Auswählen der zu erstellenden Regeltypen
In diesem Thema sind die Ressourcen aufgeführt, die Sie verwenden können, wenn Sie Regeln für Anwendungssteuerungsrichtlinien mithilfe von AppLocker auswählen.
Beim Festlegen der Regeltypen, die für die einzelnen Gruppen erstellt werden sollen, müssen Sie auch die Erzwingungseinstellung für die einzelnen Gruppen festlegen. Je nach App sind bestimmte Regeltypen geeignet. Dies hängt davon ab, wie die Anwendungen in einer bestimmten Unternehmensgruppe bereitgestellt werden.
Die folgenden Themen enthalten weitere Informationen zu AppLocker-Regeln und erleichtern Ihnen die Entscheidung darüber, welche Regeln für Ihre Anwendungen geeignet sind:
Auswählen der Regelsammlung
Die erstellten Regeln gehören einer der folgenden Regelsammlungen an:
Ausführbare Dateien: EXE und COM
Windows Installer-Dateien: MSI, MSP und MST
Skripts: PS1, BAT, CMD, VBS und JS
App-Pakete und App-Paket-Installer: APPX
DLLs: DLL und OCX
Standardmäßig erlauben Regeln das Ausführen einer Datei auf der Basis von Benutzer- oder Gruppenberechtigungen. Bei Verwendung von DLL-Regeln muss eine Zulassungsregel für jede DLL erstellt werden, die von allen zugelassenen Apps verwendet wird. Die DLL-Regelsammlung ist standardmäßig nicht aktiviert.
Im Beispiel der Woodgrove Bank hat die branchenspezifische App der Unternehmensgruppe Bank Tellers den Namen „C:\Programme\Woodgrove\Teller.exe“. Diese App muss in eine Regel eingeschlossen werden. Da diese Regel einer Liste zugelassener Anwendungen angehört, müssen außerdem alle Windows-Dateien aus dem Verzeichnis „C:\Windows“ eingeschlossen werden.
Festlegen der Regelbedingung
Eine Regelbedingung ist ein Kriterium, auf dem eine AppLocker-Regel basiert. Nur eine der Regelbedingungen aus der folgenden Tabelle kommt in Frage.
| Regelbedingung | Verwendungsszenario | Ressourcen |
|---|---|---|
Herausgeber |
Wenn Sie eine Herausgeberbedingung verwenden möchten, müssen die Dateien digital vom Softwareherausgeber signiert werden. Alternativ müssen Sie die Signierung mithilfe eines internen Zertifikats vornehmen. Auf Versionsebene angegebene Regeln müssen möglicherweise aktualisiert werden, wenn eine neue Dateiversion veröffentlicht wird. |
Weitere Infos zu dieser Regelbedingung finden Sie unter Grundlegendes zur Herausgeberregelbedingung in AppLocker. |
Pfad |
Dieser Regelbedingung können beliebige Dateien zugewiesen werden. Da in den Pfadregeln Speicherorte innerhalb des Dateisystems angegeben werden, wirkt sich die Regel auch auf beliebige Unterverzeichnisse aus (sofern dies nicht explizit ausgeschlossen wird). |
Weitere Infos über diese Regelbedingung finden Sie unter Grundlegendes zur Pfadregelbedingung in AppLocker. |
Dateihash |
Diese Regelbedingung kann beliebigen Dateien zugewiesen werden. Die Regel muss jedoch bei jeder Veröffentlichung einer neuen Dateiversion aktualisiert werden, weil der Hashwert teilweise auf der Version basiert. |
Weitere Infos über diese Regelbedingung finden Sie unter Grundlegendes zur Dateihashregel-Bedingung in AppLocker. |
Im Beispiel der Woodgrove Bank ist die branchenspezifische App der Unternehmensgruppe Bank Teller signiert und unter „C:\Programme\Woodgrove\Teller.exe“ gespeichert. Daher kann die Regel mit einer Herausgeberbedingung definiert werden. Wenn die Regel für eine bestimmte Version und Nachfolgerversionen definiert wird (z. B. „Teller.exe“, Version 8.0 und höher), kann die App ohne Unterbrechung des Benutzerzugriffs aktualisiert werden, wenn der Name und die signierten Attribute der App gleich bleiben.
Bestimmen der Ausführungsweise von Systemdateien
Da AppLocker-Regeln eine Liste zugelassener Apps erstellen, muss mindestens eine Regel erstellt werden, die die Ausführung aller Windows-Dateien zulässt. AppLocker bietet eine Möglichkeit, die angemessene Berücksichtigung von Systemdateien in der Regelsammlung sicherzustellen. Dazu werden Standardregeln für jede Regelsammlung generiert. Beim Erstellen eigener Regeln können Sie die Standardregeln als Vorlage verwenden. Diese Regeln sind jedoch nur als Startrichtlinie gedacht, wenn Sie AppLocker-Regeln erstmalig testen. Dadurch wird die Ausführung der Systemdateien in den Windows-Ordnern zugelassen. Beim Erstellen einer Standardregel wird diese mit „(Standardregel)“ im Namen gekennzeichnet, so wie in der Regelsammlung angezeigt.
Regeln für Systemdateien lassen sich außerdem auf Basis der Pfadbedingung erstellen. Im vorangehenden Beispiel der Gruppe Bank Tellers befinden sich alle Windows-Dateien unter „C:\Windows“ und können mit dem Pfadregelbedingungstyp definiert werden. Dies ermöglicht den Zugriff auf diese Dateien, sobald Updates angewendet werden und sich die Dateien ändern. Wenn Sie zusätzliche Anwendungssicherheit benötigen, müssen Sie die anhand der integrierten Standardregelsammlung erstellten Regeln ggf. ändern. Die Standardregel, die allen Benutzern die Ausführung von EXE-Dateien aus dem Windows-Ordner erlaubt, basiert z. B. auf einer Pfadbedingung, die der Ausführung aller Dateien aus dem Windows-Ordner zustimmt. Der Windows-Ordner enthält den Unterordner „Temp“, für den die Gruppe „Users“ über die folgenden Berechtigungen verfügt:
Ordner durchsehen/Datei ausführen
Dateien erstellen/Daten schreiben
Ordner erstellen/Daten anfügen
Aus Gründen der Anwendungskompatibilität werden diese Berechtigungseinstellungen auf diesen Ordner angewendet. Da jeder Benutzer Dateien an diesem Speicherort erstellen kann, kann es der Sicherheitsrichtlinie Ihrer Organisation widersprechen, die Ausführung von Apps von diesem Speicherort zuzulassen.
Nächste Schritte
Nachdem Sie die zu erstellenden Regeltypen ausgewählt haben, dokumentieren Sie Ihre Ergebnisse wie in Dokumentieren von AppLocker-Regeln erläutert.
Nachdem Sie die Ergebnisse für die zu erstellenden AppLocker-Regeln aufgezeichnet haben, müssen Sie überlegen, wie Sie die Regeln erzwingen. Weitere Infos hierzu finden Sie unter Ermitteln der Gruppenrichtlinienstruktur und Regelerzwingung.