Overzicht van AppLocker
Is van toepassing op: Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8 Enterprise
Dit technische overzicht voor de IT-professional bevat een beschrijving van AppLocker. Op basis van deze informatie kunt u bepalen of de implementatie van AppLocker-toepassingsbeheerbeleid zinvol is voor uw organisatie . Met AppLocker kunnen beheerders bepalen welke toepassingen en bestanden kunnen worden uitgevoerd door gebruikers. Dit gaat onder andere om uitvoerbare bestanden, scripts, Windows Installer-bestanden, DLL’s (Dynamic-Link Libraries), app-pakketten en installatiebestanden van app-pakketten.
Tip
Als u pagina's van deze bibliotheek digitaal wilt opslaan of wilt afdrukken, klikt u op Exporteren (in de rechterbovenhoek van de pagina), en volgt u de instructies.
Wat doet AppLocker?
Met AppLocker kunt u het volgende doen:
Regels definiëren op basis van bestandskenmerken die ook behouden blijven bij toepassingsupdates, zoals de naam van de uitgever (afgeleid van de digitale handtekening), productnaam, bestandsnaam en bestandsversie. U kunt ook regels maken op basis van het bestandspad en de bestands-hash.
Een regel toewijzen aan een beveiligingsgroep of een afzonderlijke gebruiker.
Uitzonderingen op regels maken. U kunt bijvoorbeeld een regel maken om toe te staan dat alle gebruikers alle binaire Windows-bestanden kunnen uitvoeren, behalve de Register-editor (Regedit.exe).
De modus Alleen controle gebruiken om het beleid te implementeren en het effect hiervan te bekijken voordat u het beleid afdwingt.
Regels maken op een server met tijdelijke bestanden, deze testen en de regels vervolgens exporteren naar uw productieomgeving en importeren in een groepsbeleidsobject.
Het maken en beheren van AppLocker-regels vereenvoudigen met Windows PowerShell-cmdlets voor AppLocker.
AppLocker helpt zowel de administratieve overhead als de kosten van de organisatie voor het beheren van computerbronnen te verlagen omdat er minder helpdeskgesprekken nodig zijn met gebruikers die niet-goedgekeurde toepassingen uitvoeren. AppLocker kan worden gebruikt in de volgende scenario’s voor toepassingsbeveiliging:
Toepassingsinventaris
Met AppLocker kan het beleid worden afgedwongen in de modus Alleen controle waarin alle activiteit voor het openen van toepassingen wordt geregistreerd in gebeurtenislogboeken. Deze gebeurtenissen kunnen worden verzameld voor verdere analyse. Met Windows PowerShell-cmdlets kunt u deze gegevens ook programmatisch analyseren.
Beveiliging tegen ongewenste software
In AppLocker kunt u aangeven dat toepassingen niet mogen worden uitgevoerd door deze uit te sluiten in de lijst met toegestane toepassingen. Wanneer AppLocker-regels worden afgedwongen in de productieomgeving, wordt elke toepassing geblokkeerd die niet is opgenomen in de lijst met toegestane regels.
Conformiteit van licenties
Met AppLocker kunt u regels maken om in te stellen dat software zonder licentie niet kan worden uitgevoerd en dat gelicentieerde software alleen kan worden uitgevoerd door gemachtigde gebruikers.
Softwarestandaardisering
AppLocker-beleid kan zodanig worden geconfigureerd dat alleen ondersteunde of goedgekeurde toepassingen worden uitgevoerd op computers in een bedrijfsgroep. Hierdoor kunnen toepassingen meer uniform worden geïmplementeerd.
Verbetering van de beheerbaarheid
AppLocker bevat een aantal verbeteringen in de beheerbaarheid ten opzichte van zijn voorganger, Softwarerestrictiebeleid. Deze verbeteringen bestaan onder andere uit het importeren en exporteren van beleid, het automatisch genereren van regels uit meerdere bestanden, implementatie in de modus Alleen controle en Windows PowerShell-cmdlets.
