Was ist AppLocker?
In diesem Thema für IT-Spezialisten wird beschrieben, was AppLocker ist und wie sich seine Features von Richtlinien für Softwareeinschränkung unterscheiden.
AppLocker erweitert die App-Steuerungsfeatures und -funktionen der Richtlinien für Softwareeinschränkungen (SRPs). AppLocker enthält neue Funktionen und Erweiterungen, mit denen Sie Regeln erstellen können, die die Ausführung von Anwendungen auf der Grundlage eindeutiger Identitäten von Dateien zulassen oder verhindern sowie angeben, welche Benutzer oder Gruppen diese Anwendungen ausführen können.
Mit AppLocker können Sie Folgendes tun:
Steuern der folgenden App-Arten: ausführbare Dateien (EXE und COM), Skripts (JS, PS1, VBS, CMD und BAT), Windows Installer-Dateien (MST, MSI und MSP) und DLL-Dateien (DLL und OCX) sowie App-Pakete und App-Paket-Installer (APPX).
Definieren von Regeln auf der Grundlage der aus der digitalen Signatur abgeleiteten Dateiattribute, darunter Herausgeber, Produktname, Dateiname und Dateiversion. So können Sie beispielsweise Regeln auf der Grundlage des Attributs „Herausgeber“ erstellen, das auch bei Updates erhalten bleibt, oder Sie können Regeln für eine bestimmte Version einer Datei erstellen.
Zuweisen einer Regel zu einer Sicherheitsgruppe oder einem einzelnen Benutzer.
Erstellen von Ausnahmen für Regeln. So können Sie beispielsweise eine Regel erstellen, die die Ausführung aller Windows-Prozesse mit Ausnahme des Registrierungs-Editors (regedit.exe) erlaubt.
Verwenden des reinen Überwachungsmodus, um die Richtlinie bereitzustellen und ihre Implikationen zu verstehen, bevor sie durchgesetzt wird.
Importieren und Exportieren von Regeln. Import und Export betreffen die gesamte Richtlinie. Zum Beispiel: Wenn Sie eine Richtlinie exportieren, werden alle Regeln aus allen Regelsammlungen exportiert, einschließlich der Durchsetzungseinstellungen für die Regelsammlungen. Wenn Sie eine Richtlinie importieren, werden alle Kriterien in der vorhandenen Richtlinie überschrieben.
Optimieren der Erstellung und Verwaltung von AppLocker-Regeln mithilfe von Windows PowerShell-Cmdlets.
AppLocker hilft dabei, den Verwaltungsaufwand und die Kosten der Organisation für die Verwaltung von Computingressourcen zu verringern, indem es die Anzahl der Helpdeskanrufe reduziert, die durch die Ausführung nicht genehmigter Anwendungen begründet sind.
Informationen zu den Anwendungssteuerungsszenarien, die AppLocker behandelt, finden Sie unter Nutzungsszenarien für AppLocker-Richtlinien.
Welche Features unterscheiden sich zwischen Richtlinien für Softwareeinschränkung und AppLocker?
Unterschiede bei Features
In der folgende Tabelle wird AppLocker mit Richtlinien für Softwareeinschränkung verglichen.
| Feature | Richtlinien für Softwareeinschränkung | AppLocker |
|---|---|---|
Regelbereich |
Alle Benutzer |
Bestimmte Benutzer oder Gruppen |
Bereitgestellte Regelbedingungen |
Dateihash, Pfad, Zertifikat, Registrierungspfad und Internetzone |
Dateihash, Pfad und Herausgeber |
Bereitgestellte Regeltypen |
Durch die Sicherheitsstufen definiert:
|
Zulassen und verweigern |
Standardregelaktion |
Uneingeschränkt |
Implizites Verweigern |
Reiner Überwachungsmodus |
Nein |
Ja |
Assistent zum gleichzeitigen Erstellen mehrerer Regeln |
Nein |
Ja |
Richtlinienimport oder -export |
Nein |
Ja |
Regelsammlung |
Nein |
Ja |
Windows PowerShell-Unterstützung |
Nein |
Ja |
Benutzerdefinierte Fehlermeldungen |
Nein |
Ja |
Unterschiede bei den Anwendungssteuerungsfunktionen
In der folgenden Tabelle werden die Anwendungssteuerungsfunktionen von Richtlinien für Softwareeinschränkung (Software Restriction Policies, SRP) und AppLocker verglichen.
