Share via

Bereitstellen von AppLocker-Richtlinien mithilfe der Einstellung „Regeln erzwingen“

  • Artikel

In diesem Thema, das sich an IT-Experten richtet, werden die Schritte beschrieben, wie AppLocker-Richtlinien mithilfe der Erzwingungseinstellungsmethode bereitgestellt werden.

Hintergrund und Voraussetzungen

In diesen Prozeduren wird davon ausgegangen, dass Sie die AppLocker-Richtlinien mit auf Nur Überwachung festgelegter Erzwingung bereits bereitgestellt und Sie Daten über die AppLocker-Ereignisprotokolle und andere Kanäle gesammelt haben, um zu bestimmen, wie sich diese Richtlinien auf Ihre Umgebung und die Einhaltung der Richtlinie in Ihrem Anwendungssteuerungsentwurf auswirken.

Informationen über die Einstellung für die AppLocker-Richtlinienerzwingung finden Sie unter Verstehen von AppLocker-Erzwingungseinstellungen.

Informationen über das Planen einer AppLocker-Richtlinienbereitstellung finden Sie im AppLocker Design Guide (AppLocker-Designanleitung).

Schritt 1: Abrufen der AppLocker-Richtlinie

Das Aktualisieren einer AppLocker-Richtlinie, die aktuell in Ihrer Produktionsumgebung durchgesetzt wurde, kann zu unerwünschten Ergebnissen führen. Mit der Gruppenrichtlinie können Sie die Richtlinie aus dem Gruppenrichtlinienobjekt (Group Policy Object, GPO) exportieren und die Regel(n) anschließend mithilfe von AppLocker auf Ihrem AppLocker-Referenz- oder Test-PC aktualisieren. Informationen über die entsprechende Vorgehensweise finden Sie unter Exportieren einer AppLocker-Richtlinie aus einem GPO und Importieren einer AppLocker-Richtlinie in ein GPO. Bei lokalen AppLocker-Richtlinien können Sie die Regel(n) mithilfe des Snap-Ins „Lokale Sicherheitsrichtlinie“ („secpol.msc“) auf Ihrem AppLocker-Referenz- oder Test-PC aktualisieren. Informationen über die entsprechende Vorgehensweise finden Sie unter Exportieren einer AppLocker-Richtlinie in eine XML-Datei und Importieren einer AppLocker-Richtlinie von einem anderen Computer.

Schritt 2: Ändern der Erzwingungseinstellung

Die Regelerzwingung wird nur auf eine Regelsammlung, nicht aber auf einzelne Regeln angewendet. AppLocker teilt die Regeln in Sammlungen auf: ausführbare Dateien, Windows Installer-Dateien, App-Pakete, Skripts und DLL-Dateien. Wenn die Erzwingung nicht konfiguriert ist und Regeln in einer Regelsammlung vorhanden sind, werden diese Regeln standardmäßig erzwungen. Informationen über die Erzwingungseinstellung finden Sie unter Grundlegendes zu AppLocker-Erzwingungseinstellungen. Informationen über die Prozedur zum Ändern der Erzwingungseinstellung finden Sie unter Konfigurieren einer AppLocker-Richtlinie für reine Überwachungszwecke.

Schritt 3: Aktualisieren der Richtlinie

Sie können eine AppLocker-Richtlinie bearbeiten, indem Sie Regeln hinzufügen, ändern oder entfernen. Es ist jedoch nicht möglich, eine Version für die AppLocker-Richtlinie anzugeben, indem Sie zusätzliche Regeln importieren. Verwenden Sie zum Sicherstellen der Versionssteuerung beim Ändern einer AppLocker-Richtlinie die Verwaltungssoftware „Gruppenrichtlinie“, mit der Sie Versionen der GPOs erstellen können. Ein Beispiel dieses Softwaretyps stellt das Feature Erweiterte Gruppenrichtlinienverwaltung aus dem Microsoft Desktop Optimization Pack dar.

Achtung  

Sie sollten eine AppLocker-Regelsammlung nicht bearbeiten, während sie in der Gruppenrichtlinie erzwungen wird. Da AppLocker steuert, welche Dateien ausgeführt werden dürfen, kann das Ändern einer aktiven Richtlinie zu einem unerwarteten Verhalten führen.

 

Informationen über das Aktualisieren des GPOs finden Sie unter Importieren einer AppLocker-Richtlinie in ein GPO.

Informationen über das Verteilen von Richtlinien für lokale PCs mithilfe des Snap-Ins „Lokale Sicherheitsrichtlinie“ („secpol.msc“) finden Sie unter Exportieren einer AppLocker-Richtlinie in eine XML-Datei und Importieren einer AppLocker-Richtlinie von einem anderen Computer.

Schritt 4: Überwachen der Richtlinienauswirkung

Beim Bereitstellen einer Richtlinie ist es wichtig, die tatsächliche Richtlinienimplementierung zu überwachen. Sie können dies vornehmen, indem Sie die App-Zugriffsanforderungsaktivität Ihrer Supportorganisation überwachen und die AppLocker-Ereignisprotokolle prüfen. Informationen über das Überwachen der Richtlinienauswirkung finden Sie unter Überwachen der Anwendungsverwendung mit AppLocker.

Weitere Ressourcen