Dieser Artikel wurde maschinell übersetzt. Wenn Sie die englische Version des Artikels anzeigen möchten, aktivieren Sie das Kontrollkästchen Englisch. Sie können den englischen Text auch in einem Popupfenster anzeigen, indem Sie den Mauszeiger über den Text bewegen.
Übersetzung
Englisch

Ermitteln der Anwendungssteuerungsziele

 

Betrifft: Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

Dieses Thema unterstützt Sie bei Entscheidungen, welche Programme Kontrolle und deren Kontrolle durch den Vergleich von Softwareeinschränkungsrichtlinien und AppLocker zu bestimmen müssen.

AppLocker ist sehr gut für Unternehmen Anwendung Einschränkung an, deren Umgebungen mit eine einfache Topographie haben, und die Anwendung Steuerelement Richtlinie Ziele sind einfach. AppLocker kann z. B. eine Umgebung profitieren, in denen keine Mitarbeiter Zugriff auf Computer mit dem Netzwerk der Organisation, wie z. B. einer Schule oder Bibliothek verbunden haben. Große Organisationen profitieren auch die Bereitstellung der AppLocker-Richtlinie beim Ziel ist es, die Detailebene des Steuerelements auf den Desktopcomputern zu erreichen, die sie bei einer relativ kleinen Anzahl Anwendungstypen zu verwalten.

Es gibt Management und Wartungskosten, die eine Liste der zugelassene Anwendung zugeordnet. Darüber hinaus ist der Zweck von Anwendungssteuerungsrichtlinien zulassen oder verhindern, dass Mitarbeiter mit einer Anwendung, die tatsächlich Produktivitätstools möglicherweise ein. Zu halten Mitarbeiter oder Benutzer produktiv beim Implementieren von Richtlinien kann Zeit und Mühe Kosten. Erstellen Sie abschließend Benutzersupport Prozesse und Netzwerk-Support-Prozesse auf die Produktivität der Organisation sind auch bedenken.

Verwenden Sie zum Entwickeln Ihre eigenen Ziele und festzustellen, welche bewährten anwendungssteuerungsfunktion dieser Ziele Adressen in der folgende Tabelle.

Anwendungssteuerungsfunktion

Softwareeinschränkungsrichtlinien

AppLocker

Bereich

SRP-Richtlinien können auf alle Windows-Betriebssysteme ab Windows XP und Windows Server 2003 angewendet werden.

AppLocker-Richtlinien gelten nur für die Unterstützung genannten Versionen von Windows inAnforderungen für die Verwendung von AppLocker.

Erstellen von Richtlinien

SRP-Richtlinien mithilfe von Gruppenrichtlinien verwaltet werden, und nur der Administrator des Gruppenrichtlinienobjekts SRP-Richtlinie aktualisieren. Der Administrator auf dem lokalen Computer kann in das lokale Gruppenrichtlinienobjekt definiert SRP-Richtlinien ändern.

AppLocker-Richtlinien mithilfe von Gruppenrichtlinien verwaltet werden, und nur der Administrator des Gruppenrichtlinienobjekts Aktualisieren der Richtlinie. Der Administrator auf dem lokalen Computer kann die AppLocker-Richtlinien, die in das lokale Gruppenrichtlinienobjekt definiert ändern.

Mit AppLocker können Fehlermeldungen so angepasst werden, dass Benutzer auf eine Webseite für Hilfe verwiesen werden.

Richtlinienwartung

SRP-Richtlinien müssen aktualisiert werden, indem das Snap-in lokale Sicherheitsrichtlinie (wenn die Richtlinien lokal erstellt werden) oder der Gruppenrichtlinien-Verwaltungskonsole (GPMC).

AppLocker-Richtlinien können über das lokale Sicherheitsrichtlinie Snap-in (wenn die Richtlinien lokal erstellt werden), oder der Gruppenrichtlinien-Verwaltungskonsole oder AppLocker für Windows PowerShell-Cmdlets aktualisiert werden.

Die Anwendung von Richtlinien

SRP-Richtlinien, die über Gruppenrichtlinien verteilt werden.

AppLocker-Richtlinien, die über Gruppenrichtlinien verteilt werden.

Erzwingungsmodus

SRP funktioniert in der "deny Listenmodus" in dem Administratoren Regeln für Dateien, die sie nicht in dieser Organisation zu ermöglichen, während der Rest der Datei ausgeführt werden dürfen standardmäßig erstellen können.

SRP kann auch in der "zulassen" Listenmodus konfiguriert werden, dass die in der Standardeinstellung alle Dateien blockiert werden und müssen Administratoren erstellen Zulassungsregeln für Dateien, die sie zulassen möchten.

AppLocker Standard funktioniert in der "zulassen" Listenmodus, in denen nur diejenigen Dateien ausführen, für die es wird eine entsprechende Zulassungsregel zulässig sind.