Gebruik van AppLocker
Voor veel organisaties is informatie het waardevolste bedrijfsmiddel en het is daarom essentieel om ervoor te zorgen dat alleen goedgekeurde gebruikers toegang hebben tot die informatie. Met technologieën voor toegangsbeheer, zoals AD RMS (Active Directory Rights Management Services) en toegangsbeheerlijsten, kunt u bepalen waartoe gebruikers toegang krijgen.
Wanneer een gebruiker een proces uitvoert, heeft dit proces echter hetzelfde toegangsniveau tot gegevens als de gebruiker. Hierdoor kunnen gevoelige gegevens eenvoudig worden verwijderd of buiten de organisatie worden verzonden als een gebruiker bewust of onbewust schadelijke software uitvoert. Met AppLocker kunt u deze typen schendingen van de beveiliging terugdringen door de bestanden die gebruikers of groepen kunnen uitvoeren, te beperken.
Software-uitgevers komen met steeds meer toepassingen die kunnen worden geïnstalleerd door gebruikers zonder beheerdersrechten. Dit kan het vastgelegde beveiligingsbeleid van een organisatie in gevaar brengen en traditionele oplossingen voor toepassingsbeheer omzeilen waarin gebruikers geen toepassingen kunnen installeren. Omdat beheerders in AppLocker een lijst kunnen maken met goedgekeurde bestanden en toepassingen, kan worden voorkomen dat dergelijke toepassingen worden uitgevoerd. Omdat DLL’s kunnen worden beheerd in AppLocker, is het ook nuttig om in te stellen wie ActiveX-besturingselementen mogen installeren en uitvoeren.
AppLocker is ideaal voor organisaties die momenteel groepsbeleid gebruiken om hun Windows-computers te beheren. Aangezien AppLocker groepsbeleid gebruikt bij het ontwerpen en implementeren, is ervaring met Groepsbeleid handig als u AppLocker wilt gebruiken.
Hieronder ziet u voorbeelden van scenario’s waarin AppLocker kan worden gebruikt:
Op basis van het beveiligingsbeleid van uw organisatie mag alleen gelicentieerde software worden gebruikt. U moet dus voorkomen dat gebruikers software zonder licentie uitvoeren en tevens het gebruik van gelicentieerde software beperken tot gemachtigde gebruikers.
Een toepassing wordt niet meer ondersteund door uw organisatie. Zorg er daarom voor dat die toepassing niet door iedereen kan worden gebruikt.
Er is een grote kans dat ongewenste software uw omgeving binnenkomt, dus moet u deze bedreiging beperken.
De licentie voor een toepassing is ingetrokken of verlopen in uw organisatie. Zorg er daarom voor dat die licentie niet door iedereen kan worden gebruikt.
Een nieuwe toepassing of een nieuwe versie van een toepassing wordt geïmplementeerd en u wilt voorkomen dat gebruikers de oude versie uitvoeren.
Bepaalde softwareprogramma’s zijn niet toegestaan in de organisatie of alleen specifieke gebruikers mogen toegang hebben tot deze programma's.
Eén gebruiker of een kleine groep gebruikers moet een specifieke toepassing gebruiken waartoe alle andere gebruikers geen toegang hebben.
Sommige computers in uw organisatie worden gedeeld door personen die verschillende software moeten gebruiken en u moet specifieke toepassingen beveiligen.
U moet onder andere de toegang tot gevoelige gegevens via toepassingen beheren.
Met AppLocker kunt u de digitale bedrijfsmiddelen in uw organisatie beschermen, de dreiging van schadelijke software in uw omgeving beperken en toepassingsbeheer en het onderhoud van toepassingsbeheerbeleid verbeteren.
Versies, interoperabiliteit en verschillen in functionaliteit
Ondersteunde versies en overwegingen over de interoperabiliteit
AppLocker-beleid kan alleen worden geconfigureerd en toegepast op computers met de ondersteunde versies van het Windows-besturingssysteem. Zie Vereisten voor het gebruik van AppLocker voor meer informatie.
Verschillen in functionaliteit tussen versies
De volgende tabel bevat de verschillen in de belangrijkste functies van AppLocker per besturingssysteemversie:
| Functie | Windows Server 2008 R2 en Windows 7 | Windows Server 2012 R2, Windows Server 2012, Windows 8.1 en Windows 8 |
|---|---|---|
| Mogelijkheid om regels in te stellen voor app-pakketten en installatiebestanden van app-pakketten. | Nee | Ja |
| AppLocker-beleid wordt beheerd via groepsbeleid en alleen de beheerder van de computer kan AppLocker-beleidsregels bijwerken. | Ja | Ja |
| In AppLocker kunnen foutberichten worden aangepast, zodat beheerders gebruikers naar een webpagina kunnen verwijzen voor meer informatie. | Ja | Ja |
| De mogelijkheid om AppLocker en Softwarerestrictiebeleid samen te gebruiken (met afzonderlijke groepsbeleidsobjecten). | Ja | Ja |
| AppLocker ondersteunt een kleine set Windows PowerShell-cmdlets voor beheer en onderhoud. | Ja | Ja |
| De weergegeven bestandsindelingen kunnen worden beheerd met AppLocker-regels. | - .exe - .com - .ps1 - .bat - .cmd - .vbs - .js - .msi - .msp - .dll - .ocx |
- .exe - .com - .ps1 - .bat - .cmd - .vbs - .js - .msi - .msp - .mst - .dll - .ocx - .appx |
Zie Gebruik AppLocker en beleid voor softwarebeperking in hetzelfde domein voor meer informatie over het vergelijken van de functies voor toepassingsbeheer in Softwarebeperkingsbeleid en AppLocker en over het gebruik van de twee functies samen.
Systeemvereisten
AppLocker-beleid kan alleen worden geconfigureerd en toegepast op computers met de ondersteunde versies van het Windows-besturingssysteem. Groepsbeleid is vereist om de groepsbeleidsobjecten te distribueren die AppLocker-beleid bevatten. Zie Vereisten voor het gebruik van AppLocker voor meer informatie.
AppLocker-regels kunnen worden gemaakt op domeincontrollers.
Notitie
De mogelijkheid om regels voor app-pakketten en installatiebestanden voor app-pakketten te schrijven of af te dwingen, is niet beschikbaar in Windows Server 2008 R2 en Windows 7.
AppLocker installeren
AppLocker is opgenomen in de zakelijke versies van Windows. U kunt AppLocker-regels schrijven voor één computer of voor een groep computers. Voor één computer kunt u de regels schrijven met de editor voor lokaal beveiligingsbeleid (secpol.msc). Voor een groep computers kunt u de regels binnen een groepsbeleidsobject schrijven met de console Groepsbeleidbeheer (GPMC).
Notitie
De GPMC is alleen beschikbaar op clientcomputers waarop Windows wordt uitgevoerd als u de Remote Server Administration Tools installeert. Op computers met Windows Server moet u de functie Groepsbeleidsbeheer installeren.
AppLocker gebruiken op Server Core
U kunt Windows PowerShell gebruiken om AppLocker te beheren op Server Core-installaties met behulp van de AppLocker-cmdlets en, als u AppLocker beheert binnen een groepsbeleidsobject, met de PowerShell-cmdlets voor groepsbeleid. Zie het Overzicht van AppLocker PowerShell-opdrachten voor meer informatie.
Virtualisatieoverwegingen
U kunt AppLocker-beleid beheren met een gevirtualiseerd exemplaar van Windows als dit voldoet aan alle eerder vermelde systeemvereisten. U kunt ook groepsbeleid uitvoeren in een gevirtualiseerd exemplaar. De beleidsitems die u hebt gemaakt en beheerd, kunnen echter verloren gaan als het gevirtualiseerde exemplaar wordt verwijderd of als er een fout in optreedt.
Beveiligingsoverwegingen
Met toepassingsbeheerbeleid kunt u opgeven welke programma's mogen worden uitgevoerd op de lokale computer.
