Arbeiten mit AppLocker-Regeln

 

Gilt für: Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8

<_caps3a_sxs _xmlns3a_caps="http://schemas.microsoft.com/build/caps/2013/11"><_caps3a_sxstarget locale="de-DE">Dieses Thema beschreibt Typen von AppLocker-Regeln und zum Arbeiten mit diesen für die Anwendungssteuerungsrichtlinien mithilfe von Windows Server® 2012 und Windows® 8.VerfahrenCreate a Rule that uses a File Hash Condition Create a Rule that uses a Path Condition Create a Rule that uses a Publisher Condition Create a rule for Packaged apps Create AppLocker Default Rules Configure exceptions for an AppLocker Rule Delete an AppLocker Rule Edit AppLocker Rules Enable the DLL Rule Collection Enforce AppLocker Rules Run the Automatically Generate Rules Wizard Die drei AppLocker-Erzwingungsmodi werden in der folgenden Tabelle beschrieben. Die hier definierte erzwingungsmoduseinstellung kann durch die Einstellung abgeleitet aus ein verknüpftes Objekt (GPO) mit höherer Priorität überschrieben werden.ErzwingungsmodusBeschreibungNicht konfiguriertDies ist die Standardeinstellung, d. h., die die hier Regeln festgelegten erzwungen werden soll, es sei denn, ein verknüpftes Gruppenrichtlinienobjekt mit einer höheren Priorität einen anderen Wert für diese Einstellung.Regeln erzwingenRegeln werden erzwungen.Nur überwachenRegeln werden überwacht, aber nicht erzwungen. Wenn ein Benutzer eine Anwendung, die von einer AppLocker-Regel betroffen ist ausführt, die Anwendung ausgeführt werden darf, und Informationen über die Anwendung wird die AppLocker-Ereignisprotokoll hinzugefügt. Der Erzwingungsmodus zur reinen Überwachung hilft Ihnen festzustellen, welche Anwendungen von der Richtlinie betroffen sind, bevor sie in Kraft tritt. Wenn die AppLocker-Richtlinie für eine Regelsammlung auf festgelegt ist nur überwachen, Regeln für diese Regelsammlung nicht erzwungenWenn AppLocker-Richtlinien von verschiedenen GPOs zusammengeführt werden, werden die Regeln aller GPOs zusammengeführt und die Erzwingungsmoduseinstellung der ausschlaggebenden GPO übernommen.Weitere Informationen zu GPOs und gruppenrichtlinienvererbung finden Sie im Group Policy Planning and Deployment Guide unter http://go.microsoft.com/fwlink/p/?linkid=143138http://go.microsoft.com/fwlink/p/?linkid=143138.RegelsammlungenDie AppLocker-Benutzeroberfläche über die Microsoft Management Console (MMC) zugegriffen wird, und diese organisiert sind in der Regel Sammlungen, die ausführbare Dateien, Skripts, Windows Installer-Dateien sind, App-Pakete und app-Installer und DLL-Dateien verpackt. Diese Sammlungen geben dem Administrator eine einfache Möglichkeit, die Regeln für verschiedene Anwendungstypen zu differenzieren. In der folgenden Tabelle sind die Dateiformate aufgeführt, die sich in den einzelnen Regelsammlungen befinden.RegelsammlungZugehöriges DateiformatAusführbare Dateien.exe.comScriptsPS1BATCMDVBSJSWindows Installer-DateienMSIMSPMSTPaket-apps und Paket-InstallerAPPXDLL-DateienDLLOCXWenn Sie DLL-Regeln verwenden, müssen Sie für jede DLL-Datei, die von allen zugelassenen Anwendungen verwendet wird, eine Zulassungsregel erstellen.Wenn DLL-Regeln verwendet werden, muss AppLocker jede DLL überprüfen, die von einer Anwendung geladen wird. Deshalb bemerken Benutzer möglicherweise eine Leistungsreduzierung, wenn DLL-Regeln verwendet werden.Die DLL-Regelsammlung ist standardmäßig nicht aktiviert. Gewusst wie: Aktivieren der DLL-Regelsammlung finden Sie unter DLL rule collections.RegelbedingungenBei Regelbedingungen handelt es sich um Kriterien, die AppLocker dabei helfen, die Anwendungen zu finden, auf die sich die Regel bezieht. Die drei wichtigsten Regelbedingungen sind Herausgeber, Pfad und Dateihash.Publisher: Identifiziert eine Anwendung, die basierend auf seiner digitalen SignaturPath: Identifiziert eine Anwendung durch den Speicherort im Dateisystem des Computers oder im NetzwerkFile hash: Stellt den System berechneten kryptografischen Hash der identifizierten DateiHerausgeberDiese Bedingung findet eine Anwendung auf Grundlage der digitalen Signatur und erweiterter Attribute, sofern verfügbar. Die digitale Signatur enthält Informationen zum Unternehmen, das die Anwendung erstellt hat (dem Herausgeber). Ausführbare Dateien, Dlls, Windows Installer, App-Pakete und Paket-Installer ebenfalls über erweiterte Attribute, die aus der binären Ressource abgerufen werden. Im