Erstellen einer Regel für App-Pakete

  • Artikel

In diesem Thema, das sich an IT-Experten richtet, wird gezeigt, wie Sie eine AppLocker-Regel für App-Pakete mit einer Herausgeberbedingung erstellen.

App-Pakete, die auch als „Universelle Windows-Apps“ bezeichnet werden, basieren auf einem App-Modell, mit dem sichergestellt wird, dass alle Dateien in einem App-Paket dieselbe Identität verwenden. Daher ist es möglich, die gesamte App mit einer einzigen AppLocker-Regel zu steuern, im Gegensatz zu Apps, die nicht als Paket vorliegen und bei denen jede einzelne Datei in der App eine eigene Identität haben kann. Windows unterstützt keine App-Pakete, die nicht signiert sind. Dies bedeutet also, dass alle App-Pakete signiert werden müssen. AppLocker unterstützt nur Herausgeberregeln für App-Pakete. Eine Herausgeberregel für eine App-Paket basiert auf den folgenden Informationen:

  • Herausgeber des Pakets

  • Paketname

  • Paketversion

Alle Dateien in einem Paket sowie das Paketinstallationsprogramm verwenden diese Attribute. Daher steuert eine AppLocker-Regel für ein App-Paket sowohl die Installation als auch die Ausführung der App. Ansonsten unterscheiden sich die Herausgeberregeln für App-Pakete nicht von den übrigen Regelsammlungen: Sie unterstützen Ausnahmen, ihr Bereich kann erweitert oder verringert werden, und sie können Benutzern und Gruppen zugewiesen werden.

Informationen über die Herausgeberbedingung finden Sie unter Grundlegendes zur Herausgeberregelbedingung in AppLocker.

Sie können diese Aufgabe ausführen, indem Sie die Gruppenrichtlinien-Verwaltungskonsole für eine AppLocker-Richtlinie in einem Gruppenrichtlinienobjekt (Group Policy Object, GPO) oder das Snap-In „Lokale Sicherheitsrichtlinie“ für eine AppLocker-Richtlinie auf einem lokalen Computer oder in einer Sicherheitsvorlage verwenden. Informationen darüber, wie Sie diese MMC-Snap-Ins zum Verwalten von AppLocker verwenden, finden Sie unter Verwalten von AppLocker.

Mt431738.wedge(de-de,VS.85).gifSo erstellen Sie eine Regel für App-Pakete

  1. Öffnen Sie die AppLocker-Konsole.

  2. Klicken Sie im Menü Aktion (oder klicken Sie mit der rechten Maustaste auf App-Paketregeln) auf Neue Regel erstellen.

  3. Klicken Sie auf der Seite Vorbemerkungen auf Weiter.

  4. Wählen Sie auf der Seite Berechtigungen die Aktion (Zulassung oder Ablehnung) und den Benutzer oder die Gruppe aus, auf den bzw. die die Regel angewendet werden soll. Klicken Sie anschließend auf Weiter.

  5. Auf der Seite Herausgeber können Sie einen bestimmten Verweis für die App-Paketregel auswählen und den Bereich der Regel festlegen. Die folgende Tabelle beschreibt die Verweisoptionen.

    Auswahl Beschreibung Beispiel

    Ein installiertes App-Paket als Referenz verwenden

    Wenn diese Option ausgewählt ist, müssen Sie in AppLocker eine bereits installierte App auswählen, die als Grundlage für die neue Regel dient. AppLocker verwendet den Herausgeber, den Paketnamen und die Version des Pakets zur Definition der Regel.

    Sie möchten, dass die Vertriebsgruppe nur die App mit der Bezeichnung „Microsoft.BingMaps“ für den Außendienst verwenden. Die App „Microsoft.BingMaps“ ist bereits auf dem Gerät installiert, auf dem Sie die Regel erstellen. Daher wählen Sie diese Option und wählen dann die App aus der Liste der auf dem Computer installierten Apps aus. Anschließend erstellen Sie die Regel, wobei Sie diese App als Referenz verwenden.

    Installer für App-Pakete als Referenz verwenden

    Wenn diese Option ausgewählt ist, müssen Sie in AppLocker einen Installer für App-Pakete als Grundlage für die neue Regel auswählen. Ein Installer für App-Pakete hat die Erweiterung „.appx“. AppLocker verwendet den Herausgeber, den Paketnamen und die Paketversion des Installers, um die Regel zu definieren.

