Grundlegendes zu den Bedingungstypen für AppLocker-Regeln
Betrifft: Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8
In diesem Thema für IT-Experten werden die drei Typen von AppLocker-Regelbedingungen beschrieben.
Regelbedingungen sind die Kriterien, auf denen die AppLocker-Regel basiert. Zum Erstellen einer AppLocker-Regel sind primäre Zustände erforderlich. Die drei wichtigsten Regelbedingungen sind Herausgeber, Pfad und Dateihash.
Herausgeber
Um eine Herausgeberbedingung zu verwenden, müssen die Dateien digital vom Softwareherausgeber signiert werden, oder Sie müssen dazu ein internes Zertifikat verwenden. Regeln mit Angabe der Versionsebene müssen möglicherweise aktualisiert werden, wenn eine neue Version der Datei veröffentlicht wird. Weitere Informationen zu dieser Regelbedingung finden Sie unter Grundlegendes zur Herausgeberregelbedingung in AppLocker.
Pfad
Diese Regelbedingung kann jeder Datei zugewiesen werden. Da Pfadregeln jedoch Speicherorte im Dateisystem angeben, sind auch Unterverzeichnisse durch die Regel betroffen (es sei denn, sie sind ausdrücklich ausgenommen). Weitere Informationen zu dieser Regelbedingung finden Sie unter Grundlegendes zur Pfadregelbedingung in AppLocker.
Dateihash
Diese Regelbedingung kann jeder Datei zugewiesen werden. Die Regel muss jedoch jedes Mal aktualisiert werden, wenn eine neue Version der Datei veröffentlicht wird, da der Hashwert für die jeweilige Version der Datei eindeutig ist. Weitere Informationen zu dieser Regelbedingung finden Sie unter Grundlegendes zur Dateihashregel-Bedingung in AppLocker.
Überlegungen
Die Auswahl der passenden Bedingung für jede Regel hängt von der gesamten Anwendungssteuerungsrichtlinie der Organisation, den Wartungszielen der AppLocker-Regel sowie den Bedingungen der vorhandenen (oder geplanten) Anwendungsbereitstellung ab. Die folgenden Fragen können bei der Entscheidung helfen, welche Bedingung Sie verwenden sollten.
Ist die Datei von einem Softwareherausgeber digital signiert?
Wenn die Datei von einem Softwareherausgeber signiert ist, empfehlen wir, Regeln mit Herausgeberbedingungen zu erstellen. Sie können trotzdem Dateihash- und Pfadbedingungen für signierte Dateien erstellen. Wenn die Datei nicht von einem Softwareherausgeber digital signiert ist, haben Sie folgende Möglichkeiten:
Signieren Sie die Datei mithilfe eines internen Zertifikats.
Erstellen Sie eine Regel mit einer Dateihashbedingung.
Erstellen Sie eine Regel mit einer Pfadbedingung.
Hinweis
Um festzustellen, wie viele Anwendungen auf einem Referenzcomputer digital signiert sind, können Sie das Windows PowerShell-Cmdlet Get-AppLockerFileInformation auf ein Verzeichnis mit Dateien anwenden. So zeigt Get-AppLockerFileInformation –Directory C:\Windows\ -FileType EXE -recurse beispielsweise die Eigenschaften für alle EXE- und COM-Dateien im Windows-Verzeichnis an.
Welchen Regelbedingungstyp bevorzugt Ihre Organisation?
Wenn Ihre Organisation bereits Richtlinien für Softwareeinschränkung (Software Restriction Policies, SRP) verwendet, um einzuschränken, welche Dateien Benutzer ausführen können, sind wahrscheinlich schon Regeln mit Dateihash- oder Pfadbedingungen vorhanden.
Hinweis
Eine Liste der unterstützten Betriebssystemversionen und -editionen, unter denen SRP- und AppLocker-Regeln angewendet werden können, finden Sie unter Anforderungen für die Verwendung von AppLocker.