Fall ausführbarer Dateien Dlls und Windows Installer diese Attribute enthalten den Namen des Produkts, dass die Datei ein Teil der ursprüngliche Name der Datei durch den Herausgeber und die Versionsnummer der Datei angegeben. Bei einem Paket-apps und Paket-Installer enthalten diese erweiterten Attribute den Namen und die Version der Anwendung.Regeln in der Paket-apps erstellt und Regelsammlung für app-Paket-Installer kann nur herausgeberbedingungen haben, da Windows nicht signierte gepackte apps nicht unterstützt, und verpackt die app-Pakete.Verwenden Sie eine herausgeberregelbedingung, wenn möglich, da sie Anwendungsupdates als auch eine Änderung in den Speicherort der Dateien überleben können.Wenn Sie eine Referenzdatei für eine Herausgeberbedingung auswählen, erstellt der Assistent eine Regel, die den Herausgeber, das Produkt, den Dateinamen und die Versionsnummer angibt. Sie können die Regel generischer festlegen, indem Sie den Schieberegler nach oben verschieben oder ein Platzhalterzeichen (*) in den Produkt-, Dateinamen- oder Versionsnummernfeldern verwenden.Legen Sie benutzerdefinierte Werte für beliebige Felder einer Herausgeberregelbedingung im Assistenten zur Regelerstellung fest, indem Sie das Kontrollkästchen für Benutzerdefinierte Werte verwenden aktivieren. Wurde dieses Kontrollkästchen aktiviert, kann der Schieberegler nicht mehr verwendet werden.Dateiversion und Paketversion bestimmen, ob ein Benutzer eine bestimmte Version, frühere Versionen oder spätere Versionen einer Anwendung ausführen kann. Sie können eine Versionsnummer auswählen und dann die folgenden Optionen konfigurieren:Genau. Die Regel wird nur auf diese Version der Anwendung angewendet.Und höher. Die Regel wird nur auf diese Version und alle späteren Versionen angewendet.Und niedriger. Die Regel wird nur auf diese Version und alle früheren Versionen angewendet.Die folgende Tabelle beschreibt, wie eine Herausgeberbedingung angewendet wird.OptionDie Herausgeberbedingung lässt zu oder verweigert...Alle signierten DateienAlle Dateien, die von jeder Herausgeber signiert wurden.Nur HerausgeberAlle Dateien, die vom benannten Herausgeber signiert wurdenHerausgeber und ProduktnameAlle Dateien für das angegebene Produkt, die vom benannten Herausgeber signiert wurdenHerausgeber und Produktname und DateinameJede Version der benannten Datei bzw. des benannten Pakets für das benannte Produkt, die vom Herausgeber signiert wurde.Herausgeber, Produktname, Dateiname und DateiversionGenauDie angegebene Version der benannten Datei bzw. des benannten Pakets für das benannte Produkt, die vom Herausgeber signiert wurde.Herausgeber, Produktname, Dateiname und DateiversionUnd höherDie angegebene Version der benannten Datei bzw. des benannten Pakets und jede neue Veröffentlichung für das Produkt, die vom Herausgeber signiert wurde.Herausgeber, Produktname, Dateiname und DateiversionUnd niedrigerDie angegebene Version der benannten Datei bzw. des benannten Pakets und jede frühere Version für das Produkt, die vom Herausgeber signiert wurde.BenutzerdefiniertKönnen Sie bearbeiten die Publisher, Produktname, Dateinamen, VersionPaketname, und Paketversion Felder, die eine benutzerdefinierte Regel erstellen.PfadDiese Regelbedingung findet eine Anwendung über ihren Standort im Dateisystem des Computers oder im Netzwerk.AppLocker verwendet benutzerdefinierte Pfadvariablen für bekannte Pfade wie etwa „Programme“ und „Windows“.Diese Pfadvariablen werden in der folgenden Tabelle beschrieben.Windows-Verzeichnis bzw. -DatenträgerAppLocker-PfadvariableWindows-UmgebungsvariableWindows%WINDIR%%SystemRoot%System32%SYSTEM32%%SystemDirectory%Windows-Installationsverzeichnis%OSDRIVE%%SystemDrive%Programme%PROGRAMFILES%%ProgramFiles% und %ProgramFiles(x86)%Wechselmedien (beispielsweise CD oder DVD)%REMOVABLE%Wechselmedium (beispielsweise USB-Speicherstick)%HOT%Da eine Pfadregelbedingung so konfiguriert werden kann, dass sie eine große Anzahl von Dateien und Ordnern mit einschließt, sollten Pfadbedingungen gut geplant werden. Wenn beispielsweise eine Zulassungsregel mit einer Pfadbedingung einen Ordnerspeicherort mit einschließt, der Nichtadministratoren das Schreiben von Daten ermöglicht, kann ein Benutzer nicht genehmigte Dateien in diesen Ordner kopieren und ausführen. Aus diesem Grund ist es besser, keine Pfadbedingungen für Standardbenutzer, die an diesen Standorten schreiben