    Ihr Unternehmen hat eine Reihe von internen Branchen-App-Paketen entwickelt. Die App-Installer werden in einer gemeinsam genutzten Dateifreigabe gespeichert. Mitarbeiter können die erforderlichen Apps von dieser Dateifreigabe installieren. Sie möchten allen Mitarbeitern ermöglichen, die Gehaltsabrechnungs-App von dieser Dateifreigabe aus zu installieren. Daher wählen Sie diese Option im Assistenten aus, wechseln zur Dateifreigabe und wählen dann den Installer der Gehaltsabrechnungs-App als Verweis zum Erstellen der Regel aus.

     

    Die folgende Tabelle beschreibt, wie der Bereich für die App-Paketregel festgelegt wird.

    Auswahl Beschreibung Beispiel

    Gilt für Beliebiger Herausgeber

    Hierbei handelt es sich die am wenigsten eingeschränkte Bereichsbedingung für eine Zulassen-Regel. Sie ermöglicht, dass jedes App-Paket ausgeführt oder installiert werden kann.

    Im umgekehrten Fall, wenn es sich um eine Verweigern-Regel handelt, ist dies die Option mit den größten Einschränkungen, da keine App installiert oder ausgeführt werden kann.

    Sie möchten, dass die Vertriebsgruppe jedes App-Paket von jedem signierten Herausgeber verwenden kann. Sie legen Sie die Berechtigungen für die Vertriebsgruppe so fest, dass sie jede beliebige App ausführen kann.

    Gilt für einen bestimmten Herausgeber

    Hierdurch wird festgelegt, dass die Regel für alle Apps gilt, die von einem bestimmten Herausgeber veröffentlicht werden.

    Sie möchten allen Benutzern ermöglichen, alle Apps installieren zu können, die vom Herausgeber von „Microsoft.BingMaps“ veröffentlicht wurden. Sie könnten „Microsoft.BingMaps“ als Verweis angeben und diesen Regelbereich auswählen.

    Bezieht sich auf Paketname

    Hierdurch wird festgelegt, dass die Regel für alle Pakete gilt, für die in der Verweisdatei der gleiche Herausgeber- und Paketname angegeben ist.

    Sie möchten, dass die Vertriebsgruppe jede Version der Microsoft.BingMaps-App installieren kann. Sie könnten die Microsoft.BingMaps-App als Verweis angeben und diesen Regelbereich auswählen.

    Bezieht sich auf eine Paketversion

    Dadurch wird festgelegt, dass die Regel für eine bestimmte Version des Pakets gilt.

    Hierbei müssen Sie sehr umsichtig sein, was Sie zulassen möchten. Sie möchten nicht implizit allen künftigen Updates der Microsoft.BingMaps-App vertrauen. Sie können den Gültigkeitsbereich der Regel auf die Version der App einschränken, die derzeit auf dem Referenzcomputer installiert ist.

    Anwenden von benutzerdefinierten Werten für die Regel

    Wenn Sie das Kontrollkästchen Benutzerdefinierte Werte verwenden aktivieren, können Sie die Bereichsfelder so anpassen, wie dies für die jeweiligen Umstände angemessen ist.

    Sie möchten, dass Benutzer alle Microsoft.Bing*-Anwendungen installieren können, Hierzu gehören auch Microsoft.BingMaps, Microsoft.BingWeather und Microsoft.BingMoney. Sie können „Microsoft.BingMaps“ als Verweis auswählen, das Kontrollkästchen Benutzerdefinierte Werte verwenden aktivieren und das Feld für den Paketnamen bearbeiten, indem Sie „Microsoft.Bing*“ als Paketnamen hinzufügen.

     

  6. Klicken Sie auf Weiter.

  7. Geben Sie optional auf der Seite Ausnahmen Bedingungen an, die festlegen, dass bestimmte Dateien nicht durch die Regel betroffen sind. Auf diese Weise können Sie Ausnahmen hinzufügen, die auf dem gleichen Regelverweis und dem gleichen Regelbereich basieren, die Sie bereits zuvor festgelegt haben. Klicken Sie auf Weiter.

  8. Akzeptieren Sie auf der Seite Name den automatisch generierten Regelnamen, oder geben Sie einen neuen Regelnamen ein, und klicken Sie dann auf Erstellen.