Verwalten von Softwareeinschränkungsrichtlinien

  • Artikel

 

Betrifft: Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8

In diesem Thema für IT-Spezialisten enthält Verfahren zur Verwaltung von Anwendungssteuerungsrichtlinien mit Windows Server 2008 und Windows Vista (Software Restriction Policies, SRP) ab.

Einführung

Die Richtlinien für Softwareeinschränkung (Software Restriction Policies, SRP) sind ein auf der Gruppenrichtlinie basierendes Feature, das Softwareprogramme identifiziert, die auf Computern in einer Domäne ausgeführt werden, und die Fähigkeit zur Ausführung dieser Programme steuert. Sie können Richtlinien für Softwareeinschränkung auch verwenden, um eine stark eingeschränkte Konfiguration für Computer zu erstellen, in der Sie ausschließlich die Ausführung explizit angegebener Anwendungen zulassen. Diese sind mit Microsoft Active Directory-Domänendienste und Gruppenrichtlinien integriert, aber können auch auf eigenständigen Computern konfiguriert werden. Weitere Informationen zum SRP finden Sie unter derRichtlinien für Softwareeinschränkungen (Übersicht).

Beginnend mitWindows Server 2008 R2undWindows 7AppLocker Windows dienen anstelle oder zusammen mit SRP für einen Teil Ihrer anwendungssteuerungsstrategie. Informationen zu AppLocker inWindows Server 2012undWindows 8finden Sie unter derAppLocker: Übersicht [Client].

Dieses Thema enthält:

  • Zum Öffnen von Softwareeinschränkungsrichtlinien

  • Erstellen Sie neue Softwareeinschränkungsrichtlinien

  • Hinzufügen oder Löschen eines designierten Dateityps

  • Um zu verhindern, dass Softwareeinschränkungsrichtlinien für lokale Administratoren

  • So ändern Sie die Standardsicherheitsstufe der Softwareeinschränkungsrichtlinien

  • Anwenden von Softwareeinschränkungsrichtlinien auf DLLs

Informationen dazu, wie Sie bestimmte Aufgaben mit SRP finden Sie hier:

Zum Öffnen von Softwareeinschränkungsrichtlinien

  • Für den lokalen Computer

  • Sind für eine Domäne Site oder Organisationseinheit, und Sie ein, auf einem Mitgliedsserver oder einer Arbeitsstation, die Mitglied einer Domäne ist

  • Für eine Domäne oder Organisationseinheit, und Sie sind auf einem Domänencontroller oder einer Arbeitsstation mit den Remoteserver-Verwaltungstools installiert

  • Für einen Standort, und Sie sind auf einem Domänencontroller oder einer Arbeitsstation mit den Remoteserver-Verwaltungstools installiert

Für den lokalen Computer

  1. Öffnen Sie "Lokale Sicherheitseinstellungen".

  2. Klicken Sie in der Konsolenstruktur aufSoftwareeinschränkungsrichtlinien.

    Position

    • Security Settings-Software Restriction Policies

Hinweis

Um diese Schritte ausführen zu können, müssen Sie auf dem lokalen Computer ein Mitglied der Gruppe "Administratoren" sein oder Ihnen muss die entsprechende Berechtigung übertragen worden sein.

Sind für eine Domäne Site oder Organisationseinheit, und Sie ein, auf einem Mitgliedsserver oder einer Arbeitsstation, die Mitglied einer Domäne ist

  1. Öffnen Sie die Microsoft Management Console (MMC).

  2. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen, und klicken Sie dann auf Hinzufügen.

  3. Klicken Sie auf Lokaler Gruppenrichtlinienobjekt-Editor und anschließend auf Hinzufügen.

  4. Klicken Sie unter Gruppenrichtlinienobjekt auswählen auf Durchsuchen.

  5. InSuchen Sie nach einem Gruppenrichtlinienobjekt(Group Policy Object, GPO) in der entsprechenden Domäne, Site oder Organisationseinheit auswählen oder erstellen Sie eine neue, und klicken Sie dann aufFertig stellen.

  6. Klicken Sie auf Schließen und dann auf OK.

  7. Klicken Sie in der Konsolenstruktur aufSoftwareeinschränkungsrichtlinien.

    Position

    • Gruppenrichtlinienobjekt[ComputerName] Richtlinie/Computerkonfiguration oder

      Benutzer Computerkonfiguration/Windows Settings/Security Settings/Softwareeinschränkungsrichtlinien

Hinweis

Zum Ausführen dieses Verfahrens müssen Sie Mitglied der Gruppe "Domänen-Admins" sein.

Für eine Domäne oder Organisationseinheit, und Sie sind auf einem Domänencontroller oder einer Arbeitsstation mit den Remoteserver-Verwaltungstools installiert

  1. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole.

  2. In der Konsolenstruktur mit der rechten Maustaste der Gruppe Richtlinie (Object, GPO), die Sie Softwareeinschränkungsrichtlinien für öffnen möchten.

  3. Klicken Sie auf Bearbeiten, um das zu bearbeitende Gruppenrichtlinienobjekt zu öffnen. Sie können auch auf Neu klicken, um ein neues Gruppenrichtlinienobjekt zu erstellen, und anschließend auf Bearbeiten klicken.

  4. Klicken Sie in der Konsolenstruktur aufSoftwareeinschränkungsrichtlinien.

    Position

    • Gruppenrichtlinienobjekt[ComputerName] Richtlinie/Computerkonfiguration oder

      Benutzer Computerkonfiguration/Windows Settings/Security Settings/Softwareeinschränkungsrichtlinien

Hinweis

Zum Ausführen dieses Verfahrens müssen Sie Mitglied der Gruppe "Domänen-Admins" sein.

Für einen Standort, und Sie sind auf einem Domänencontroller oder einer Arbeitsstation mit den Remoteserver-Verwaltungstools installiert

  1. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole.

  2. Klicken Sie in der Konsolenstruktur auf die Website, der Sie Gruppenrichtlinien festlegen möchten.

    Position

    • Active Directory-Standorte und-Dienste [Domänencontrollername. Domänenname] / Sites/Site

  3. Klicken Sie auf einen Eintrag imGruppenrichtlinienobjekt-Verknüpfungenwählen Sie ein vorhandenes Gruppenrichtlinienobjekt (GPO), und klicken Sie aufBearbeiten. Sie können auch auf Neu klicken, um ein neues Gruppenrichtlinienobjekt zu erstellen, und anschließend auf Bearbeiten klicken.

  4. Klicken Sie in der Konsolenstruktur aufSoftwareeinschränkungsrichtlinien.

    Wobei

    • Gruppenrichtlinienobjekt[ComputerName] Richtlinie/Computerkonfiguration oder

      Benutzer Computerkonfiguration/Windows Settings/Security Settings/Softwareeinschränkungsrichtlinien

Hinweis

  • Um diese Schritte ausführen zu können, müssen Sie auf dem lokalen Computer ein Mitglied der Gruppe "Administratoren" sein oder Ihnen muss die entsprechende Berechtigung übertragen worden sein. Wenn der Computer zu einer Domäne gehört, können diese Schritte möglicherweise von Mitgliedern der Gruppe "Domänen-Admins" ausgeführt werden.

  • Richtlinien festlegen, die auf Computern, unabhängig davon, welche Anmeldung durch den Benutzer, angewendet werden, klicken Sie aufComputerkonfiguration.

  • Zum Festlegen von Richtlinien, die für Benutzer angewendet wird, unabhängig davon, welchen Computer sie anmelden, klicken Sie aufBenutzerkonfiguration.

Erstellen Sie neue Softwareeinschränkungsrichtlinien

  1. Öffnen Sie "Richtlinien für Softwareeinschränkung".

  2. Klicken Sie im Menü Aktion auf Neue Richtlinien für Softwareeinschränkung erstellen.

Warnung

  • Abhängig von Ihrer Umgebung sind für das Verfahren verschiedene Administratorrechte erforderlich:

    • Bei der Erstellung neuer Softwareeinschränkungsrichtlinien für Ihren lokalen Computer: Grundvoraussetzung zur Ausführung dieses Vorgangs ist die Mitgliedschaft in der lokalen Gruppe Administratoren oder eine gleichwertige Mitgliedschaft.