können, wie beispielsweise ein Benutzerprofil, zu erstellen.DateihashWenn Sie die Dateihashregelbedingung auswählen, berechnet das System einen kryptografischen Hash der gefundenen Datei. Der Vorteil dieser Regelbedingung ist Folgender: Da jede Datei einen eindeutigen Hash hat, bezieht sich eine Dateihashregelbedingung nur auf eine Datei. Der Nachteil ist, dass sich der Dateihash jedes Mal, wenn die Datei aktualisiert wird, etwa bei einem Sicherheitsupdate oder -upgrade, ändert. Daher müssen die Dateihashregeln manuell aktualisiert werden.AppLocker-StandardregelAppLocker ermöglicht Ihnen, für jede Regelsammlung Standardregeln zu erstellen.Beispiele für ausführbare Standardregeltypen:Ermöglicht Mitgliedern der lokalen Gruppe Administratoren das Ausführen aller Anwendungen.Ermöglicht Mitgliedern der Gruppe Alle das Ausführen von Anwendungen, die sich im Ordner „Windows“ befinden.Ermöglicht Mitgliedern der Gruppe Alle das Ausführen von Anwendungen, die sich im Ordner „Programme“ befinden.Beispiele für Skriptstandardregeltypen:Ermöglicht Mitgliedern der lokalen Gruppe Administratoren das Ausführen aller Skripts.Mitgliedern der Gruppe Jeder das Ausführen von Skripts erlauben, die sich im Ordner „Programme“ befinden.Mitgliedern der Gruppe Jeder das Ausführen von Skripts erlauben, die sich im Ordner „Windows“ befinden.Beispiele für Windows Installer-Standardregeltypen:Ermöglicht Mitgliedern der lokalen Gruppe Administratoren das Ausführen aller Windows Installer-Dateien.Mitgliedern der lokalen Gruppe Jeder das Ausführen aller digital signierten Windows Installer-Dateien erlauben.Mitgliedern der Gruppe Jeder das Ausführen aller Windows Installer-Dateien erlauben, die sich im Ordner „Windows\Installer“ befinden.DLL-Standardregeltypen:Ermöglicht Mitgliedern der lokalen Gruppe Administratoren das Ausführen aller DLLs.Mitgliedern der Gruppe Jeder das Ausführen von DLLs erlauben, die sich im Ordner „Programme“ befinden.Mitgliedern der Gruppe Jeder das Ausführen von DLLs erlauben, die sich im Ordner „Windows“ befinden.App-Pakete Standardregeltypen:Ermöglicht Mitgliedern der die jeder um installieren, und führen alle signierten Paket-apps und app-Pakete verpackt.AppLocker-RegelverhaltenWenn keine AppLocker-Regeln für eine bestimmte Regelsammlung vorhanden sind, können alle Dateien mit diesem Dateiformat ausgeführt werden. Wenn jedoch eine AppLocker-Regel für eine bestimmte Regelsammlung erstellt wurde, können nur die in der Regel ausdrücklich erlaubten Dateien ausgeführt werden. Wenn Sie beispielsweise eine ausführbare Regel erstellen, die das Ausführen von EXE-Dateien in %SystemDrive%\FilePath erlaubt, können nur die ausführbaren Dateien unter diesem Pfad ausgeführt werden.Eine Regel kann entweder zum Zulassen oder Verweigern konfiguriert werden:Ermöglichen. Sie können angeben, welche Dateien in Ihrer Umgebung und für welche Benutzer oder Gruppenbenutzer sie ausgeführt werden können. Sie können auch Ausnahmen für Dateien konfigurieren, die von der Regel ausgeschlossen werden sollen.Verweigern. Sie können angeben, welche Dateien sind nicht können in Ihrer Umgebung und für welche Benutzer oder Gruppen von Benutzern ausgeführt werden. Sie können auch Ausnahmen für Dateien konfigurieren, die von der Regel ausgeschlossen werden sollen.Eine best Practice für die Verwendung zugelassene Aktionen mit Ausnahmen. Sie können eine Kombination aus zulassen und verweigern Aktionen jedoch verstehen, die verweigern Aktionen außer Kraft setzen Aktionen in allen Fällen zulassen und umgangen werden können.Wenn Sie einen Computer beitreten Windows Server 2012 oder Windows 8 zu einer Domäne, die bereits AppLocker-Regeln für ausführbare Dateien erzwingt Benutzern nicht werden gepackte apps, die ausgeführt werden, es sei denn, Sie auch Regeln für App-Pakete erstellen. Paket-apps in Ihrer Umgebung zu ermöglichen, und weiterhin die Kontrolle ausführbare Dateien werden soll, Sie erstellen die Standardregeln für App-Pakete und setzt den Erzwingungsmodus nur überwachen für die App-Pakete Regelsammlung.RegelausnahmenSie können AppLocker-Regeln auf einzelne Benutzer oder Gruppen von Benutzern anwenden. Wenn Sie eine Regel auf eine Gruppe von Benutzern anwenden, sind alle Benutzer in der Gruppe von dieser Regel betroffen. Wenn Sie einer Teilmenge einer Benutzergruppe das Verwenden einer Anwendung erlauben möchten, können Sie eine bestimmte Regel für