AppLocker-Prozesse und -Interaktionen

• Gilt für::

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Hinweis

Einige Funktionen von Windows Defender Anwendungssteuerung sind nur in bestimmten Windows-Versionen verfügbar. Erfahren Sie mehr über die Verfügbarkeit der Windows Defender Anwendungssteuerungsfeature.

In diesem Artikel für IT-Experten werden die Prozessabhängigkeiten und Interaktionen beschrieben, wenn AppLocker Regeln auswertet und erzwingt.

Anwenden von Richtlinien durch AppLocker

AppLocker-Richtlinien sind Sammlungen von Regeln, die eine der konfigurierten Einstellungen für den Erzwingungsmodus enthalten können. Wenn sie angewendet wird, wird jede Regel innerhalb der Richtlinie ausgewertet, und die Sammlung von Regeln wird gemäß der Erzwingungseinstellung und gemäß Ihrer Gruppenrichtlinie-Struktur angewendet.

Die AppLocker-Richtlinie wird auf einem Computer über den Anwendungsidentitätsdienst (appid.sys) erzwungen, bei dem es sich um die Engine handelt, die die Richtlinien auswertet und im Windows-Kernel ausgeführt wird. Wenn der Dienst nicht ausgeführt wird, werden Richtlinien nicht erzwungen. Der Anwendungsidentitätsdienst gibt die Informationen aus der Binärdatei (auch wenn Produkt- oder Binärnamen leer sind) an den Ergebnisbereich des Snap-Ins Lokale Sicherheitsrichtlinie zurück.

AppLocker-Richtlinien werden gemäß den Anforderungen des Anwendungsidentitätsdiensts in einem Sicherheitsdeskriptorformat gespeichert. Es verwendet Dateipfad-, Hash- oder vollqualifizierte binäre Namensattribute, um Aktionen für eine Regel zuzulassen oder zu verweigern. Jede Regel wird als Zugriffssteuerungseintrag (Access Control Entry, ACE) in der Sicherheitsbeschreibung gespeichert und enthält die folgenden Informationen:

• Entweder eine Zulassungs- oder Eine Ablehnungs-ACE ("XA" oder "XD" in SDDL-Form (Security Descriptor Definition Language).
• Die Benutzersicherheits-ID (SID), für die diese Regel gilt. (Die Standardeinstellung ist die SID des authentifizierten Benutzers in SDDL.)
• Die Regelbedingung, die die appid-Attribute enthält.

Beispielsweise verwendet eine SDDL für eine Regel, die die Ausführung aller Dateien im Verzeichnis %windir% zulässt, das folgende Format: XA;;FX;;;AU;(APPID://PATH == "%windir%\\\*").

Appid.sys liest und speichert die effektive AppLocker-Richtlinie für DLLs und ausführbare Dateien. Wenn eine neue Richtlinie angewendet wird, benachrichtigt ein Richtlinienkonvertertask appid.sys. Bei anderen Dateitypen wird die AppLocker-Richtlinie jedes Mal gelesen, wenn ein SaferIdentifyLevel-Aufruf erfolgt.

Grundlegendes zu AppLocker-Regeln

Eine AppLocker-Regel ist ein Steuerelement, das in einer Datei platziert wird und steuert, ob sie für einen bestimmten Benutzer oder eine bestimmte Gruppe ausgeführt wird. Sie erstellen AppLocker-Regeln für fünf verschiedene Dateitypen oder Sammlungen:

• Eine ausführbare Regel steuert, ob ein Benutzer oder eine Gruppe eine ausführbare Datei ausführen kann. Ausführbare Dateien verfügen in den meisten Fällen über die .exe- oder .com Dateinamenerweiterungen und gelten für Anwendungen.
• Eine Skriptregel steuert, ob ein Benutzer oder eine Gruppe Skripts mit der Dateinamenerweiterung .ps1, .bat, .cmd, VBS und .js ausführen kann.
• Eine Windows Installer-Regel steuert, ob ein Benutzer oder eine Gruppe Dateien mit der Dateinamenerweiterung .msi, .mst und .msp (Windows Installer-Patch) ausführen kann.
• Eine DLL-Regel steuert, ob ein Benutzer oder eine Gruppe Dateien mit der Dateinamenerweiterung .dll und OCX ausführen kann.
• Eine gepackte App und eine gepackte App-Installationsprogrammregel steuert, ob ein Benutzer oder eine Gruppe eine gepackte App ausführen oder installieren kann. Ein Paket-App-Installationsprogramm verfügt über die erweiterung .appx.

Es gibt drei verschiedene Arten von Bedingungen, die auf Regeln angewendet werden können:

• Eine Herausgeberbedingung für eine Regel steuert, ob ein Benutzer oder eine Gruppe Dateien von einem bestimmten Softwareherausgeber ausführen kann. Die Datei muss signiert sein.