    • Wenn Sie neue Softwareeinschränkungsrichtlinien für einen Computer erstellen, der einer Domäne angehört, kann dieses Verfahren von Mitgliedern der Gruppe "Domänen-Admins" ausgeführt werden.

  • Falls für ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) bereits Softwareeinschränkungsrichtlinien erstellt wurden, wird der Befehl Neue Richtlinien für Softwareeinschränkung erstellen im Menü Aktion nicht angezeigt. Klicken Sie zum Löschen der auf ein Gruppenrichtlinienobjekt angewendeten Softwareeinschränkungsrichtlinien in der Konsolenstruktur mit der rechten Maustaste auf Richtlinien für Softwareeinschränkung, und klicken Sie anschließend auf Richtlinien für Softwareeinschränkungen löschen. Wenn Sie Softwareeinschränkungsrichtlinien für ein Gruppenrichtlinienobjekt löschen, löschen Sie auch alle Software Restriction Policies Regeln für das Gruppenrichtlinienobjekt. Nach dem Löschen der Softwareeinschränkungsrichtlinien können Sie neue Softwareeinschränkungsrichtlinien für das Gruppenrichtlinienobjekt erstellen.

Hinzufügen oder Löschen eines designierten Dateityps

  1. Öffnen Sie "Richtlinien für Softwareeinschränkung".

  2. Doppelklicken Sie im Detailbereich auf Designierte Dateitypen.

  3. Führen Sie eines der folgenden Verfahren aus:

    • Geben Sie zum Hinzufügen eines Dateityps unter Dateinamenerweiterung die Dateinamenerweiterung ein, und klicken Sie dann auf Hinzufügen.

    • Klicken Sie zum Löschen eines Dateityps unter Designierte Dateitypen auf den Dateityp, und klicken Sie dann auf Entfernen.

Hinweis

  • Abhängig von der Umgebung, in der Sie einen designierten Dateityp hinzufügen oder entfernen, sind für das Verfahren verschiedene Administratorrechte erforderlich:

    • Beim Hinzufügen bzw. Löschen eines designierten Dateityps für Ihren lokalen Computer: Grundvoraussetzung zur Ausführung dieses Vorgangs ist die Mitgliedschaft in der lokalen Gruppe Administratoren oder eine gleichwertige Mitgliedschaft.

    • Wenn Sie neue Softwareeinschränkungsrichtlinien für einen Computer erstellen, der einer Domäne angehört, kann dieses Verfahren von Mitgliedern der Gruppe "Domänen-Admins" ausgeführt werden.

  • Möglicherweise muss eine neue Softwareeinschränkungsrichtlinien-Einstellung für das Gruppenrichtlinienobjekt erstellt werden, sofern noch nicht geschehen.

  • Die Liste der designierten Dateitypen wird von allen Regeln für Computer- und Benutzerkonfiguration für ein Gruppenrichtlinienobjekt gemeinsam verwendet.

Um zu verhindern, dass Softwareeinschränkungsrichtlinien für lokale Administratoren

  1. Öffnen Sie "Richtlinien für Softwareeinschränkung".

  2. Doppelklicken Sie im Detailbereich auf Erzwingen.

  3. Klicken Sie unter Richtlinien für Softwareeinschränkung auf folgende Benutzer anwenden auf Alle Benutzer außer den lokalen Administratoren.

Warnung

  • Grundvoraussetzung zur Ausführung dieses Vorgangs ist die Mitgliedschaft in der lokalen Gruppe Administratoren oder eine gleichwertige Mitgliedschaft.

  • Möglicherweise muss eine neue Softwareeinschränkungsrichtlinien-Einstellung für das Gruppenrichtlinienobjekt erstellt werden, sofern noch nicht geschehen.

  • Falls Benutzer in Ihrer Organisation in der Regel Mitglied der lokalen Gruppe "Administratoren" auf ihren Computern sind, möchten Sie diese Option möglicherweise nicht aktivieren.

  • Wenn Sie eine Softwareeinschränkungsrichtlinien-Einstellung für den lokalen Computer festlegen, verhindern Sie mithilfe dieses Verfahrens, dass Softwareeinschränkungsrichtlinien auf lokale Administratoren angewendet werden. Wenn Sie eine Softwareeinschränkungsrichtlinien-Einstellung für Ihr Netzwerk definieren, Filtern Sie Benutzerrichtlinien basierend auf der Mitgliedschaft in Sicherheitsgruppen über Gruppenrichtlinien.

So ändern Sie die Standardsicherheitsstufe der Softwareeinschränkungsrichtlinien

  1. Öffnen Sie "Richtlinien für Softwareeinschränkung".

  2. Doppelklicken Sie im Detailbereich auf Sicherheitsstufen.

  3. Klicken Sie mit der rechten Maustaste auf die Sicherheitsstufe, die Sie als Standard festlegen möchten, und klicken Sie dann auf Als Standard.

Warnung

In bestimmten Verzeichnissen kann es sich negativ auf das Betriebssystem auswirken, wenn Sie als Standardsicherheitsstufe Nicht erlaubt festlegen.

Hinweis

  • Abhängig von der Umgebung, für die Sie die Standardsicherheitsstufe der Softwareeinschränkungsrichtlinien ändern, sind für das Verfahren verschiedene Administratorrechte erforderlich:

  • Möglicherweise muss eine neue Softwareeinschränkungsrichtlinien-Einstellung für dieses Gruppenrichtlinienobjekt erstellt werden, sofern noch nicht geschehen.

  • Im Detailbereich ist die aktuelle Standardsicherheitsstufe durch einen schwarzen Kreis mit einem Häkchen angegeben. Wenn Sie mit der rechten Maustaste auf die aktuelle Standardsicherheitsstufe klicken, wird der Befehl Als Standard nicht im Menü angezeigt.

  • Software Restriction Policies Regeln werden erstellt, wenn Sie Ausnahmen für die Standardsicherheitsstufe festlegen. Wenn als Standardsicherheitsstufe Nicht eingeschränkt festgelegt ist, kann mit Regeln Software angegeben werden, die nicht ausgeführt werden darf. Wenn als Standardsicherheitsstufe Nicht erlaubt festgelegt ist, kann mit Regeln Software angegeben werden, die ausgeführt werden darf.

  • Bei der Installation wird die Standardsicherheitsstufe der Softwareeinschränkungsrichtlinien für alle Dateien im System auf Nicht eingeschränkt festgelegt.

Anwenden von Softwareeinschränkungsrichtlinien auf DLLs

  1. Öffnen Sie "Richtlinien für Softwareeinschränkung".

  2. Doppelklicken Sie im Detailbereich auf Erzwingen.

  3. Klicken Sie unter Richtlinien für Softwareeinschränkung anwenden auf auf Alle Softwaredateien.

Hinweis

  • Um diese Schritte ausführen zu können, müssen Sie auf dem lokalen Computer ein Mitglied der Gruppe "Administratoren" sein oder Ihnen muss die entsprechende Berechtigung übertragen worden sein. Wenn der Computer zu einer Domäne gehört, können diese Schritte möglicherweise von Mitgliedern der Gruppe "Domänen-Admins" ausgeführt werden.

  • Standardmäßig werden Dynamic Link Libraries (DLLs) von Softwareeinschränkungsrichtlinien nicht überprüft. Die Überprüfung von DLLs kann die Systemleistung beeinträchtigen, da Softwareeinschränkungsrichtlinien bei jedem Laden einer DLL ausgewertet werden müssen. Sie können DLLs jedoch überprüfen, wenn Sie Bedenken bzgl. eines DLL-Virus haben. Wenn die Standardsicherheitsstufe, um festgelegt istnicht erlaubtund Sie aktivieren die DLL überprüfen, müssen Software Restriction Policies Sie Regeln erstellen, mit denen jede DLL ausführen können.