diese Teilmenge erstellen. Die Regel "Jedem das Ausführen von Windows mit Ausnahme des Registrierungs-Editors erlauben" zum Beispiel erlaubt jedem in der Organisation, das Windows-Betriebssystem auszuführen, wobei aber der Registrierungs-Editor nicht ausgeführt werden darf.Dadurch wird verhindert, dass Benutzer, wie beispielsweise Helpdeskpersonal, ein Programm ausführen, das für die Supportaufgaben wichtig ist. Dies können Sie umgehen, indem Sie eine zweite Regel erstellen, die sich auf die Helpdeskbenutzergruppe bezieht: "Helpdesk das Ausführen des Registrierungs-Editors erlauben". Wenn Sie eine Verweigerungsregel erstellen, die niemandem das Ausführen des Registrierungs-Editors erlaubt, dann setzt die Verweigerungsregel die zweite Regel außer Kraft, die der Gruppe der Helpdeskbenutzer das Ausführen des Registrierungs-Editors erlaubt.DLL-RegelsammlungDa die DLL-Regelsammlung standardmäßig nicht aktiviert ist, müssen Sie folgende Verfahren vor dem Erstellen und Erzwingen von DLL-Regeln ausführen:Grundvoraussetzung zur Ausführung dieses Vorgangs ist die Mitgliedschaft in der lokalen Gruppe Administratoren oder eine gleichwertige Mitgliedschaft.So aktivieren Sie die DLL-RegelsammlungGeben Sie auf dem Startbildschirm Folgendes ein:secpol.msc in der Programme / Dateien durchsuchen Feld, und drücken Sie dann die EINGABETASTE.Falls das Dialogfeld Benutzerkontensteuerung angezeigt wird, bestätigen Sie, dass Sie die angezeigte Aktion wünschen, und klicken Sie anschließend auf Ja.Doppelklicken Sie in der Konsolenstruktur auf Anwendungssteuerungsrichtlinien, klicken Sie mit der rechten Maustaste auf AppLocker, und klicken Sie dann auf Eigenschaften.Klicken Sie auf die Registerkarte Erweitert, aktivieren Sie das Kontrollkästchen DLL-Regelsammlung aktivieren, und klicken Sie dann auf OK.Stellen Sie vor dem Erzwingen von DLL-Regeln sicher, dass für jede DLL, die von einer der zugelassenen Anwendungen verwendet wird, eine Zulassungsregel vorhanden ist.AppLocker-AssistentenSie können Regeln mithilfe von zwei AppLocker-Assistenten erstellen:Der Assistent zum Erstellen von Regeln ermöglicht das Erstellen jeweils einer Regel.Der Assistent zum automatischen Erstellen von Regeln ermöglicht das Erstellen mehrerer Regeln zur gleichen Zeit. Sie können entweder einen Ordner auswählen und lassen Sie die Assistenten zum Erstellen Regeln für die entsprechenden Dateien in diesem Ordner oder bei App-Pakete können die Assistenten zum Erstellen Regeln für alle App-Pakete auf dem Computer installiert. Darüber hinaus können Sie den Benutzer bzw. die Benutzergruppe angeben, auf die die Regeln angewendet werden sollen. Dieser Assistent automatisch generiert nur Zulassungsregeln.Weitere ÜberlegungenStandardmäßig verhindern AppLocker-Regeln, dass Benutzer beliebige Dateien öffnen oder ausführen, die nicht ausdrücklich zugelassen wurden. Administratoren sollten über eine aktuelle Liste von zugelassenen Anwendungen verfügen.Es gibt zwei Arten von AppLocker-Bedingungen, die nach einer Aktualisierung nicht mehr beibehalten werden: Dateihashbedingung. Die Dateihashregelbedingungen können mit jeder Anwendung verwendet werden, weil ein kryptografischer Hashwert der Anwendung zu dem Zeitpunkt generiert wird, zu dem die Regel erstellt wird. Der Hashwert gilt jedoch nur für die genaue Version der Anwendung. Wenn es mehrere Versionen der Anwendung innerhalb der Organisation gibt, müssen Sie eine Dateihashbedingung für jede Version und für jede neu veröffentlichte Version erstellen.Eine herausgeberbedingung mit einer bestimmten Produktversion festgelegt. Wenn Sie eine Herausgeberbedingung erstellen, die die Versionsoption Genau verwendet, kann die Regel nicht beibehalten werden, wenn eine neue Version dieser Anwendung installiert wird. Eine neue Herausgeberbedingung muss erstellt werden, oder die Version muss in der Regel überarbeitet werden, damit sie weniger spezifisch ist.Wenn eine Anwendung nicht digital signiert ist, dann können Sie für diese Anwendung keine Herausgeberregelbedingung verwenden.AppLocker-Regeln nicht zur Verwaltung von Computern unter einem Windows-Betriebssystem älter als Windows Server 2008 R2 oder Windows 7. Stattdessen müssen die Softwareeinschränkungsrichtlinien verwendet werden. Wenn AppLocker-Regeln in einem Gruppenrichtlinienobjekt (Group Policy Object, GPO) definiert werden, werden nur diese Regeln angewendet. Definieren Sie