Selecteer de typen regels maken
Van toepassing op: Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8
In dit onderwerp een lijst met bronnen die u gebruiken kunt bij het selecteren van beleidsregels voor uw toepassing met behulp van AppLocker.
Bij het bepalen welke typen regels maken voor elk van de groepen, moet u ook bepalen welke afdwinginstelling voor elke groep te gebruiken. Er zijn verschillende regeltypen meer van toepassing voor sommige toepassingen, afhankelijk van de manier waarop dat de toepassingen die zijn geïmplementeerd in een specifieke groep.
De volgende onderwerpen bevatten aanvullende informatie over AppLocker-regels die kunt u bepalen welke regels voor uw toepassingen te gebruiken:
Typen AppLocker-regelvoorwaardenUnderstanding AppLocker voorwaarde regeltypen
Selecteer de verzameling van regels
De regels die u maakt zich in een van de volgende regel collecties:
Uitvoerbare bestanden: .exe en .com
Windows Installer-bestanden: .msi msp- en .mst
Scripts: .ps1, type, cmd, .vbs en .js
Apps ingepakt en ingepakt app installatieprogramma's: appx
DLL-bestanden: de dll- en de extensie
Notitie
appx en .mst bestandstypen zijn niet van toepassing op AppLocker wordt uitgevoerd op Windows Server 2008 R2 en Windows 7.
Standaard de regels, kunt u een bestand uitvoeren op basis van de gebruiker of groep bevoegdheden. Als u DLL-regels, kan een DLL-bestand regel moet worden gemaakt voor elk dll-bestand dat wordt gebruikt door alle toegestane toepassingen. De verzameling van dll-regel is standaard niet ingeschakeld.
In het voorbeeld Woodgrove Bank de bedrijfs toepassing voor de Bank administratie business-groep is C:\Program Files\Woodgrove\Teller.exe en deze toepassing moet worden opgenomen in een regel. Bovendien omdat deze regel deel uit van een lijst met toegestane toepassingen maakt, moeten de Windows-bestanden onder C:\Windows worden opgenomen, evenals.
Voorwaarde van de regel bepalen
Een voorwaarde op basis van is de criteria waarop een AppLocker-regel is gebaseerd en kan alleen een van de voorwaarden van de regel in de volgende tabel.
Voorwaarde |
Gebruiksscenario |
Bronnen |
|---|---|---|
Uitgever |
Als u wilt gebruiken een uitgevervoorwaarde, de bestanden moeten zijn ondertekend door de uitgever van de software of moet u dit doen met behulp van een intern certificaat. Regels die zijn opgegeven op het versieniveau van de mogelijk worden bijgewerkt wanneer een nieuwe versie van het bestand is uitgebracht. |
Zie voor meer informatie over dit probleem regelInformatie over de regelvoorwaarde voor de uitgever in AppLocker. |
Pad |
Alle bestanden kan worden toegewezen met deze regelvoorwaarde; omdat het padregels locaties binnen het bestandssysteem opgeven, een submap wordt ook worden beïnvloed door de regel (tenzij expliciet vrijgesteld). |
Zie voor meer informatie over dit probleem regelPadregelvoorwaarde in AppLocker. |
Bestands-hash |
Alle bestanden kan worden toegewezen met deze regelvoorwaarde; de regel moet echter telkens wanneer die een nieuwe versie van het bestand is uitgebracht, omdat de hash-waarde is gedeeltelijk gebaseerd op de versie bijgewerkt. |
Zie voor meer informatie over dit probleem regelDe bestandshashregelvoorwaarde in AppLocker. |
In het voorbeeld Woodgrove Bank de bedrijfs toepassing voor de Bank administratie business-groep is ondertekend en bevindt zich in C:\Program Files\Woodgrove\Teller.exe. Met deze regel kan daarom worden gedefinieerd met een voorwaarde publisher. Als de regel is gedefinieerd voor een specifieke versie en hoger (bijvoorbeeld Teller.exe versie 8.0 en hoger), kunt dit updates van deze toepassing optreden zonder onderbreking van toegang tot de gebruikers als de toepassing van naam en aangemeld blijven kenmerken hetzelfde zijn.
Bepalen hoe systeembestanden uitvoeren toestaan
Omdat AppLocker-regels maakt een lijst met toegestane toepassingen, moeten een regel of regels worden gemaakt zodat alle Windows-bestanden worden uitgevoerd. AppLocker biedt een manier om te controleren of systeembestanden worden juist beschouwd als in uw regelverzameling door het genereren van de standaardregels voor de regelverzameling van elke. Wanneer u uw eigen regels maakt, kunt u de standaardregels voor als een sjabloon. Deze regels zijn echter alleen bedoeld als een beleid starter werkt wanneer u eerst AppLocker-regels test zodat de bestanden in de Windows-mappen kunnen worden uitgevoerd. Wanneer een standaardregel wordt gemaakt, wordt dit aangegeven met '(standaardregel)' in de naam die wordt weergegeven in de verzameling van regels.
U kunt ook een regel voor de bestanden op basis van de padvoorwaarde maken. In het vorige voorbeeld voor de groep Bank administratie alle Windows-bestanden bevinden zich onder C:\Windows en met het type voorwaarde pad kunnen worden gedefinieerd. Hierdoor wordt de toegang tot deze bestanden wanneer updates worden toegepast en de bestanden worden gewijzigd. Als u aanvullende beveiliging nodig hebt, moet u mogelijk de regels gemaakt op basis van de verzameling ingebouwde standaard regel wijzigen. Bijvoorbeeld de standaardregel om alle gebruikers .exe-bestanden in de Windows-map uitvoeren op basis van een padvoorwaarde waarmee alle bestanden in de Windows-map om uit te voeren. De Windows-map bevat een tijdelijk bestand submap waarop de gebruikersgroep van de volgende machtigingen krijgt:
Map bladeren/bestand uitvoeren
Maken van bestanden/gegevens schrijven
Maken van mappen/gegevens toevoegen
Deze machtigingsinstellingen worden toegepast op deze map voor compatibiliteit van toepassingen. Omdat een gebruiker met bestanden in deze locatie maken kunt, kunnen toepassingen worden uitgevoerd vanaf deze locatie conflicten veroorzaken met beleid van de beveiliging van uw organisatie.
Volgende stappen
Nadat u de typen regels maken hebt geselecteerd, uw bevindingen registreren zoals beschreven inDocument AppLocker-regels.
Na de opname uw bevindingen voor AppLocker-regels te maken, moet u bepalen hoe de regels afdwingen. Zie voor meer informatie over hoe u dit doet,Groepsbeleid bepalen structureren en regel afdwingen.