Share via

Typen AppLocker-regelvoorwaarden

  • Artikel

 

Van toepassing op: Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

In dit onderwerp voor IT-professionals worden de drie typen AppLocker-regelvoorwaarden beschreven.

Regelvoorwaarden zijn de criteria waarop de AppLocker-regel is gebaseerd. Primaire voorwaarden zijn vereist voor het maken van een AppLocker-regel. De drie primaire voorwaarden voor regels zijn uitgever, pad en bestandshash.

Uitgever

Voordat u een uitgevervoorwaarde kunt gebruiken, moeten de bestanden digitaal worden ondertekend door de software-uitgever, of door u met behulp van een intern certificaat. Regels die specifiek zijn voor het versieniveau moeten mogelijk worden bijgewerkt wanneer er een nieuwe versie van het bestand wordt uitgebracht. Zie Informatie over de regelvoorwaarde voor de uitgever in AppLocker voor meer informatie over deze regelvoorwaarde.

Pad

Elk bestand kan aan deze regelvoorwaarde worden toegewezen, maar omdat met padregels locaties in het bestandssysteem worden opgegeven, wordt de regel ook toegepast op elke submap (tenzij expliciet uitgesloten). Zie Padregelvoorwaarde in AppLocker voor meer informatie over deze regelvoorwaarde.

Bestandshash

Elk bestand kan aan deze regelvoorwaarde worden toegewezen, maar telkens wanneer een nieuwe versie van het bestand wordt uitgebracht, moet de regel worden bijgewerkt omdat de hashwaarde uniek is voor die versie van het bestand. Zie De bestandshashregelvoorwaarde in AppLocker voor meer informatie over deze regelvoorwaarde.

Aandachtspunten

Welke voorwaarde u voor elke regel moet selecteren, is afhankelijk van de algemene toepassingsbeheerbeleidsdoelstellingen van de organisatie, de beheerdoelstellingen voor AppLocker-regels en de status van de bestaande (of geplande) toepassingsimplementatie. Aan de hand van de volgende vragen kunt u bepalen welke regelvoorwaarde moet worden gebruikt.

  1. Is het bestand digitaal ondertekend door een software-uitgever?

    Als het bestand is ondertekend door een software-uitgever, is het raadzaam regels met uitgevervoorwaarden te maken. U kunt nog steeds bestandshash- en padvoorwaarden maken voor ondertekende bestanden. Als het bestand niet digitaal is ondertekend door een software-uitgever, kunt u:

    • het bestand ondertekenen met behulp van een intern certificaat.

    • een regel maken met behulp van een bestandshashvoorwaarde.

    • een regel maken met behulp van een padvoorwaarde.

      Notitie

      Als u wilt bepalen hoeveel toepassingen op een referentiecomputer digitaal zijn ondertekend, kunt u de Windows PowerShell-cmdlet Get-AppLockerFileInformation uitvoeren voor een map met bestanden. Bijvoorbeeld, met Get-AppLockerFileInformation –Directory C:\Windows\ -FileType EXE -recurse worden de eigenschappen van alle EXE- en COM-bestanden in de map Windows weergegeven.

  2. Welk type regelvoorwaarde heeft de voorkeur in uw organisatie?

    Als in uw organisatie al softwarerestrictiebeleid (SRP) wordt gebruikt om te beperken welke bestanden gebruikers kunnen uitvoeren, zijn er waarschijnlijk al regels met bestandshash- of padvoorwaarden aanwezig.

    Notitie

    Zie Vereisten voor het gebruik van AppLocker voor een lijst met ondersteunde versies en edities van besturingssystemen waarin SRP- en AppLocker-regels kunnen worden toegepast.

Zie ook

De werking van AppLocker