Softwareeinschränkungsregeln und AppLocker-Regeln in unterschiedlichen GPOs, um die Interoperabilität zwischen Softwareeinschränkungsregeln und AppLocker-Regeln zu gewährleisten.Die Paket-apps und App-Pakete Installer-Regelsammlung steht nur auf Windows Server 2012 und Windows 8.Wenn die Regeln für die ausführbare Regelsammlung erzwungen und die Paket-apps und Paket-Installer-Regelsammlung enthält keine Regeln, die keine gepackte apps und Paket-Installer ausgeführt werden dürfen. Damit können alle App-Pakete und die Paket-Installer müssen Sie Regeln für die App-Pakete erstellen und gepackt Regel für app-Pakete, die Auflistung.Wenn eine AppLocker-Regelsammlung auf Nur überwachen eingestellt wird, werden die Regeln nicht erzwungen. Wenn ein Benutzer eine Anwendung ausführt, die in einer Regel enthalten ist, wird die Anwendung normal geöffnet und ausgeführt, und dem AppLocker-Ereignisprotokoll werden Informationen zu dieser Anwendung hinzugefügt.Eine benutzerdefinierte URL kann in der Nachricht mit angezeigt werden, die erscheint, wenn eine Anwendung blockiert wird.Stellen Sie sich zu Anfang auf eine erhöhte Anzahl an Helpdeskanfragen aufgrund blockierter Anwendungen ein. Diese sollten abnehmen, nachdem die Benutzer verstanden haben, dass sie nicht erlaubte Anwendungen nicht ausführen dürfen.Übersicht über AppLocker [Client]<_caps3a_sxssource locale="en-US">This topic describes AppLocker rule types and how to work with them for your application control policies using Windows Server® 2012 and Windows® 8.ProceduresCreate a Rule that uses a File Hash Condition Create a Rule that uses a Path Condition Create a Rule that uses a Publisher Condition Create a rule for Packaged apps Create AppLocker Default Rules Configure exceptions for an AppLocker Rule Delete an AppLocker Rule Edit AppLocker Rules Enable the DLL Rule Collection Enforce AppLocker Rules Run the Automatically Generate Rules Wizard The three AppLocker enforcement modes are described in the following table. The enforcement mode setting defined here can be overwritten by the setting derived from a linked Group Policy Object (GPO) with a higher precedence.Enforcement modeDescriptionNot configuredThis is the default setting which means that the rules defined here will be enforced unless a linked GPO with a higher precedence has a different value for this setting.Enforce rulesRules are enforced.Audit onlyRules are audited but not enforced. When a user runs an application that is affected by an AppLocker rule, the application is allowed to run and the information about the application is added to the AppLocker event log. The Audit-only enforcement mode helps you determine which applications will be affected by the policy before the policy is enforced. When the AppLocker policy for a rule collection is set to Audit only, rules for that rule collection are not enforcedWhen AppLocker policies from various GPOs are merged, the rules from all the GPOs are merged and the enforcement mode setting of the winning GPO is applied.For information about GPOs and Group Policy inheritance, see the Group Policy Planning and Deployment Guide http://go.microsoft.com/fwlink/p/?linkid=143138http://go.microsoft.com/fwlink/p/?linkid=143138.Rule collectionsThe AppLocker user interface is accessed through the Microsoft Management Console (MMC), and it is organized into rule collections, which are Executable files, Scripts, Windows Installer files, Packaged apps and packaged app installers, and DLL files. These collections give the administrator an easy way to differentiate the rules for different types of applications. The following table lists the file formats that are included in each rule collection.Rule collectionAssociated file formatsExecutable files.exe.comScripts.ps1.bat.cmd.vbs.jsWindows Installer files.msi.msp.mstPackaged apps and packaged app installers.appxDLL files.dll.ocxIf you use DLL rules, you need to create an allow rule for each DLL that is used by all of the allowed applications.When DLL rules are used, AppLocker must check each DLL that an application loads. Therefore, users may experience a reduction in performance if DLL rules are used.The DLL rule collection is not enabled by default. To learn how to enable the DLL rule collection, see DLL rule collections.Rule conditionsRule conditions are criteria that help AppLocker identify the applications to which the rule