Vanwege de diverse vormen die schadelijke software kunnen aannemen, is het lastig voor gebruikers om te weten wat veilig is en wat niet. Wanneer schadelijke software wordt geactiveerd, kan inhoud op een vaste schijf worden beschadigd, kan een netwerk worden overspoeld met een grote hoeveelheid aanvragen om een DoS-aanval (Denial of Service) te veroorzaken, kan vertrouwelijke informatie naar internet worden verzonden of kan de beveiliging van een computer gevaar lopen.
U kunt dit tegengaan door een goed ontwerp te maken voor uw toepassingsbeheerbeleid op computers van eindgebruikers in uw organisatie en het beleid grondig te testen in een testomgeving voordat u dit in een productieomgeving implementeert. AppLocker kan deel uitmaken van uw toepassingsbeheerstrategie omdat u kunt bepalen welke software mag worden uitgevoerd op uw computers.
Wanneer een onjuist ontworpen toepassingsbeheerbeleid wordt geïmplementeerd, kunnen noodzakelijke toepassingen worden uitgeschakeld of kan schadelijke dan wel ongewenste software worden uitgevoerd. Daarom is het belangrijk dat organisaties voldoende bronnen inzetten om de implementatie van dergelijk beleid te beheren en eventuele problemen daarbij op te lossen.
Zie Beveiligingsoverwegingen voor AppLocker voor meer informatie over specifieke beveiligingsproblemen.
Wanneer u AppLocker gebruikt om toepassingsbeheerbeleid te maken, moet u rekening houden met de volgende beveiligingsoverwegingen:
Wie mag AppLocker-beleid instellen?
Hoe controleert u of het beleid wordt afgedwongen?
Welke gebeurtenissen moet u controleren?
De volgende tabel bevat de basisinstellingen voor een clientcomputer waarop AppLocker is geïnstalleerd. U kunt deze als naslag gebruiken tijdens de beveiligingsplanning.
| Instelling | Standaardwaarde |
|---|---|
| Gemaakte accounts | Geen |
| Authenticatiemethode | Niet van toepassing |
| Beheerinterfaces | AppLocker kan worden beheerd met een Microsoft Management Console-module, Groepsbeleidsbeheer en Windows PowerShell |
| Geopende poorten | Geen |
| Minimaal benodigde bevoegdheden | Administrator op de lokale computer. Domeinadministrators of een set rechten waarmee u Groepsbeleidsobjecten kunt maken, bewerken en distribueren. |
| Gebruikte protocollen | Niet van toepassing |
| Geplande taken | Appidpolicyconverter.exe wordt in een geplande taak geplaatst, zodat deze op verzoek kan worden uitgevoerd. |
| Beveiligingsbeleid | Geen vereist. AppLocker maakt beveiligingsbeleid. |
| Vereiste systeemservices | De Application Identity-service (appidsvc) wordt uitgevoerd onder LocalServiceAndNoImpersonation. |
| Opslag van referenties | Geen |
AppLocker-beleid onderhouden
Informatie over het onderhoud van Applocker-beleid vindt u in de volgende onderwerpen:
Zie ook
| Informatiebron | Windows Server 2008 R2 en Windows 7 | Windows Server 2012 R2, Windows Server 2012, Windows 8.1 en Windows 8 |
|---|---|---|
| Productevaluatie | Veelgestelde vragen Stapsgewijze handleiding voor AppLocker |
Veelgestelde vragen Stapsgewijze handleiding voor AppLocker |
| Procedures | Praktijkgids voor AppLocker | AppLocker beheren Verpakte Apps beheren met AppLocker |
| Scripts uitvoeren | De Windows PowerShell-cmdlets voor AppLocker gebruiken | Gebruik de Windows PowerShell-Cmdlets van AppLocker |
| Technische inhoud | Technische documentatie voor AppLocker | Technische documentatie voor AppLocker |
| Ontwerp, planning en implementatie | Handleiding voor het ontwerpen van AppLocker-beleidsregels Implementatiehandleiding voor AppLocker-beleid |
Handleiding voor het ontwerpen van AppLocker-beleidsregels Implementatiehandleiding voor AppLocker-beleid |