| Anwendungssteuerungsfunktion | SRP | AppLocker |
|---|---|---|
Betriebssystembereich |
SRP-Richtlinien können auf alle Windows-Betriebssysteme ab Windows XP und Windows Server 2003 angewendet werden. |
AppLocker-Richtlinien können nur für die unter Anforderungen für die Verwendung von AppLocker aufgeführten unterstützten Versionen und Editionen von Windows verwendet werden. Diese Systeme können jedoch auch SRP verwenden. HinweisVerwenden Sie verschiedene GPOs für SRP und AppLocker-Regeln. |
Benutzerunterstützung |
SRP ermöglicht Benutzern die Installation von Anwendungen als Administrator. |
AppLocker-Richtlinien werden mithilfe von Gruppenrichtlinien verwaltet, und nur der Administrator des Geräts kann eine AppLocker-Richtlinie aktualisieren. Mit AppLocker können Fehlermeldungen so angepasst werden, dass Benutzer auf eine Webseite für Hilfe verwiesen werden. |
Richtlinienverwaltung |
SRP-Richtlinien werden mithilfe des Snap-Ins „Lokale Sicherheitsrichtlinie“ oder der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) aktualisiert. |
AppLocker-Richtlinien werden mithilfe des Snap-Ins „Lokale Sicherheitsrichtlinie“ oder der GPMC aktualisiert. AppLocker unterstützt einen kleinen Satz von PowerShell-Cmdlets zur einfacheren Verwaltung und Wartung. |
Richtlinienverwaltungs-Infrastruktur |
Zur Verwaltung von SRP-Richtlinien verwendet SRP die Gruppenrichtlinie innerhalb einer Domäne und das Snap-In „Lokale Sicherheitsrichtlinie“ für einen lokalen Computer. |
Zur Verwaltung von AppLocker-Richtlinien verwendet AppLocker die Gruppenrichtlinie innerhalb einer Domäne und das Snap-In „Lokale Sicherheitsrichtlinie“ für einen lokalen Computer. |
Blockieren bösartiger Skripts |
Regeln für das Blockieren von bösartigen Skripts verhindern, dass alle mit Windows Script Host zugeordneten Skripts ausgeführt werden, bis auf diejenigen, die von Ihrer Organisation digital signiert wurden. |
AppLocker-Regeln können die folgenden Dateiformate steuern: PS1, BAT, CMD, VBS und JS. Darüber hinaus können Sie Ausnahmen zum Ausführen bestimmter Dateien festlegen. |
Verwalten der Softwareinstallation |
SRP kann die Installation sämtlicher Windows Installer-Pakete verhindern. Es gestattet die Installation von MSI-Dateien, die von Ihrer Organisation digital signiert wurden. |
Die Windows Installer-Regelsammlung ist ein für die Windows Installer-Dateitypen (MST, MSI und MSP) erstellter Regelsatz, um die Installation von Dateien auf Clientcomputern und Servern steuern zu können. |
Verwalten der gesamten Software auf dem Computer |
Die gesamte Software wird in einem Regelsatz verwaltet. Standardmäßig lässt die Richtlinie für die Verwaltung der gesamten Software auf einem Gerät keine Software auf dem Gerät des Benutzers zu, mit Ausnahme von im Ordner „Windows“, im Ordner „Programme“ oder in Unterordnern installierter Software. |
Im Gegensatz zu SRP funktioniert jede AppLocker-Regelsammlung als eine Liste zugelassener Dateien. Nur die Dateien, die in der Regelsammlung aufgelistet sind, dürfen ausgeführt werden. Mit dieser Konfiguration können Administratoren leichter bestimmen, was geschieht, wenn eine AppLocker-Regel angewendet wird. |
Unterschiedliche Richtlinien für verschiedene Benutzer |
Regeln werden auf alle Benutzer auf einem bestimmten Gerät einheitlich angewendet. |
Auf einem Gerät, das von mehreren Benutzern gemeinsam verwendet wird, kann ein Administrator die Benutzergruppen angeben, die auf die installierte Software zugreifen können. Mit AppLocker kann ein Administrator den Benutzer angeben, für den eine bestimmte Regel gelten soll. |