applies. The three primary rule conditions are publisher, path, and file hash.Publisher: Identifies an application based on its digital signaturePath: Identifies an application by its location in the file system of the computer or on the networkFile hash: Represents the system computed cryptographic hash of the identified filePublisherThis condition identifies an application based on its digital signature and extended attributes when available. The digital signature contains information about the company that created the application (the publisher). Executable files, Dlls, Windows installers, packaged apps and packaged app installers also have extended attributes, which are obtained from the binary resource. In case of Executable files, Dlls and Windows installers these attributes contain the name of the product that the file is a part of, the original name of the file as supplied by the publisher and the version number of the file. In case of packaged apps and packaged app installers these extended attributes contain the name and the version of the application package.Rules created in the packaged apps and packaged app installers rule collection can only have publisher conditions since Windows does not support unsigned packaged apps and packaged app installers.Use a publisher rule condition when possible because they can survive application updates as well as a change in the location of files.When you select a reference file for a publisher condition, the wizard creates a rule that specifies the publisher, product, file name, and version number. You can make the rule more generic by moving the slider up or by using a wildcard character (*) in the product, file name, or version number fields.To enter custom values for any of the fields of a publisher rule condition in the Create Rules Wizard, you must select the Use custom values check box. When this check box is selected, you cannot use the slider.The File version and Package version control whether a user can run a specific version, earlier versions, or later versions of the application. You can choose a version number and then configure the following options:Exactly. The rule applies only to this version of the application.And above. The rule applies to this version and all later versions.And below. The rule applies to this version and all earlier versions.The following table describes how a publisher condition is applied.OptionThe publisher condition allows or denies…All signed filesAll files that are signed by any publisher.Publisher onlyAll files that are signed by the named publisher.Publisher and product nameAll files for the specified product that are signed by the named publisher.Publisher and product name, and file nameAny version of the named file or package for the named product that are signed by the publisher.Publisher, product name, file name, and file versionExactlyThe specified version of the named file or package for the named product that are signed by the publisher.Publisher, product name, file name, and file versionAnd aboveThe specified version of the named file or package and any new releases for the product that are signed by the publisher.Publisher, product name, file name, and file versionAnd belowThe specified version of the named file or package and any earlier versions for the product that are signed by the publisher.CustomYou can edit the Publisher, Product name, File name, VersionPackage name, and Package version fields to create a custom rule.PathThis rule condition identifies an application by its location in the file system of the computer or on the network.AppLocker uses custom path variables for well-known paths, such as Program Files and Windows.The following table details these path variables.Windows directory or diskAppLocker path variableWindows environment variableWindows%WINDIR%%SystemRoot%System32%SYSTEM32%%SystemDirectory%Windows installation directory%OSDRIVE%%SystemDrive%Program Files%PROGRAMFILES%%ProgramFiles% and %ProgramFiles(x86)%Removable media (for example, a CD or DVD)%REMOVABLE%Removable storage device (for example, a USB flash drive)%HOT%Because a path rule condition can be configured to include a large number of folders and files, path conditions should be carefully planned. For example, if an allow rule with a path condition includes a folder location that non-administrators are allowed to write data into, a