Verwalten von AppLocker

Betrifft: Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8

Dieses Thema enthält Links zu bestimmten Verfahren verwenden, bei der Verwaltung von AppLocker-Richtlinien und Regeln in diesen Versionen des Betriebssystems angegeben wird, in der Betrifft Liste am Anfang dieses Themas.

Mit AppLocker können Administratoren steuern, wie Benutzer zugreifen können, und Verwenden von Dateien, z. B. ausführbare Dateien, die App-Pakete, Skripts, Windows Installer-Dateien und DLLs. Mit AppLocker haben Sie folgende Möglichkeiten:

• Definieren Sie Regeln auf der Grundlage von Dateiattributen, die von der digitalen Signatur abgeleitet werden, wie unter anderem Herausgeber, Produktname, Dateiname und Dateiversion. Sie können beispielsweise Regeln auf der Grundlage des Attributs Herausgeber, die bei Aktualisierungen erhalten bleiben, oder Regeln für eine bestimmte Version einer Datei erstellen.

• Weisen Sie Regeln einer Sicherheitsgruppe oder einem bestimmten Benutzer zu.

• Erstellen Sie Ausnahmen für Regeln. Sie können beispielsweise eine Regel erstellen, die die Ausführung aller Windows-Prozesse mit Ausnahme des Registrierungs-Editors (Regedit.exe) gestattet.

• Verwenden Sie den Überwachungsmodus, um die Richtlinie bereitzustellen und vor der Erzwingung deren Auswirkungen zu prüfen.

• Importieren oder exportieren Sie Regeln. Import und Export beeinflussen die gesamte Richtlinie. So werden beispielsweise beim Export einer Richtlinie alle Regeln sämtlicher Regelsammlungen exportiert, einschließlich der Erzwingungseinstellungen für die Regelsammlungen. Beim Importieren einer Richtlinie werden die vorhandenen Richtlinien überschrieben.

• Erstellen und Verwalten von AppLocker-Regeln mithilfe von AppLocker-PowerShell-Cmdlets zu vereinfachen.

Die folgenden Themen sind zum Verwalten von AppLocker enthalten:

• Verwalten von AppLocker-Richtlinien

• Bearbeiten einer AppLocker-Richtlinie

• Testen und Aktualisieren einer AppLocker-Richtlinie

• Bereitstellen von AppLocker-Richtlinien mithilfe von das Erzwingen von Regeln festlegen

• Verwenden der AppLocker Windows PowerShell-Cmdlets

• Optimieren der Leistung von AppLocker

• Überwachen der Anwendungsnutzung mit AppLocker

• Verwendung von AppLocker und Softwareeinschränkungsrichtlinien in derselben Domäne

• Verwalten von App-Paketen mit AppLocker

• Gewusst wie: Arbeiten mit Richtlinien

  • Konfigurieren Sie nur eine AppLocker-Richtlinie für die Überwachung

  • Konfigurieren einer AppLocker-Richtlinie zum Erzwingen von Regeln

  • Eine benutzerdefinierte URL-Meldung angezeigt, wenn Benutzer versuchen, eine blockierte Anwendung auszuführen

  • Exportieren einer AppLocker-Richtlinie aus einem Gruppenrichtlinienobjekt

  • Exportieren einer AppLocker-Richtlinie in eine XML-Datei

  • Importieren einer AppLocker-Richtlinie von einem anderen Computer

  • Importieren einer AppLocker-Richtlinie in ein Gruppenrichtlinienobjekt

  • Zusammenführen von AppLocker-Richtlinien mithilfe von Set-ApplockerPolicy

  • Manuelles Zusammenführen von AppLocker-Richtlinien

  • Aktualisieren einer AppLocker-Richtlinie

  • Testen einer AppLocker-Richtlinie mithilfe von Test-AppLockerPolicy

• Gewusst wie: Arbeiten mit Regeln

  • Erstellen Sie eine Regel, die eine Dateihashbedingung

  • Erstellen Sie eine Regel, die einer Pfadbedingung

  • Erstellen Sie eine Regel, die einer Herausgeberbedingung

  • Erstellen von AppLocker-Standardregeln

  • Konfigurieren Sie Ausnahmen für eine AppLocker-Regel

  • Erstellen Sie eine Regel für App-Pakete

  • Löschen einer AppLocker-Regel

  • Bearbeiten von AppLocker-Regeln

  • Aktivieren der DLL-Regelsammlung

  • Erzwingen von AppLocker-Regeln

  • Führen Sie den Regelassistenten automatisch generieren

Verwenden die MMC-Snap-ins zum Verwalten von AppLocker

Sie können die AppLocker-Richtlinien mithilfe der Gruppenrichtlinien-Verwaltungskonsole erstellen oder bearbeiten ein Objekt (GPO), oder zum Erstellen oder Bearbeiten einer AppLocker-Richtlinie auf einem lokalen Computer mit dem Editor für lokale Gruppenrichtlinien-Snap-in oder das Snap-in lokale Sicherheitsrichtlinie verwalten.

Verwalten von Applocker mit einer Gruppenrichtlinie

Sie müssen über die Einstellungsberechtigung bearbeiten zum Bearbeiten eines Gruppenrichtlinienobjekts. Standardmäßig Mitglieder der Domänen-Admins Gruppe, die Organisations-Admins Gruppe und die Gruppenrichtlinien-Ersteller-Besitzer Gruppe verfügen über diese Berechtigung. Darüber hinaus muss die Group Policy Management-Funktion auf dem Computer installiert werden.

1. Geben Sie auf dem Startbildschirm Folgendes ein:gpmc.msc oder die Gruppe Gruppenrichtlinien-Verwaltungskonsole (GPMC) zu öffnen.

2. Suchen Sie das Gruppenrichtlinienobjekt mit der AppLocker-Richtlinie zum Ändern, mit der rechten Maustaste in des Gruppenrichtlinienobjekts, und klicken Sie auf Bearbeiten.

3. Doppelklicken Sie in der Konsolenstruktur auf Anwendungssteuerungsrichtlinien, doppelklicken Sie auf AppLocker, und klicken Sie dann auf die Regelsammlung, die Sie die Regel erstellen möchten.

Verwalten von AppLocker auf dem lokalen computer

1. Geben Sie auf dem Startbildschirm Folgendes ein:secpol.msc oder gpedit.msc.

2. Falls das Dialogfeld Benutzerkontensteuerung angezeigt wird, bestätigen Sie, dass Sie die angezeigte Aktion wünschen, und klicken Sie anschließend auf Ja.

3. Doppelklicken Sie in der Konsolenstruktur des Snap-Ins auf Anwendungssteuerungsrichtlinien, doppelklicken Sie auf AppLocker, und klicken Sie dann auf die Regelsammlung, die Sie die Regel erstellen möchten.

Verwenden von Windows PowerShell zum Verwalten von AppLocker

Weitere Informationen über das Verwalten von AppLocker mit Windows PowerShell, finden Sie unter Verwenden der AppLocker Windows PowerShell-Cmdlets. Referenz für Informationen und Beispiele zum Verwalten von AppLocker mit Windows PowerShell finden Sie unter der AppLocker-PowerShell-Befehlsverzeichnis.