Festlegen der Zulassen bzw. Verweigern-Liste und des Anwendungsinventars für Richtlinien für die Softwareeinschränkung

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

In diesem Thema für IT-Experten erfahren Sie, wie Sie ab Windows Server 2008 und Windows Vista eine Liste der Zulässigkeits- und Verweigerungslisten für Anwendungen erstellen, die von Softwareeinschränkungsrichtlinien (Software Restriction Policies, SRP) verwaltet werden.

Einführung

Die Richtlinien für Softwareeinschränkung (Software Restriction Policies, SRP) sind ein auf der Gruppenrichtlinie basierendes Feature, das Softwareprogramme identifiziert, die auf Computern in einer Domäne ausgeführt werden, und die Fähigkeit zur Ausführung dieser Programme steuert. Sie können Richtlinien für Softwareeinschränkung auch verwenden, um eine stark eingeschränkte Konfiguration für Computer zu erstellen, in der Sie ausschließlich die Ausführung explizit angegebener Anwendungen zulassen. Diese sind in Microsoft Active Directory Domain Services und Gruppenrichtlinie integriert, können aber auch auf eigenständigen Computern konfiguriert werden. Einen Ausgangspunkt für SRP finden Sie unter Richtlinien für Softwareeinschränkung.

Ab Windows Server 2008 R2 und Windows 7 kann Windows AppLocker anstelle von oder zusammen mit SRP für einen Teil Ihrer Strategie zur Anwendungssteuerung verwendet werden.

Informationen zum Ausführen bestimmter Aufgaben mithilfe von SRP finden Sie in den folgenden Themen:

Auszuwählende Standardregel: Zulassen oder Verweigern

Richtlinien für Softwareeinschränkungen können in einem von zwei Modi bereitgestellt werden, die die Grundlage Ihrer Standardregel bilden: Liste zulassen oder Liste verweigern. Sie können eine Richtlinie erstellen, die jede Anwendung identifiziert, die in Ihrer Umgebung ausgeführt werden darf. Die Standardregel in Ihrer Richtlinie ist Eingeschränkt und blockiert alle Anwendungen, die Sie nicht explizit ausführen dürfen. Sie können auch eine Richtlinie erstellen, die jede Anwendung identifiziert, die nicht ausgeführt werden kann. Die Standardregel ist Unrestricted und schränkt nur die Anwendungen ein, die Sie explizit aufgelistet haben.

Wichtig

Der Modus "Verweigerungsliste" ist möglicherweise eine Strategie mit hoher Wartung für Ihre Organisation in Bezug auf die Anwendungssteuerung. Das Erstellen und Verwalten einer sich weiterentwickelnden Liste, die alle Schadsoftware und andere problematische Anwendungen verhindert, wäre zeitaufwändig und anfällig für Fehler.

Erstellen eines Bestands Ihrer Anwendungen für die Liste Zulassen

Um die Standardregel Zulassen effektiv zu verwenden, müssen Sie genau bestimmen, welche Anwendungen in Ihrer Organisation erforderlich sind. Es gibt Tools, die entwickelt wurden, um eine Anwendungsinventur zu erstellen, z. B. den Inventory Collector im Microsoft Application Compatibility Toolkit. SRP verfügt jedoch über ein erweitertes Protokollierungsfeature, mit dem Sie genau verstehen können, welche Anwendungen in Ihrer Umgebung ausgeführt werden.

So ermitteln Sie, welche Anwendungen zugelassen werden sollen
  1. Stellen Sie in einer Testumgebung die Softwareeinschränkungsrichtlinie bereit, wobei die Standardregel auf Unrestricted festgelegt ist, und entfernen Sie alle zusätzlichen Regeln. Wenn Sie SRP aktivieren, ohne die Einschränkung von Anwendungen zu erzwingen, kann SPR überwachen, welche Anwendungen ausgeführt werden.

  2. Erstellen Sie den folgenden Registrierungswert, um die erweiterte Protokollierungsfunktion zu aktivieren, und legen Sie den Pfad auf fest, in den die Protokolldatei geschrieben werden soll.

    "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers"

    Zeichenfolgenwert: LogFileName-Pfad zu LogFileName

    Da SRP bei der Ausführung alle Anwendungen auswertet, wird bei jeder Ausführung der Anwendung ein Eintrag in die Protokolldatei NameLogFile geschrieben.

  3. Auswerten der Protokolldatei

    Jeder Protokolleintrag hat den status:

    • der Aufrufer der Softwareeinschränkungsrichtlinie und die Prozess-ID (PID) des aufrufenden Prozesses

    • das Ziel, das ausgewertet wird

    • Die SRP-Regel, die beim Ausführen dieser Anwendung aufgetreten ist

    • ein Bezeichner für die SRP-Regel.

    Ein Beispiel für die Ausgabe, die in eine Protokolldatei geschrieben wurde:

explorer.exe (PID = 4728) identifiedC:\Windows\system32\onenote.exe als uneingeschränkte Usingpath-Regel, Guid ={320bd852-aa7c-4674-82c5-9a80321670a3} Alle Anwendungen und zugeordneter Code, der von SRP überprüft und auf blockieren festgelegt wird, werden in der Protokolldatei notiert, mit der Sie dann bestimmen können, welche ausführbaren Dateien für Ihre Liste Zulässig berücksichtigt werden sollen.