AppLocker-Architektur und -Komponenten
In diesem Thema für IT-Experten werden die grundlegende Architektur und die wichtigsten Komponenten von AppLocker beschrieben.
AppLocker basiert auf dem Dienst „Anwendungsidentität“, der Attribute für eine Datei bereitstellt und die AppLocker-Richtlinie für die Datei evaluiert. AppLocker-Richtlinien sind bedingte Zugriffssteuerungseinträge (Access Control Entries, ACEs) und -richtlinien, die schließlich mit den Zugangssteuerungsfunktionen SeAccessCheckWithSecurityAttributes oder AuthzAccessCheck evaluiert werden.
AppLocker bietet drei Möglichkeiten zum Eingreifen und Überprüfen, ob eine Datei gemäß einer AppLocker-Richtlinie ausgeführt werden darf.
Ein neuer Prozess wird erstellt
Wenn ein neuer Prozess erstellt wird, etwa wenn eine ausführbare Datei oder eine universelle Windows App ausgeführt wird, ruft AppLocker die Komponente „Anwendungsidentität“ auf, um die Attribute der ausführbaren Hauptdatei, die für die Erstellung eines neuen Prozesses verwendet werden, zu berechnen. Anschließend wird das Token des neuen Prozesses mit diesen Attributen aktualisiert; die AppLocker-Richtlinie wird geprüft, um sicherzustellen, dass die ausführbare Datei ausgeführt werden kann.
Eine DLL-Datei wird geladen
Wenn eine neue DLL-Datei geladen wird, wird eine Benachrichtigung an AppLocker gesendet, um sicherzustellen, dass die DLL-Datei geladen werden darf. AppLocker ruft die Komponente „Anwendungsidentität“ auf, um die Dateiattribute zu berechnen. AppLocker dupliziert den vorhandenen Prozesstoken und ersetzt die Anwendungsidentitätsattribute in dem duplizierten Token durch die Attribute der geladenen DLL-Datei. Anschließend evaluiert AppLocker die Richtlinie für diese DLL-Datei, und das duplizierte Token wird verworfen. Je nach dem Ergebnis dieser Überprüfung fährt das System mit dem Laden der DLL-Datei fort oder hält den Vorgang an.
Ein Skript wird ausgeführt
Bevor eine Skriptdatei ausgeführt wird, ruft der Script Host (beispielsweise Power Shell für .ps1-Dateien) AppLocker auf, um das Skript zu prüfen. AppLocker ruft die Komponente „Anwendungsidentität“ im Benutzermodus mit dem Dateinamen oder dem Dateihandle auf, um die Dateieigenschaften zu berechnen. Die Skriptdatei wird dann anhand der AppLocker-Richtlinie überprüft, um festzustellen, ob sie ausgeführt werden darf. In allen Fällen werden die von AppLocker ausgeführten Aktionen im Ereignisprotokoll aufgezeichnet.