Dateitypen, die gesteuert werden können

SRP kann die folgenden Dateitypen steuern:

  • Ausführbare Dateien

  • DLLs

  • Scripts

  • Windows Installer

Jeder Dateityp SRP nicht separat gesteuert werden. Alle SRP-Regeln werden in einer einzigen Regel-Auflistung.

AppLocker kann die folgenden Dateitypen steuern:

  • Ausführbare Dateien

  • DLLs

  • Scripts

  • Windows Installer

  • Apps und Installer gepackt (jedoch nicht inWindows Server 2008 R2undWindows 7).

AppLocker verwaltet eine separate Regel-Auflistung für jede der fünf Dateitypen.

Designierten Dateitypen

SRP unterstützt eine erweiterbare Liste von Dateitypen, die ausführbaren angesehen werden. Administratoren können Erweiterungen für Dateien hinzufügen, die ausführbare Datei berücksichtigt werden sollten.

AppLocker unterstützt dies nicht. AppLocker unterstützt derzeit die folgenden Erweiterungen:

  • Ausführbare Dateien (.exe, .com)

  • DLLs (OCX-Datei, DLL)

  • Skripts (.vbs, js, ps1, .cmd,. bat)

  • Windows Installer (MSI-Datei, MST .msp)

  • App-Paket-Installer (AppX)

Typen von Regeln

SRP unterstützt vier Arten von Regeln:

  • Hash

  • Pfad

  • Signatur

  • Internetzone

AppLocker unterstützt drei Arten von Regeln:

  • Hash

  • Pfad

  • Herausgeber

Den Hashwert bearbeiten

SRP kann Administratoren eine Hash-Datei auswählen.

AppLocker berechnet den Hashwert selbst. Intern verwendet den Authenticode SHA2-Hash für übertragbare ausführbare Dateien (exe- und Dll) und Windows Installer und ein SHA2-Flatfile-Hash für den Rest.

Unterstützung für verschiedene Sicherheitsstufen

Dank SRP können Administratoren Berechtigungen festlegen, mit denen eine Anwendung ausgeführt werden kann. Daher kann ein Administrator eine Regel Konfigurieren dieser Editor wird mit eingeschränkten Berechtigungen und nie mit Administratorrechten immer ausgeführt.

SRP unter Windows Vista und früheren Versionen unterstützt mehrere Sicherheitsstufen. Unter Windows 7 wurde die Liste auf nur zwei Ebenen beschränkt: Nicht zulässig und uneingeschränkten (Standardbenutzer übersetzt nicht erlaubt).

AppLocker unterstützt keine Sicherheitsstufen.

Verwalten vonApp-Pakets undInstaller für App-Paketes.

Nicht möglich

AppX ist ein gültiger Dateityp AppLocker verwaltet werden kann.

Zielgruppenadressierung einer Regel an einen Benutzer oder eine Gruppe von Benutzern

SRP-Regeln gelten für alle Benutzer auf einem bestimmten Computer.

AppLocker-Regeln können auf einen bestimmten Benutzer oder eine Gruppe von Benutzern vorgesehen.

Unterstützung für Regelausnahmen

Regelausnahmen unterstützt SRP nicht.

AppLocker-Regeln können Ausnahmen haben Administratoren zum Erstellen von Regeln, wie z. B. "Ermöglichen alles von Windows mit Ausnahme von Regedit.exe" ermöglichen.

Unterstützung für den Überwachungsmodus

Im Überwachungsmodus unterstützt SRP nicht. Die einzige Möglichkeit zum Testen der SRP-Richtlinien wird zum Einrichten einer Umgebung, und führen Sie einige Experimente.

AppLocker unterstützt Überwachungsmodus die Administratoren, die Auswirkung der Richtlinie in der echten produktionsumgebung zu testen, ohne Beeinträchtigung der Benutzerfunktionalität ermöglicht. Sobald Sie mit dem Ergebnis zufrieden sind, können Sie beginnen, die Richtlinie zu erzwingen.

Unterstützung für das Exportieren und Importieren von Richtlinien

SRP unterstützt keine Richtlinie importieren/exportieren.

AppLocker unterstützt das Importieren und Exportieren von Richtlinien. Dies ermöglicht das Erstellen von AppLocker-Richtlinie auf einem Beispielcomputer Testen dieser Richtlinie exportieren und wieder in das gewünschte Gruppenrichtlinienobjekt importieren.

Regel erzwingen

Intern erfolgt die Erzwingung von Zertifikatregeln SRP im Benutzermodus weniger sicheren ein.

AppLocker-Regeln für exe- und DLL-werden intern im Kernel-Modus erzwungen, die sicherer als deren im Benutzermodus-Durchsetzung ist.

Informationen zu den Funktionen der Softwareeinschränkungsrichtlinien finden Sie unterRichtlinien zur Softwareeinschränkung (Software Restriction Policies, SRP) – Technische Übersicht.

Informationen zu den Funktionen von AppLocker finden Sie unterTechnische Übersicht über AppLocker.

Anzeigen: