Erstellen einer Liste der für die einzelnen Unternehmensgruppen bereitgestellten Apps

In diesem Thema wird der Prozess beschrieben, wie die App-Verwendungsanforderungen von jeder Unternehmensgruppe erfasst werden, um Anwendungssteuerungsrichtlinien mithilfe von AppLocker zu implementieren.

Bestimmen der App-Verwendung

Bestimmen Sie für jede Unternehmensgruppe Folgendes:

• Die vollständige Liste der verwendeten Apps, einschließlich der unterschiedlichen Versionen einer App.

• Den vollständigen Installationspfad der App.

• Den Herausgeberstatus und den Signaturstatus jeder App.

• Den Anforderungstyp der für Unternehmensgruppe, der für jede App festgelegt ist, beispielsweise unternehmenswichtig, Unternehmensproduktivität, optional oder persönlich. Zudem ist es möglicherweise hilfreich, während dieser Maßnahmen zu bestimmen, welche Apps durch Ihre IT-Abteilung unterstützt bzw. nicht unterstützt werden oder durch andere Personen außerhalb Ihrer Kontrolle unterstützt werden.

• Eine Liste der Dateien oder Apps, für die Administratoranmeldeinformationen für die Installation oder Ausführung erforderlich sind. Wenn für die Installation oder Ausführung der Datei Administratoranmeldeinformationen erforderlich sind, werden Benutzer ohne Administratoranmeldeinformationen daran gehindert, die Datei auszuführen, selbst wenn die Datei explizit durch eine AppLocker-Richtlinie zugelassen wird. Selbst bei erzwungenen AppLocker-Richtlinien können nur Mitglieder der Gruppe „Administratoren“ Dateien installieren oder ausführen, für die Administratoranmeldeinformationen erforderlich sind.

Ausführen der App-Verwendungsbewertung

Auch wenn Sie möglicherweise über eine Methode verfügen, um die App-Verwendung für jede Unternehmensgruppe nachvollziehen zu können, müssen Sie diese Informationen verwenden, um beim Erstellen Ihrer AppLocker-Regelsammlung Unterstützung zu erhalten. AppLocker umfasst den Assistenten zum automatischen Generieren von Regeln und die Erzwingungskonfiguration Nur überwachen. Diese helfen Ihnen beim Planen und Erstellen Ihrer Regelsammlung.

Anwendungsbestandsmethoden

Mit dem Assistenten zum automatischen Generieren von Regeln können Sie schnell Regeln für von Ihnen angegebene Anwendungen erstellen. Der Assistent dient speziell dem Erstellen einer Regelsammlung. Sie können das Snap-In „Lokale Sicherheitsrichtlinie“ verwenden, um die Regeln anzuzeigen und zu bearbeiten. Diese Methode ist beim Erstellen von Regeln von einem Referenzcomputer sehr hilfreich und wenn Sie AppLocker-Richtlinien in einer Testumgebung erstellen und auswerten. Für sie ist es jedoch erforderlich, dass der Zugriff auf dem Referenzcomputer oder über das Netzlaufwerk auf die Dateien möglich ist. Dies könnte einen zusätzlichen Aufwand beim Einrichten des Referenzcomputers und Bestimmen der Wartungsrichtlinie für diesen Computer bedeuten.

Die Verwendung der Erzwingungsmethode Nur überwachen erlaubt Ihnen das Anzeigen der Protokolle, da sie Informationen über jeden Prozess auf den Computern erfasst, die das Gruppenrichtlinienobjekt (Group Policy Object, GPO) empfangen. Daher können Sie anzeigen, wie die Erzwingung auf den Computern in einer Unternehmensgruppe aussieht. AppLocker enthält Windows PowerShell-Cmdlets, die Sie verwenden können, um die Ereignisse aus dem Ereignisprotokoll und Cmdlets zu analysieren, um Regeln zu erstellen. Wenn Sie jedoch „Gruppenrichtlinie“ verwenden, um die Bereitstellung auf mehreren Computern vorzunehmen, ist eine Methode zum Sammeln von Ereignissen an einem zentralen Speicherort sehr wichtig für die Verwaltbarkeit. Da AppLocker Informationen über Dateien protokolliert, die Benutzer oder andere Prozesse auf einem Computer starten, könnten Sie verpassen, anfangs einige Regeln zu erstellen. Daher sollten Sie Ihre Auswertung fortsetzen, bis Sie überprüfen können, ob der Zugriff auf alle erforderlichen zulässigen Anwendungen möglich ist.

Tipp  

Wenn Sie Application Verifier für eine benutzerdefinierte Anwendung mit aktivierten AppLocker-Richtlinien ausführen, wird das Ausführen der Anwendung möglicherweise verhindert. Sie sollten Application Verifier oder AppLocker deaktivieren.

Sie können einen Bestand an universellen Windows-Apps auf einem Gerät mithilfe von zwei Methoden erstellen: dem Windows PowerShell-Cmdlet Get-AppxPackage oder der AppLocker-Konsole.

In den folgenden Themen im Schritt-für-Schritt-Leitfaden zu AppLocker wird das Ausführen der jeweiligen Methode beschrieben.

• Automatisches Generieren von Regeln für ausführbare Dateien über einen Referenzcomputer

• Verwenden der Überwachung zum Nachverfolgen der verwendeten Apps

Voraussetzungen für das Abschließen des Bestands

Ermitteln Sie die Unternehmensgruppe und jede Organisationseinheit in dieser Gruppe, auf die Sie die Anwendungssteuerungsrichtlinien anwenden möchten. Zudem sollten Sie ermittelt haben, ob AppLocker die geeignetste Lösung für diese Richtlinien darstellt. Informationen über diese Schritte finden Sie in den folgenden Themen:

• Grundlegendes zu AppLocker-Richtlinienentwurfsentscheidungen

• Ermitteln Ihrer Anwendungssteuerungsziele

Nächste Schritte

Ermitteln und entwickeln Sie die Liste der Apps. Zeichnen Sie den Namen der App auf, ob sie anhand des Herausgebernamens signiert ist oder nicht und ob sie eine unternehmenskritische, Unternehmensproduktivitäts-, optionale oder persönliche Anwendung ist oder nicht. Zeichnen Sie den Installationspfad der Apps auf. Informationen hierzu finden Sie unter Dokumentieren der App-Liste.

Nachdem Sie die Liste der Apps erstellt haben, besteht der nächste Schritt darin, die Regelsammlungen zu ermitteln, die zu den Richtlinien werden. Diese Informationen können zur Tabelle unter den Spalten mit den folgenden Bezeichnungen hinzugefügt werden:

• Standardregel verwenden oder neue Regelbedingung definieren

• Zulassen oder ablehnen

• GPO-Name

Siehe hierzu die folgenden Themen:

• Auswählen der zu erstellenden Regeltypen

• Ermitteln der Gruppenrichtlinienstruktur und Regelerzwingung