AppLocker

Betrifft

  • Windows 10
  • Windows Server

Dieses Thema enthält eine Beschreibung von AppLocker und kann Ihnen bei der Entscheidung helfen, ob Ihre Organisation von der Implementierung der AppLocker-Anwendungssteuerungsrichtlinien profitieren kann. Mit AppLocker können Sie steuern, welche Anwendungen und Dateien Benutzer ausführen können. Dazu gehören ausführbare Dateien, Skripts, Windows Installer-Dateien, Dynamic Link Libraries (DLL-Dateien) App-Pakete und App-Installer-Pakete.

AppLocker kann Ihnen bei folgenden Aktivitäten helfen:

  • Definieren von Regeln auf der Grundlage von Dateiattributen, die über App-Aktualisierungen hinweg erhalten bleiben, wie etwa des Namens des Herausgebers (abgeleitet aus der digitalen Signatur), des Produktnamens, des Dateinamens oder der Dateiversion. Sie können auch Regeln basierend auf dem Dateipfad und dem Hash erstellen.
  • Zuweisen einer Regel zu einer Sicherheitsgruppe oder einem einzelnen Benutzer.
  • Erstellen von Ausnahmen für Regeln. Sie können z. B. eine Regel erstellen, die allen Benutzern die Ausführung aller Windows-Binärdateien mit Ausnahme des Registrierungs-Editors (regedit.exe) gestattet.
  • Verwenden des reinen Überwachungsmodus, um die Richtlinie bereitzustellen und ihre Implikationen zu verstehen, bevor sie durchgesetzt wird.
  • Erstellen von Regeln auf einem Staging Server mit anschließendem Export in Ihre Produktionsumgebung und Import in ein Gruppenrichtlinienobjekt.
  • Vereinfachen der Erstellung und Verwaltung von AppLocker-Regeln mithilfe von Windows PowerShell.

AppLocker hilft dabei den Verwaltungsaufwand und die Kosten für die Verwaltung von Computingressourcen zu verringern, indem es die Anzahl der Helpdeskanrufe reduziert, die durch die Ausführung nicht genehmigter Anwendungen begründet sind. AppLocker dient zum Umgang mit den folgenden Anwendungssicherheitsszenarien:

  • Anwendungsbestand

    AppLocker kann seine Richtlinie im reinen Überwachungsmodus durchsetzen, in dem alle Anwendungszugriffsaktivitäten in Ereignisprotokollen registriert werden. Diese Ereignisse können zur weiteren Analyse gesammelt werden. Windows PowerShell-Cmdlets helfen auch bei der programmatischen Analyse dieser Daten.

  • Schutz vor unerwünschter Software

    AppLocker kann die Ausführung von Anwendungen verhindern, wenn Sie diese aus der Liste der zugelassenen Anwendungen ausschließen. Wenn AppLocker-Regeln in der Produktionsumgebung durchgesetzt werden, werden alle Anwendungen, die nicht in den Erlaubnisregeln enthalten sind, gesperrt.

  • Einhaltung von Lizenzen

    Mit AppLocker können Sie Regeln erstellen, die die Ausführung nicht lizenzierter Software verhindern und die Verwendung lizenzierter Software auf autorisierte Benutzer beschränken.

  • Softwarestandardisierung

    AppLocker-Richtlinien können so konfiguriert werden, dass auf Computern innerhalb einer Unternehmensgruppe nur unterstützte oder genehmigte Anwendungen ausgeführt werden können. Dies ermöglicht eine einheitlichere Bereitstellung von Apps.

  • Verbesserungen der Verwaltbarkeit

    AppLocker enthält eine Reihe von Verbesserungen der Verwaltbarkeit im Vergleich zu seinem Vorläufer Software Restriction Policies (Richtlinien für Softwareeinschränkungen). Einige der Verbesserungen sind der Import und Export von Richtlinien, die automatische Generierung von Regeln aus mehreren Dateien, die Bereitstellung im reinen Überwachungsmodus sowie Windows PowerShell-Cmdlets.

Verwendung von AppLocker

In vielen Unternehmen sind Informationen die wichtigste Ressource, und es ist von entscheidender Bedeutung, dass nur genehmigte Benutzer darauf zugreifen können. Zugriffssteuerungstechnologien wie Active Directory-Rechteverwaltungsdienste (ADRMS) und Zugriffssteuerungslisten (ACLs) helfen, zu steuern, auf welche Benutzer zugreifen dürfen.

Wenn ein Benutzer einen Prozess ausgeführt, hat dieser Prozess jedoch dieselbe Zugriffsstufe zu Daten, über die auch der Benutzer verfügt. Daher können vertrauliche Informationen leicht gelöscht oder aus der Organisation gebracht werden, wenn ein Benutzer mit oder ohne Absicht schädliche Software ausführt. AppLocker kann solche Sicherheitsrisiken verringern, indem es die Zahl der Dateien einschränkt, die Benutzer oder Gruppen ausführen können. Softwareherausgeber erstellen zunehmend Apps, die von Nicht-Administratoren installiert werden können. Dies kann die schriftlich fixierte Sicherheitsrichtlinie einer Organisation in Gefahr bringen und herkömmliche App-Steuerungslösungen umgehen, die darauf basieren, dass gewöhnliche Benutzer keine Apps installieren können. Durch die Erstellung einer Liste zugelassener und genehmigter Dateien und Anwendungen verhindert AppLocker, dass solche benutzerdefinierten Anwendungen ausgeführt werden. Da AppLocker DLLs steuern kann, ist es auch nützlich für die Festlegung, wer ActiveX-Steuerelemente installieren und ausführen kann.

AppLocker ist ideal für Unternehmen, die derzeit Gruppenrichtlinien verwenden, um ihre PCs zu verwalten.

Es folgen einige Beispiele für Szenarien, in denen AppLocker eingesetzt werden kann:

  • Die Sicherheitsrichtlinie Ihrer Organisation schreibt die Verwendung lizenzierter Software vor. Sie müssen daher verhindern, dass Benutzer nicht lizenzierte Software ausführen und darüber hinaus dafür sorgen, dass die lizenzierte Software nur von autorisierten Benutzern verwendet werden kann.
  • Eine App wird von Ihrer Organisation nicht mehr unterstützt. Sie müssen daher verhindern, dass irgendjemand sie verwendet.
  • Die Gefahr, dass unerwünschte Software in Ihre Umgebung eingebracht werden kann, ist hoch, und Sie müssen diese Gefahr reduzieren.
  • Die Lizenz für eine App wurde widerrufen oder ist abgelaufen. Sie müssen daher verhindern, dass irgendjemand sie verwendet.
  • Eine neue App oder eine neue App-Version wird bereitgestellt, und Sie müssen verhindern, dass Benutzer die alte Version verwenden.
  • Bestimmte Softwaretools sind in Ihrer Organisation nicht erlaubt, oder nur bestimmte Benutzer sollten darauf zugreifen dürfen.
  • Ein einzelner Benutzer oder eine kleine Gruppe von Benutzern muss eine bestimmte App nutzen, deren Verwendung allen anderen Benutzern untersagt ist.
  • Einige Computer in Ihrer Organisation werden von Anwendern mit unterschiedlichen Softwareanforderungen genutzt, und Sie müssen bestimmte Apps schützen.
  • Zusätzlich zu anderen Maßnahmen müssen Sie den Zugriff auf sensible Daten über die App-Nutzung steuern.

AppLocker kann Ihnen dabei helfen, die digitalen Ressourcen in Ihrer Organisation zu schützen, Bedrohungen durch das Einbringen schädlicher Software in Ihre Umgebung zu reduzieren und die Verwaltung der Anwendungssteuerung und die Pflege von Anwendungssteuerungsrichtlinien zu verbessern.

Systemanforderungen

AppLocker-Richtlinien können auf Computern konfiguriert und angewendet werden, die eine der unterstützten Versionen und Editionen des Windows-Betriebssystems ausführen. Für die Verteilung von Gruppenrichtlinienobjekten, die AppLocker-Richtlinien enthalten, ist die Gruppenrichtlinienfunktion erforderlich. Weitere Informationen finden Sie unter Anforderungen für die Verwendung von AppLocker.

AppLocker-Regeln können auf Domänencontrollern erstellt werden.

Installieren von AppLocker

AppLocker ist im Lieferumfang von Enterprise-Editionen von Windows enthalten. Sie können AppLocker-Regeln für einen einzelnen Computer oder für eine Gruppe von Computern erstellen. Für einen einzelnen Computer können Sie Regeln mit dem Editor für lokale Sicherheitsrichtlinien (secpol.msc) erstellen. Für eine Gruppe von Computern können Sie die Regeln in einem Gruppenrichtlinienobjekt mithilfe der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) erstellen.

Hinweis: die GPMC steht auf Clientcomputern, auf denen Windows ausgeführt wird, nur zur Verfügung, indem die Remote Server-Verwaltungs Tools installiert werden. Auf Computern mit Windows Server müssen Sie das Feature für die Gruppenrichtlinienverwaltung installieren.

Verwendung von AppLocker auf Server Core

AppLocker wird auf Server Core-Installationen nicht unterstützt.

Überlegungen zur Virtualisierung

Sie können AppLocker-Richtlinien unter Verwendung einer virtualisierten Windows-Instanz bereitstellen, sofern diese alle oben aufgeführten Systemanforderungen erfüllt. Sie können auch eine Gruppenrichtlinie in einer virtualisierten Instanz ausführen. Dabei besteht jedoch das Risiko, dass die erstellten und gepflegten Richtlinien verloren gehen, wenn die virtualisierte Instanz entfernt wird oder ausfällt.

Sicherheitsaspekte

Anwendungssteuerungsrichtlinien legen fest, welche Apps auf dem lokalen Computer ausgeführt werden können.

Die verschiedenen Formen schädlicher Software machen es Benutzern nicht leicht zu wissen, welche Anwendungen sicher ausgeführt werden können. Wenn schädliche Software aktiviert wird, kann sie Inhalte auf einer Festplatte beschädigen, ein Netzwerk mit Anfragen überlasten (DoS-Angriffe), vertrauliche Informationen im Internet zugänglich machen oder die Sicherheit eines Computers gefährden.

Die Gegenmaßnahme besteht darin, eine gute Grundlage für Ihre Anwendungssteuerungsrichtlinien auf den PCs Ihrer Organisation zu schaffen und diese Richtlinien dann in einer Testumgebung gründlich zu prüfen, bevor sie in der Produktionsumgebung eingesetzt werden. AppLocker kann ein Teil Ihrer Anwendungssteuerungsstrategie sein, da Sie damit festlegen können, welche Software auf Ihren Computern ausgeführt werden kann.

Eine fehlerhafte Implementierung einer Anwendungssteuerungsrichtlinie kann benötigte Anwendungen unbrauchbar machen oder dazu führen, dass schädliche oder unerwünschte Software ausgeführt wird. Daher ist es wichtig, dass Organisationen ausreichend Ressourcen bereitstellen, um die Implementierung solcher Richtlinien zu verwalten und dabei auftretende Fehler zu beheben.

Weitere Informationen zu bestimmten Sicherheitsproblemen finden Sie unter Sicherheitsaspekte für AppLocker.

Wenn Sie AppLocker zur Erstellung von Anwendungssteuerungsrichtlinien verwenden, sollten Sie sich der folgenden Sicherheitsaspekte bewusst sein:

  • Wer hat das Recht, AppLocker-Richtlinien einzurichten?
  • Wie prüfen Sie, ob die Richtlinien durchgesetzt werden?
  • Welche Ereignisse sollten überwacht werden?

Zur Referenz für Ihre Planung identifiziert die folgende Tabelle die grundlegenden Einstellungen für einen PC, auf dem AppLocker installiert ist:

Einstellung Standardwert
Erstellte Konten Keine
Authentifizierungsmethode Nicht anwendbar
Verwaltungsschnittstellen AppLocker kann mithilfe eines Microsoft Management Console-Snap-ins, der Gruppenrichtlinienverwaltung oder Windows PowerShell verwaltet werden.
Geöffnete Ports Keine
Erforderliche Mindestberechtigungen Administrator auf dem lokalen Computer, Domänenadministrator oder jeder Satz von Berechtigungen, der Ihnen ermöglicht, Gruppenrichtlinienobjekte zu erstellen, zu bearbeiten und zu verteilen.
Verwendete Protokolle Nicht anwendbar
Geplante Aufgaben Appidpolicyconverter.exe wird in eine bei Bedarf auszuführende geplante Aufgabe eingefügt.
Sicherheitsrichtlinien Keine erforderlich. AppLocker erstellt Sicherheitsrichtlinien.
Erforderliche Systemdienste Anwendungsidentitätsdienst (appidsvc) unter LocalServiceAndNoImpersonation.
Speicherung der Anmeldeinformationen None

Inhalt dieses Abschnitts

Thema Beschreibung
Verwalten von AppLocker Dieses Thema für IT-Experten bietet Links zu bestimmten Verfahren für die Verwaltung von AppLocker-Richtlinien.
AppLocker-Designanleitung Dieses Thema für IT-Spezialisten veranschaulicht die Entwurfs- und Planungsschritte für die Bereitstellung von Anwendungssteuerungsrichtlinien mit AppLocker.
AppLocker-Bereitstellungsanleitung In diesem Thema für IT-Experten werden die Konzepte für die Bereitstellung von AppLocker-Richtlinien vorgestellt und die dafür erforderlichen Schritte beschrieben.
Technische Referenz zu AppLocker Dieses Übersichtsthema für IT-Experten enthält Links zu den Themen in der technischen Referenz.