user can copy unapproved files into that location and run the files. For this reason, it is a best practice to not create path conditions for standard user writable locations, such as a user profile.File hashWhen you choose the file hash rule condition, the system computes a cryptographic hash of the identified file. The advantage of this rule condition is that because each file has a unique hash, a file hash rule condition applies to only one file. The disadvantage is that each time the file is updated (such as a security update or upgrade) the file's hash will change. As a result, you must manually update file hash rules.AppLocker default rulesAppLocker allows you to generate default rules for each rule collection.Executable default rule types include:Allow members of the local Administrators group to run all applications.Allow members of the Everyone group to run applications that are located in the Windows folder.Allow members of the Everyone group to run applications that are located in the Program Files folder.Script default rule types include:Allow members of the local Administrators group to run all scripts.Allow members of the Everyone group to run scripts that are located in the Program Files folder.Allow members of the Everyone group to run scripts that are located in the Windows folder.Windows Installer default rule types include:Allow members of the local Administrators group to run all Windows Installer files.Allow members of the Everyone group to run all digitally signed Windows Installer files.Allow members of the Everyone group to run all Windows Installer files that are located in the Windows\Installer folder.DLL default rule types:Allow members of the local Administrators group to run all DLLs.Allow members of the Everyone group to run DLLs that are located in the Program Files folder.Allow members of the Everyone group to run DLLs that are located in the Windows folder.Packaged apps default rule types:Allow members of the Everyone group to install and run all signed packaged apps and packaged app installers.AppLocker rule behaviorIf no AppLocker rules for a specific rule collection exist, all files with that file format are allowed to run. However, when an AppLocker rule for a specific rule collection is created, only the files explicitly allowed in a rule are permitted to run. For example, if you create an executable rule that allows .exe files in %SystemDrive%\FilePath to run, only executable files located in that path are allowed to run.A rule can be configured to use allow or deny actions:Allow. You can specify which files are allowed to run in your environment, and for which users or groups of users. You can also configure exceptions to identify files that are excluded from the rule.Deny. You can specify which files are not allowed to run in your environment, and for which users or groups of users. You can also configure exceptions to identify files that are excluded from the rule.For a best practice, use allow actions with exceptions. You can use a combination of allow and deny actions but understand that deny actions override allow actions in all cases, and can be circumvented.If you join a computer running Windows Server 2012 or Windows 8 to a domain that already enforces AppLocker rules for Executables, users will not be able to run any packaged apps unless you also create rules for packaged apps. If you want to allow any packaged apps in your environment while continuing to control Executables, you should create the default rules for packaged apps and set the enforcement mode to Audit-only for the packaged apps rule collection.Rule exceptionsYou can apply AppLocker rules to individual users or to a group of users. If you apply a rule to a group of users, all users in that group are affected by that rule. If you need to allow a subset of a user group to use an application, you can create a special rule for that subset. For example, the rule "Allow Everyone to run Windows except Registry Editor" allows everyone in the organization to run the Windows operating system, but it does not allow anyone to run Registry Editor.The effect of this rule would prevent users such as Help Desk personnel from running a program that is necessary for their support tasks. To resolve this problem, create a second rule that applies to the Help Desk user group: "Allow Help Desk to run Registry Editor." If you create a deny rule that does not allow any users to run Registry Editor, the deny rule will override the second rule that allows the Help Desk user group to run Registry Editor.DLL rule collectionBecause the DLL rule collection is not enabled by default, you must perform the following procedure before you can create and enforce DLL rules.Grundvoraussetzung zur Ausführung dieses Vorgangs ist die Mitgliedschaft in der lokalen Gruppe Administratoren oder eine gleichwertige Mitgliedschaft.To enable the DLL rule collectionGeben Sie auf dem Startbildschirm Folgendes ein:secpol.msc in the Search programs and files box, and then press ENTER.Falls das Dialogfeld Benutzerkontensteuerung angezeigt wird, bestätigen Sie, dass Sie die angezeigte Aktion wünschen, und klicken Sie anschließend auf Ja.In the console tree, double-click Application Control Policies, right-click AppLocker, and then click Properties.Click the Advanced tab, select the Enable the DLL rule collection check box, and then click OK.Before you enforce DLL rules, make sure that there are allow rules for each DLL that is used by any of the allowed applications.AppLocker wizardsYou can create rules by using two AppLocker wizards:The Create Rules Wizard enables you to create one rule at a time.The Automatically Generate Rules Wizard allows you to create multiple rules at one time. You can either select a folder and let the wizard create rules for the relevant files within that folder or in case of packaged apps let the wizard create rules for all packaged apps installed on the computer. You can also specify the user or group to which to apply the rules. This wizard automatically generates allow rules only.Additional considerationsBy default, AppLocker rules do not allow users to open or run any files that are not specifically allowed. Administrators should maintain an up-to-date list of allowed applications.There are two types of AppLocker conditions that do not persist following an update of an application: File hash condition. File hash rule conditions can be used with any application because a cryptographic hash value of the application is generated at the time the rule is created. However, the hash value is specific to that exact version of the application. If there are several versions of the application in use within the organization, you need to create file hash conditions for each version in use and for any new versions that are released.A publisher condition with a specific product version set. If you create a publisher rule condition that uses the Exactly version option, the rule cannot persist if a new version of the application is installed. A new publisher condition must be created, or the version must be edited in the rule to be made less specific.If an application is not digitally signed, you cannot use a publisher rule condition for that application.AppLocker rules cannot be used to manage computers running a Windows operating system earlier than Windows Server 2008 R2 or Windows 7. Software Restriction Policies must be used instead. If AppLocker rules are defined in a Group Policy Object (GPO), only those rules are applied. To ensure interoperability between Software Restriction Policies rules and AppLocker rules, define Software Restriction Policies rules and AppLocker rules in different GPOs.The packaged apps and packaged apps installer rule collection is available only on Windows Server 2012 and Windows 8.When the rules for the Executable rule collection are enforced and the packaged apps and packaged app installers rule collection does not contain any rules, no packaged apps and packaged app installers are allowed to run. In order to allow any packaged apps and packaged app installers you must create rules for the packaged apps and packaged app installers rule collection.When an AppLocker rule collection is set to Audit only, the rules are not enforced. When a user runs an application that is included in the rule, the application is opened and runs normally, and information about that application is added to the AppLocker event log.A custom configured URL can be included in the message that is displayed when an application is blocked.Expect an increase in the number of Help Desk calls initially because of blocked applications until users understand that they cannot run applications that are not allowed.AppLocker Overview [Client]