Testen und Aktualisieren einer AppLocker-Richtlinie
In diesem Artikel werden die schritte erläutert, die zum Testen einer AppLocker-Richtlinie vor der Bereitstellung erforderlich sind.
Sie sollten jeden Satz von Regeln testen, um sicherzustellen, dass die Regeln wie beabsichtigt funktionieren. Wenn Sie Gruppenrichtlinie verwenden, um AppLocker-Richtlinien zu verwalten, führen Sie die folgenden Schritte für jedes Gruppenrichtlinie Object (GPO) aus, das AppLocker-Regeln enthält. Da AppLocker-Regeln von verknüpften Gruppenrichtlinienobjekten geerbt werden, sollten Sie alle Regeln für das gleichzeitige Testen in allen Test-GPOs bereitstellen.
Schritt 1: Aktivieren der Erzwingungseinstellung "Nur überwachen"
Verwenden Sie die Einstellung Erzwingungsmodus überwachen, um zu überprüfen, ob Ihre AppLocker-Regeln für Ihre organization ordnungsgemäß konfiguriert sind, ohne Code zu blockieren. Diese Einstellung kann auf der Registerkarte Erzwingung des Dialogfelds AppLocker-Eigenschaften aktiviert werden. Informationen zum Verfahren für diese Konfiguration finden Sie unter Konfigurieren einer AppLocker-Richtlinie nur für die Überwachung.
Schritt 2: Konfigurieren des Anwendungsidentitätsdiensts für den automatischen Start
Da AppLocker den Anwendungsidentitätsdienst verwendet, um die Attribute einer Datei zu überprüfen, müssen Sie sie so konfigurieren, dass sie automatisch in einem GPO gestartet wird, das AppLocker-Regeln anwendet. Weitere Informationen finden Sie unter Konfigurieren des Anwendungsidentitätsdiensts. Wenn Sie Ihre AppLocker-Richtlinien nicht mithilfe eines Gruppenrichtlinienobjekts bereitstellen, müssen Sie sicherstellen, dass der Dienst auf jedem PC ausgeführt wird, damit die Richtlinien angewendet werden.
Schritt 3: Testen der Richtlinie
Testen Sie die AppLocker-Richtlinie, um festzustellen, ob Ihre Regelsammlung geändert werden muss. Ihre AppLocker-Richtlinie sollte im Überwachungsmodus nur auf allen Client-PCs aktiv sein, die für den Empfang Ihrer AppLocker-Richtlinie konfiguriert sind.
Das Cmdlet Test-AppLockerPolicy Windows PowerShell kann verwendet werden, um zu bestimmen, ob code, der auf Ihren Referenz-PCs ausgeführt wird, durch die Regeln in Ihrer Regelsammlung blockiert wird. Informationen zum Verfahren für diesen Test finden Sie unter Testen einer AppLocker-Richtlinie mithilfe von Test-AppLockerPolicy.
Schritt 4: Analysieren von AppLocker-Ereignissen
Sie können AppLocker-Ereignisse entweder manuell analysieren oder das Cmdlet Get-AppLockerFileInformation Windows PowerShell verwenden, um die Analyse zu automatisieren.
So analysieren Sie AppLocker-Ereignisse manuell
Verwenden Sie Ereignisanzeige oder einen Text-Editor, um Ihre AppLocker-Ereignisse zur Analyse anzuzeigen und zu sortieren. Sie können nach Mustern in Anwendungsnutzungsereignissen, Zugriffshäufigkeiten oder dem Zugriff durch Benutzergruppen suchen. Wenn Sie kein Ereignisabonnement konfiguriert haben, können Sie die Protokolle auf einer Stichprobe von Computern in Ihrem organization überprüfen. Weitere Informationen zur Verwendung von Ereignisanzeige finden Sie unter Überwachen der Anwendungsnutzung mit AppLocker.
So analysieren Sie AppLocker-Ereignisse mithilfe von Get-AppLockerFileInformation
Sie können das Cmdlet Get-AppLockerFileInformation Windows PowerShell verwenden, um AppLocker-Ereignisse von einem Remotecomputer aus zu analysieren. Wenn eine App blockiert wird und zugelassen werden soll, können Sie die AppLocker-Cmdlets verwenden, um das Problem zu beheben.
Sowohl für Ereignisabonnements als auch für lokale Ereignisse können Sie das Cmdlet Get-AppLockerFileInformation verwenden, um zu bestimmen, welche Dateien von Ihrer Richtlinie nicht zugelassen wurden und wie oft das Ereignis für jede Datei aufgetreten ist. Informationen zum Verfahren für diese Überwachung finden Sie unter Überwachen der Anwendungsnutzung mit AppLocker.
Als Nächstes sollten Sie Ihre Regelliste überprüfen, um zu ermitteln, ob eine neue Regel für die blockierte Datei erstellt werden soll oder ob eine vorhandene Regel zu streng definiert ist. Überprüfen Sie, welches Gruppenrichtlinienobjekt derzeit die Ausführung der Datei verhindert. Um dieses Blocker-GPO zu bestimmen, können Sie den Gruppenrichtlinie-Ergebnis-Assistenten verwenden, um Regelnamen anzuzeigen.
Schritt 5: Ändern der AppLocker-Richtlinie
Sobald Sie wissen, welche Regeln Sie bearbeiten oder der Richtlinie hinzufügen möchten, verwenden Sie die Gruppenrichtlinie Management Console, um die AppLocker-Regeln in den relevanten Gruppenrichtlinienobjekten zu ändern. Wenn Sie Ihre AppLocker-Richtlinien nicht durch ein Gruppenrichtlinienobjekt verwalten, können Sie das Snap-In "Lokale Sicherheitsrichtlinie" (secpol.msc) verwenden. Informationen zum Ändern einer AppLocker-Richtlinie finden Sie unter Bearbeiten einer AppLocker-Richtlinie.
Schritt 6: Wiederholen von Richtlinientests, Analysen und Richtlinienänderungen
Wiederholen Sie die vorherigen Schritte 3 bis 5, bis alle Regeln wie beabsichtigt ausgeführt werden, bevor Sie die Erzwingung anwenden.
Weitere Ressourcen
- Schritte zum Ausführen anderer AppLocker-Richtlinienaufgaben finden Sie unter Verwalten von AppLocker.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für