Dieser Artikel wurde maschinell übersetzt. Wenn Sie die englische Version des Artikels anzeigen möchten, aktivieren Sie das Kontrollkästchen Englisch. Sie können den englischen Text auch in einem Popupfenster anzeigen, indem Sie den Mauszeiger über den Text bewegen.
Übersetzung
Englisch

Wählen Sie die Typen von Regeln erstellen

 

Betrifft: Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

Dieses Thema enthält Ressourcen, die Sie verwenden können, wenn Ihre Anwendung Richtlinienregeln mithilfe von AppLocker auswählen.

Beim bestimmen, welche Typen von Regeln für die einzelnen Gruppen erstellen, sollten Sie auch, welche erzwingungseinstellung für jede Gruppe ermitteln. Regeltypen eignen sich besonders für einige Objekte, je nachdem, wie die Anwendung in einer bestimmten Geschäftsgruppe bereitgestellt werden.

Weitere Informationen zu AppLocker-Regeln, mit die Sie entscheiden, welche Regeln für die Anwendung können Sie in den folgenden Themen:

Die Regeln, die Sie erstellen, werden in der folgenden Regelsammlungen:

  • Ausführbare Dateien: .exe und .com

  • Windows Installer-Dateien: MSI-, MSP- und MST

  • Skripts: .ps1, .bat, .cmd, .vbs und .js

  • App-Pakete und app-Pakete verpackt: AppX

  • DLLs: .dll und .ocx

System_CAPS_noteHinweis

AppX und MST-Dateitypen gelten nicht für AppLocker auf Windows Server 2008 R2 und Windows 7 ausgeführt wird.

Standardmäßig lässt die Regeln eine Datei, die basierend auf Benutzer oder Gruppe Berechtigungen ausgeführt. Wenn Sie DLL-Regeln verwenden, müssen Sie für jede DLL-Datei, die von allen zugelassenen Anwendungen verwendet wird, eine DLL-Zulassungsregel erstellen. Die DLL-Regelsammlung ist standardmäßig nicht aktiviert.

Im Woodgrove Bank-Beispiel die Line-of-Business-Anwendung für die Unternehmensgruppe Kassierer ist c:\Programme\Microsoft Files\Woodgrove\Teller.exe, und diese Anwendung muss in einer Regel enthalten sein. Darüber hinaus, da diese Regel zu einer Liste der zulässigen Anwendungen ist, müssen die Windows-Dateien unter C:\Windows sein.

Eine Regel ist die Kriterien, von denen eine AppLocker-Regel basiert, und kann nur eine der regelbedingungen in der folgenden Tabelle.

Regelbedingung

Verwendungsszenario

Ressourcen

Herausgeber

Um eine Herausgeberbedingung zu verwenden, müssen die Dateien digital vom Softwareherausgeber signiert werden, oder Sie müssen dazu ein internes Zertifikat verwenden. Regeln mit Angabe der Versionsebene müssen möglicherweise aktualisiert werden, wenn eine neue Version der Datei veröffentlicht wird.

Weitere Informationen zu dieser Regelbedingung finden Sie unter Grundlegendes zur Herausgeberregelbedingung in AppLocker.

Pfad

Diese Regelbedingung kann jeder Datei zugewiesen werden. Da Pfadregeln jedoch Speicherorte im Dateisystem angeben, sind auch Unterverzeichnisse durch die Regel betroffen (es sei denn, sie sind ausdrücklich ausgenommen).

Weitere Informationen zu dieser Regelbedingung finden Sie unter Grundlegendes zur Pfadregelbedingung in AppLocker.

Dateihash

Jede Datei kann diese Bedingung zugewiesen werden. Allerdings muss die Regel jedes Mal aktualisiert werden, wenn eine neue Version der Datei freigegeben wird, da der Hashwert teilweise auf die Version basiert.

Weitere Informationen zu dieser Regelbedingung finden Sie unter Grundlegendes zur Dateihashregel-Bedingung in AppLocker.

Im Woodgrove Bank-Beispiel wird die Line-of-Business-Anwendung für die Unternehmensgruppe Kassierer ist signiert und befindet sich unter c:\Programme\Microsoft Files\Woodgrove\Teller.exe. Aus diesem Grund kann die Regel mit einer herausgeberbedingung definiert werden. Wenn die Regel auf eine bestimmte Version oder höher definiert ist (z. B. Teller.exe Version 8.0 und höher), dadurch können Sie alle Updates für diese Anwendung erfolgen, ohne Unterbrechung des Zugriffs auf die Benutzer, wenn die Anwendung, Name und signierte des Aufenthaltsorts Attribute identisch.

Da AppLocker-Regeln eine Liste der zulässigen Anwendungen erstellen, müssen einer oder mehreren Regeln erstellt werden, damit alle Windows-Dateien ausführen können. AppLocker bietet eine Möglichkeit, um sicherzustellen, dass Systemdateien ordnungsgemäß gelten der Regelsammlung durch die Standardregeln für jede Regelsammlung generieren. Sie können die Standardregeln als Vorlage zum Erstellen eigener Regeln verwenden. Diese Regeln sollten jedoch nur als Ausgangsrichtlinie für erste Tests von AppLocker-Regeln verwendet werden, sodass die Systemdateien im Windows-Ordner ausgeführt werden können. Wenn eine Standardregel erstellt wird, wird es mit"(Standard)" im Namen gekennzeichnet, wie es in der Regelsammlung angezeigt wird.

Sie können auch eine Regel für die Systemdateien, die basierend auf der pfadbedingung erstellen. Im vorhergehenden Beispiel für die Gruppe Kassierer alle Windows-Dateien befinden sich unter C:\Windows und können mit dem Pfad Bedingung Regeltyp definiert werden. Dies ermöglicht den Zugriff auf diese Dateien, wenn Updates angewendet werden, und ändern Sie die Dateien. Wenn Sie zusätzliche Anwendungssicherheit benötigen, müssen Sie vielleicht die auf der Basis der integrierten Standardregelsammlung erstellten Regeln ändern. Beispielsweise basiert die Standardregel, die allen Benutzern die Ausführung von EXE-Dateien im Windows-Ordner erlaubt, auf einer Pfadbedingung, die die Ausführung aller Dateien im Windows-Ordner erlaubt. Der Windows-Ordner enthält einen Temp-Unterordner, in der die Gruppe "Benutzer" folgende Berechtigungen besitzt:

  • Ordner durchlaufen oder Datei ausführen

  • Dateien erstellen oder Daten schreiben

  • Ordner erstellen oder Daten anfügen

Diese Berechtigungseinstellungen gelten für diesen Ordner zur Anwendungskompatibilität. Da jedoch jeder Benutzer an diesem Speicherort Dateien erstellen kann, könnte die Erlaubnis, von diesem Speicherort aus Anwendungen auszuführen, mit der Sicherheitsrichtlinie Ihrer Organisation in Konflikt stehen.

Nachdem Sie die Typen von Regeln erstellen ausgewählt haben, notieren Sie Ihre Ergebnisse wie in erläutert Dokumentieren der AppLocker-Regeln.

Nach der Aufzeichnung der Ergebnisse für die AppLocker-Regeln erstellen, müssen Sie überlegen, wie die Regeln zu erzwingen. Informationen hierzu finden Sie unter Bestimmen der Gruppenrichtlinie Struktur und die Regel erzwingen.

Anzeigen: