Festlegen der Zulassen bzw. Verweigern-Liste und des Anwendungsinventars für Richtlinien für die SoftwareeinschränkungDetermine Allow-Deny List and Application Inventory for Software Restriction Policies

Gilt für: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

In diesem Thema für IT-Experten wird beschrieben, wie Sie eine Zulassungs-und Verweigerungs Liste für Anwendungen erstellen, die mit Software Einschränkungs Richtlinien (SRP) ab Windows Server 2008 und Windows Vista verwaltet werden.This topic for the IT professional gives guidance how to create an allow and deny list for applications to be managed by Software Restriction Policies (SRP) beginning with Windows Server 2008 and Windows Vista.

EinführungIntroduction

Die Richtlinien für Softwareeinschränkung (Software Restriction Policies, SRP) sind ein auf der Gruppenrichtlinie basierendes Feature, das Softwareprogramme identifiziert, die auf Computern in einer Domäne ausgeführt werden, und die Fähigkeit zur Ausführung dieser Programme steuert.Software Restriction Policies (SRP) is Group Policy-based feature that identifies software programs running on computers in a domain, and controls the ability of those programs to run. Sie können Richtlinien für Softwareeinschränkung auch verwenden, um eine stark eingeschränkte Konfiguration für Computer zu erstellen, in der Sie ausschließlich die Ausführung explizit angegebener Anwendungen zulassen.You use software restriction policies to create a highly restricted configuration for computers, in which you allow only specifically identified applications to run. Diese sind in Microsoft Active Directory Domain Services und Gruppenrichtlinie integriert, können aber auch auf eigenständigen Computern konfiguriert werden.These are integrated with Microsoft Active Directory Domain Services and Group Policy but can also be configured on stand-alone computers. Einen Ausgangspunkt für SRP finden Sie in den Richtlinien für Software Einschränkung.For a starting point for SRP, see the Software Restriction Policies.

Ab Windows Server 2008 R2 und Windows 7 kann Windows AppLocker anstelle von oder in zusammen mit SRP für einen Teil ihrer Anwendungs Steuerungsstrategie verwendet werden.Beginning with Windows Server 2008 R2 and Windows 7 , Windows AppLocker can be used instead of or in concert with SRP for a portion of your application control strategy.

Informationen zum Ausführen bestimmter Aufgaben mithilfe von SRP finden Sie in den folgenden Bereichen:For information about how to accomplish specific tasks using SRP, see the following:

Folgende Standardregel auswählen: zulassen oder verweigernWhat default rule to choose: Allow or Deny

Software Einschränkungs Richtlinien können in einem von zwei Modi bereitgestellt werden, die die Basis ihrer Standardregel sind: Zulassungsliste oder Verweigerungs Liste.Software restriction policies can be deployed in one of two modes that are the basis of your default rule: Allow List or Deny List. Sie können eine Richtlinie erstellen, die jede Anwendung identifiziert, die in Ihrer Umgebung ausgeführt werden darf. die Standardregel in der Richtlinie ist eingeschränkt und blockiert alle Anwendungen, die nicht explizit ausgeführt werden dürfen.You can create a policy that identifies every application that is allowed to run in your environment; the default rule within your policy is Restricted and will block all applications that you do not explicitly allow to run. Oder Sie können eine Richtlinie erstellen, die jede Anwendung identifiziert, die nicht ausgeführt werden kann. die Standardregel ist uneingeschränkt und schränkt nur die Anwendungen ein, die Sie explizit aufgelistet haben.Or you can create a policy that identifies every application that cannot run; the default rule is Unrestricted and restricts only the applications that you have explicitly listed.

Wichtig

Der Ablehnungs Listenmodus ist möglicherweise eine hoch Wartungsstrategie für Ihre Organisation in Bezug auf die Anwendungssteuerung.The Deny List mode might be a high-maintenance strategy for your organization regarding application control. Das Erstellen und Verwalten einer sich entwickelnden Liste, die alle Malware und andere problematische Anwendungen untersagt, wäre zeitaufwändig und anfällig für Fehler.Creating and maintaining an evolving list that prohibits all malware and other problematic applications would be time consuming and susceptible to mistakes.

Erstellen eines Inventars Ihrer Anwendungen für die ZulassungslisteCreate an inventory of your applications for the Allow list

Um die Zulassungs Standardregel effektiv verwenden zu können, müssen Sie genau feststellen, welche Anwendungen in Ihrer Organisation erforderlich sind.To effectively use the Allow default rule, you need to determine exactly which applications are required in your organization. Es gibt Tools, die entwickelt wurden, um ein Anwendungs Inventar zu entwickeln, z. b. den Inventur Sammler im Microsoft Application Compatibility Toolkit.There are tools designed to produce an application inventory, such as the Inventory Collector in the Microsoft Application Compatibility Toolkit. SRP verfügt jedoch über eine erweiterte Protokollierungsfunktion, mit der Sie genau verstehen können, welche Anwendungen in Ihrer Umgebung ausgeführt werden.But SRP has an advanced logging feature to help you understand exactly what applications are running in your environment.

So ermitteln Sie, welche Anwendungen zugelassen werdenTo discover which applications to allow
  1. Stellen Sie in einer Testumgebung die Software Einschränkungs Richtlinie mit der Standardregel auf uneingeschränkt bereit, und entfernen Sie alle zusätzlichen Regeln.In a test environment, deploy Software Restriction Policy with the default rule set to Unrestricted and remove any additional rules. Wenn Sie SRP aktivieren, ohne dies zu erzwingen, um Anwendungen einzuschränken, kann SPR überwachen, welche Anwendungen ausgeführt werden.If you enable SRP without forcing it to restrict any applications, SPR will be able to monitor what applications are being run.

  2. Erstellen Sie den folgenden Registrierungs Wert, um das Feature erweiterte Protokollierung zu aktivieren, und legen Sie den Pfad auf den Speicherort der Protokolldatei fest.Create the following registry value in order to enable the advanced logging feature and set the path to where the log file should be written.

    "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers""HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers"

    Zeichen folgen Wert: LogFileName Pfad zu LogFileNameString Value: LogFileName path to LogFileName

    Da SRP alle Anwendungen evaluiert, wenn diese ausgeführt werden, wird jedes Mal, wenn die Anwendung ausgeführt wird, ein Eintrag in die Protokolldatei namelogfile geschrieben.Because SRP is evaluating all applications when they run, an entry is written to the log file NameLogFile each time that application is run.

  3. Auswerten der ProtokolldateiEvaluate the log file

    Jeder Protokolleintrag lautet:Each log entry states:

    • der Aufrufer der Software Einschränkungs Richtlinie und die Prozess-ID (PID) des aufrufenden Prozesses.the caller of the software restriction policy and the process ID (PID) of the calling process

    • Das auszuwertende Zielthe target being evaluated

    • die SRP-Regel, die gefunden wurde, als diese Anwendung ausgeführt wurde.the SRP rule that was encountered when that application ran

    • ein Bezeichner für die SRP-Regel.an identifier for the SRP rule.

    Ein Beispiel für die Ausgabe, die in eine Protokolldatei geschrieben wird:An example of the output written to a log file:

explorer.exe (PID = 4728) identifiedC:\Windows\system32\onenote.exe als uneingeschränkte usingpath-Regel, GUID = {320bd852-AA7C-4674-82c5-9a80321670a3} Alle Anwendungen und zugeordneten Code, die von SRP überprüft und auf Block festgelegt werden, werden in der Protokolldatei vermerkt. Diese können Sie dann verwenden, um zu bestimmen, welche ausführbaren Dateien für die zulässige Liste berücksichtigt werden sollen.explorer.exe (PID = 4728) identifiedC:\Windows\system32\onenote.exe as Unrestricted usingpath rule, Guid ={320bd852-aa7c-4674-82c5-9a80321670a3} All applications and associated code that SRP checks and set to block will be noted in the log file, which you then can use to determine which executables should be considered for your Allowed list.