruppe von Benutzern muss eine bestimmte Anwendung verwenden, die von keinem anderen Benutzer verwendet werden darf.

  • Einige Computer in Ihrer Organisation werden gemeinsam von verschiedenen Personen mit unterschiedlichen Softwareverwendungsanforderungen genutzt.

  • Zusätzlich zu anderen Maßnahmen müssen Sie mithilfe der Anwendungsverwendung den Zugriff auf sensible Daten steuern.

AppLocker kann Ihnen helfen, digitale Ressourcen innerhalb Ihrer Organisation zu schützen, die Bedrohung verringern, dass Schadsoftware in Ihre Umgebung eingeführt wird, und die Verwaltung der Anwendungssteuerung und die Wartung von Anwendungssteuerungsrichtlinien verbessern.

Unterstützte Versionen

AppLocker-Richtlinien können nur auf Computern konfiguriert werden, auf denen die folgenden Versionen und Editionen des Windows-Betriebssystems ausgeführt werden, und gelten nur für diese Computer:

  • Windows Server 2008 R2 Standard

  • Windows Server 2008 R2 Enterprise

  • Windows Server 2008 R2 Datacenter

  • Windows Server 2008 R2 Datacenter

  • Windows 7 Ultimate

  • Windows 7 Enterprise

  • Windows Server 2012 Standard

  • Windows Server 2012 Datacenter

  • Windows 8 Enterprise

noteHinweis
Um Regeln für einen lokalen Computer zu erstellen, muss auf dem Computer Windows 7 Ultimate oder Windows 7 Enterprise oder eine Enterprise-Edition von Windows 8 ausgeführt werden. Wenn Regeln für ein Gruppenrichtlinienobjekt erstellt werden sollen, kann ein Computer verwendet werden, auf dem eine beliebige Edition von Windows 7 oder Windows 8 ausgeführt wird, sofern die Remoteserver-Verwaltungstools installiert sind. AppLocker-Regeln können in jeder Edition von Windows Server 2008 R2 oder Windows Server 2012 erstellt werden. AppLocker-Regeln können zwar auf Computern unter Windows 7 Professional erstellt werden, aber sie werden auf diesen Computern nicht erzwungen. Sie können die Regeln jedoch auf einem Computer unter Windows 7 Professional erstellen und die Richtlinie anschließend exportieren, um sie auf einem Computer zu implementieren, auf dem eine Edition von Windows ausgeführt wird, die die AppLocker-Regelerzwingung unterstützt.

Interoperabilität: Überlegungen

AppLocker-Richtlinien, die Regeln für ausführbare Dateien, Skripts, Windows Installer-Dateien und DLLs enthalten, können auf Computer angewendet werden, die unter den unterstützten Editionen von Windows Server 2008 R2, Windows Server 2012, Windows 7 und Windows 8 ausgeführt werden. AppLocker-Richtlinien, die Regeln für App-Pakete sowie für Installer für App-Pakete enthalten, können auch auf Computer angewendet werden, die unter den unterstützten Editionen von Windows Server 2008 R2, Windows Server 2012, Windows 8 und Windows Server 7 ausgeführt werden. Die Regelsammlung für App-Pakete wird jedoch nur auf Computern erzwungen, auf denen die unterstützten Editionen von Windows Server 2012 und Windows 8 ausgeführt werden.

Funktionelle Unterschiede zwischen den Versionen

In der folgenden Tabelle sind die Unterschiede zwischen den Hauptfunktionen und -features von AppLocker nach Betriebssystemversion aufgeführt:

 

Feature/Funktion Windows Server 2008 R2 und Windows 7 Windows Server 2012 und Windows 8

Möglichkeit zur Festlegung von Regeln für App-Pakete und für Installer für App-Pakete.

Nein

Ja

AppLocker-Richtlinien werden mithilfe von Gruppenrichtlinien verwaltet, und nur der Administrator des Computers kann eine AppLocker-Richtlinie aktualisieren.

Ja

Ja

Mit AppLocker können Fehlermeldungen so angepasst werden, dass Benutzer auf eine Webseite für Hilfe verwiesen werden.

Ja

Ja

Möglichkeit zur Arbeit in Verbindung mit Richtlinien für Softwareeinschränkung (anhand separater GPOs)

Ja

Ja

AppLocker unterstützt einen kleinen Satz von PowerShell-Cmdlets, die für Verwaltung und Wartung verwendet werden.

Ja

Ja

AppLocker-Regeln können die aufgeführten Dateiformate steuern:

  • EXE

  • COM

  • PS1

  • BAT

  • CMD

  • VBS

  • JS

  • MSI

  • MSP

  • DLL

  • OCX

  • EXE

  • COM

  • PS1

  • BAT

  • CMD

  • VBS

  • JS

  • MSI

  • MSP

  • MST

  • DLL

  • OCX

  • APPX

Informationen zum Vergleichen von Anwendungssteuerungsfunktionen in Richtlinien für Softwareeinschränkung und AppLocker sowie zur gemeinsamen Verwendung der beiden Features finden Sie im Thema über die Gemeinsame Verwendung von AppLocker und Softwareeinschränkungsrichtlinien.

AppLocker-Richtlinien können nur auf Computern konfiguriert werden, auf denen die unterstützten Versionen und Editionen des Windows-Betriebssystems ausgeführt werden, und gelten nur für diese Computer. Zur Verteilung von Gruppenrichtlinienobjekten mit AppLocker-Richtlinien ist eine Gruppenrichtlinie erforderlich. Weitere Informationen finden Sie in diesem Thema unter Versionen, Interoperabilität und funktionelle Unterschiede.

AppLocker-Regeln können auf Domänencontrollern erstellt werden.