• Eine Pfadbedingung für eine Regel steuert, ob ein Benutzer oder eine Gruppe Dateien aus einem bestimmten Verzeichnis oder seinen Unterverzeichnissen ausführen kann.

• Eine Dateihashbedingung für eine Regel steuert, ob ein Benutzer oder eine Gruppe Dateien mit übereinstimmenden verschlüsselten Hashes ausführen kann.

• Grundlegendes zu AppLocker-Regelsammlungen

  Eine AppLocker-Regelsammlung besteht aus einer Reihe von Regeln, die für einen der folgenden Typen gelten: ausführbare Dateien, Windows Installer-Dateien, Skripts, DLLs und gepackte Apps.

• Grundlegendes zu AppLocker-Regelbedingungstypen

  Regelbedingungen sind Kriterien, auf denen die AppLocker-Regel basiert. Primäre Bedingungen sind erforderlich, um eine AppLocker-Regel zu erstellen. Die drei primären Regelbedingungen sind Herausgeber, Pfad und Dateihash.

  • Grundlegendes zur Herausgeberregelbedingung in AppLocker
  • Grundlegendes zur Pfadregelbedingung in AppLocker
  • Grundlegendes zur Dateihashregel-Bedingung in AppLocker

• Grundlegendes zu AppLocker-Standardregeln

  AppLocker enthält Standardregeln für jede Regelsammlung. Diese Regeln sollen dazu beitragen, sicherzustellen, dass die Dateien, die für den ordnungsgemäßen Betrieb von Windows erforderlich sind, in einer AppLocker-Regelsammlung zulässig sind.

  • Regeln für ausführbare Dateien in AppLocker
  • Windows Installer-Regeln in AppLocker
  • Skriptregeln in AppLocker
  • DLL-Regeln in AppLocker
  • Regeln für App-Pakete und App-Paket-Installer in AppLocker

• Grundlegendes zu Ausnahmen von AppLocker-Regeln

  Sie können AppLocker-Regeln auf einzelne Benutzer oder eine Gruppe von Benutzern anwenden. Wenn Sie eine Regel auf eine Gruppe von Benutzern anwenden, wirkt sich die Regel auf alle Benutzer in dieser Gruppe aus. Wenn Sie zulassen müssen, dass nur eine Teilmenge einer Benutzergruppe eine Anwendung verwendet, können Sie eine spezielle Regel für diese Teilmenge erstellen.

• Grundlegendes zum Verhalten von AppLocker-Regeln und Grundlegendes zum Zulassen und Verweigern von AppLocker-Aktionen für Regeln

  Jede AppLocker-Regelsammlung fungiert als zulässige Liste von Dateien.

Grundlegendes zu AppLocker-Richtlinien

Eine AppLocker-Richtlinie ist ein Satz von Regelsammlungen und deren entsprechenden konfigurierten Einstellungen für den Erzwingungsmodus, die auf einen oder mehrere Computer angewendet werden.

• Grundlegendes zu AppLocker-Erzwingungseinstellungen

  Die Regelerzwingung wird nur auf Auflistungen von Regeln angewendet, nicht auf einzelne Regeln. AppLocker unterteilt die Regeln in vier Sammlungen: ausführbare Dateien, Windows Installer-Dateien, Skripts und DLL-Dateien. Die Optionen für die Regelerzwingung sind Nicht konfiguriert, Regeln erzwingen oder Nur Überwachen. Zusammen bilden alle AppLocker-Regelsammlungen die Anwendungssteuerungsrichtlinie oder appLocker-Richtlinie. Wenn die Erzwingung nicht konfiguriert ist und Regeln in einer Regelsammlung vorhanden sind, werden diese Regeln standardmäßig erzwungen.

Grundlegendes zu AppLocker und Gruppenrichtlinie

Gruppenrichtlinie können verwendet werden, um AppLocker-Richtlinien in separaten Objekten oder in Kombination mit anderen Richtlinien zu erstellen, zu ändern und zu verteilen.

• Grundlegendes zu AppLocker-Regeln und zur Erzwingungseinstellungsvererbung in „Gruppenrichtlinie“

  Wenn Gruppenrichtlinie zum Verteilen von AppLocker-Richtlinien verwendet wird, werden Regelsammlungen mit einer oder mehreren Regeln erzwungen, es sei denn, der Erzwingungsmodus ist auf Nur überwachen festgelegt. Gruppenrichtlinie überschreibt oder ersetzt keine Regeln, die bereits in einem verknüpften Gruppenrichtlinie Object (GPO) vorhanden sind, und wendet die AppLocker-Regeln zusätzlich zu vorhandenen Regeln an. AppLocker verarbeitet explizite Ablehnungsregeln vor allen Zulassungsregeln, und für die Regelerzwingung wird der letzte Schreibvorgang in das Gruppenrichtlinienobjekt angewendet.

Verwandte Artikel

• Technische Referenz zu AppLocker