Unter Windows Server 2008 R2 und Windows 7 können keine Regeln für App-Pakete und für Installer für App-Pakete erstellt werden.

AppLocker befindet sich im Produktumfang von Unternehmenseditionen von Windows. Sie können AppLocker-Regeln für einzelne Computer oder eine Gruppe von Computern erstellen. Für einen einzelnen Computer können Sie Regeln mithilfe des Editors für lokale Sicherheitsrichtlinien (secpol.msc), für eine Gruppe von Computern innerhalb eines Gruppenrichtlinienobjekts mithilfe der Gruppenrichtlinien-Verwaltungskonsole erstellen. Die Gruppenrichtlinien-Verwaltungskonsole ist nur auf Clientcomputern mit Windows verfügbar, wenn die Remoteserver-Verwaltungstools installiert sind und die Gruppenrichtlinienverwaltungsfunktion auf Windows-Servern zur Verfügung steht.

Windows PowerShell kann dazu verwendet werden, AppLocker auf Server Core-Installationen mithilfe der AppLocker-Cmdlets und, sofern die Verwaltung innerhalb eines Gruppenrichtlinienobjekts erfolgt, den Gruppenrichtlinien-Cmdlets zu verwalten. Weitere Informationen finden Sie im PowerShell-Befehlsverzeichnis in AppLocker.

Sie können AppLocker-Richtlinien mithilfe einer virtualisierten Instanz von Windows unter der Voraussetzung verwalten, dass diese die zuvor genannten Systemanforderungen erfüllt. Darüber hinaus können Sie Gruppenrichtlinien in einer virtualisierten Instanz nutzen. Es besteht jedoch das Risiko, dass Sie Ihre Richtlinien verlieren, wenn die virtualisierte Instanz entfernt wird oder ein Fehler auftritt.

Richtlinien zur Anwendungssteuerung geben an, welche Programme auf dem lokalen Computer ausgeführt werden dürften und welche nicht.

Die schiere Menge und Wechselhaftigkeit bösartiger Software kann dem Benutzer ein Urteil darüber, welche Anwendungen sicher sind und welche nicht, sehr erschweren. Bei einer Aktivierung kann bösartige Software Inhalte auf der Festplatte beschädigen, ein Netzwerk zum Zwecke eines Denial-of-Service (DoS)-Angriffs mit Anfragen überfluten, vertrauliche Informationen über das Internet versenden und die Sicherheit eines Computers kompromittieren.

Eine geeignete Schutzmaßnahme ist der Entwurf robuster Richtlinien zur Anwendungssteuerung für Endbenutzercomputer in Ihrer Organisation, die in einer Laborumgebung zunächst gründlich getestet und anschließend in der Produktionsumgebung eingesetzt werden. AppLocker kann hierbei einen Teil Ihrer Anwendungssteuerungsstrategie übernehmen, da Sie damit steuern können, welche Software auf Ihren Computern ausgeführt werden darf.

Eine fehlerhafte Implementierung von Richtlinien zur Anwendungssteuerung kann erforderliche Anwendungen blockieren und die Ausführung bösartiger oder nicht vorgesehener Software zulassen. Daher ist es sehr wichtig, dass der Verwaltung und Problembehandlung bei der Implementierung solcher Richtlinien genügend Ressourcen zugeteilt werden.

Weitere Informationen zu bestimmten Sicherheitsproblemen finden Sie in den Sicherheitsüberlegungen für AppLocker in der technischen Bibliothek für Windows Server.

Beachten Sie die folgenden Sicherheitsüberlegungen, wenn Sie AppLocker zur Erstellung von Richtlinien zur Anwendungssteuerung verwenden:

  • Wer ist dazu berechtigt, AppLocker-Richtlinien festzulegen?

  • Wie kann überprüft werden, ob die Richtlinien umgesetzt werden?

  • Welche Ereignisse sollten überwacht werden?

Zur Referenz bei der Sicherheitsplanung erhalten Sie in der folgenden Tabelle die Grundeinstellungen für Clientcomputer mit installiertem AppLocker-Dienst:

 

Einstellung Standardwert

Erstellte Konten

Keine

Authentifizierungsmethode

Nicht zutreffend

Verwaltungsschnittstellen

AppLocker kann über ein MMC-Snap-In, die Gruppenrichtlinienverwaltung und PowerShell verwaltet werden.

Geöffnete Ports

Keine

Mindestberechtigungen erforderlich

Administrator auf dem lokalen Computer; Domänenadministrator oder ein beliebiger Satz von Berechtigungen, die das Erstellen, Bearbeiten und Verteilen von Gruppenrichtlinienobjekte erlauben.

Verwendete Protokolle

Nicht zutreffend

Geplante Aufgaben

"Appidpolicyconverter" wird in eine geplante Aufgabe verlagert, um bei Bedarf ausgeführt zu werden.

Sicherheitsrichtlinien

Nicht erforderlich AppLocker erstellt Sicherheitsrichtlinien.

Systemdienste erforderlich

Anwendungsidentitätsdienst (appidsvc) wird unter "LocalServiceANdNoImpersonation" ausgeführt.

Speichern von Anmeldeinformationen

Keine

Die Richtlinienverwaltung ist in folgende drei Themen unterteilt:

  • Administrieren von Richtlinien

  • Überwachen der Anwendungsnutzung

  • Optimieren der Leistung

  • Problembehandlung

Informationen zum Ausführen der Verfahren für die einzelnen Aufgaben für Windows Server 2008 R2 und Windows 7 finden Sie unter AppLocker-Betriebshandbuch. Verfahrensbezogene Informationen zu Windows Server 2012 und Windows 8 finden Sie unter Verwalten von AppLocker.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft