Was ist AppLocker?

Betrifft:

  • Windows 10
  • Windows 11
  • Windows Server 2016 und höher

Hinweis

Einige Funktionen von Windows Defender Anwendungssteuerung sind nur in bestimmten Windows-Versionen verfügbar. Erfahren Sie mehr über die Verfügbarkeit der Windows Defender Anwendungssteuerungsfeature.

In diesem Thema für IT-Experten wird beschrieben, was AppLocker ist und wie sich seine Features von den Richtlinien für Softwareeinschränkung unterscheiden.

AppLocker verbessert die Features und Funktionen von Softwareeinschränkungsrichtlinien für die App-Steuerung. AppLocker enthält neue Funktionen und Erweiterungen, mit denen Sie Regeln erstellen können, um die Ausführung von Apps basierend auf eindeutigen Identitäten von Dateien zuzulassen oder zu verweigern und anzugeben, welche Benutzer oder Gruppen diese Apps ausführen können.

Mit AppLocker haben Sie folgende Möglichkeiten:

  • Steuern Sie die folgenden Arten von Apps: ausführbare Dateien (.exe und COM), Skripts (.js, .ps1, VBS, CMD und .bat), Windows Installer-Dateien (MST, .msi und MSP) und DLL-Dateien (.dll und OCX) sowie verpackte Apps und App-Installer (appx).
  • Definieren Sie Regeln basierend auf den von der digitalen Signatur abgeleiteten Dateiattributen, einschließlich Herausgeber, Produktname, Dateiname und Dateiversion. Sie können beispielsweise Regeln basierend auf dem Herausgeberattribut erstellen, das durch Updates beständig ist, oder Sie können Regeln für eine bestimmte Version einer Datei erstellen.
  • Zuweisen einer Regel zu einer Sicherheitsgruppe oder einem einzelnen Benutzer.
  • Erstellen von Ausnahmen für Regeln. Sie können z. B. eine Regel erstellen, mit der alle Windows Prozesse mit Ausnahme des Registrierungs-Editors (Regedit.exe) ausgeführt werden können.
  • Verwenden des reinen Überwachungsmodus, um die Richtlinie bereitzustellen und ihre Implikationen zu verstehen, bevor sie durchgesetzt wird.
  • Import- und Exportregeln. Der Import und Export wirkt sich auf die gesamte Richtlinie aus. Wenn Sie beispielsweise eine Richtlinie exportieren, werden alle Regeln aus allen Regelsammlungen exportiert, einschließlich der Erzwingungseinstellungen für die Regelsammlungen. Wenn Sie eine Richtlinie importieren, werden alle Kriterien in der vorhandenen Richtlinie überschrieben.
  • Optimieren Sie das Erstellen und Verwalten von AppLocker-Regeln mithilfe Windows PowerShell Cmdlets.

AppLocker trägt dazu bei, den Verwaltungsaufwand zu reduzieren und die Kosten der Organisation für die Verwaltung von Computerressourcen zu reduzieren, indem die Anzahl der Helpdesk-Anrufe verringert wird, die durch Benutzer verursacht werden, die nicht genehmigte Apps ausführen.

Informationen zu den Anwendungssteuerungsszenarien, die Von AppLocker behandelt werden, finden Sie unter AppLocker-Richtlinienverwendungsszenarien.

Welche Features unterscheiden sich zwischen Softwareeinschränkungsrichtlinien und AppLocker?

Featureunterschiede

In der folgenden Tabelle wird AppLocker mit Richtlinien für Softwareeinschränkungen verglichen.

Feature Richtlinien für die Softwareeinschränkung AppLocker
Regelbereich Alle Benutzer Bestimmter Benutzer oder eine bestimmte Gruppe
Bereitgestellte Regelbedingungen Dateihash, Pfad, Zertifikat, Registrierungspfad und Internetzone Dateihash, Pfad und Herausgeber
Bereitgestellte Regeltypen Definiert durch die Sicherheitsebenen:
  • Disallowed
  • Standardbenutzer
  • Uneingeschränkt
  • Zulassen und Verweigern
    Standardregelaktion Uneingeschränkt Implizites Verweigern
    Schreibgeschützter Überwachungsmodus Nein Ja
    Assistent zum Erstellen mehrerer Regeln gleichzeitig Nein Ja
    Importieren oder Exportieren von Richtlinien Nein Ja
    Rule-Auflistung Nein Ja
    Windows PowerShell-Unterstützung Nein Ja
    Benutzerdefinierte Fehlermeldungen Nein Ja

    Unterschiede bei der Anwendungssteuerungsfunktion

    In der folgenden Tabelle werden die Anwendungssteuerungsfunktionen von Softwareeinschränkungsrichtlinien (Software Restriction Policies, SRP) und AppLocker verglichen.

    Anwendungssteuerungsfunktion SRP AppLocker
    Betriebssystembereich SRP-Richtlinien können auf alle Windows Betriebssysteme angewendet werden, beginnend mit Windows XP und Windows Server 2003. AppLocker-Richtlinien gelten nur für die unterstützten Betriebssystemversionen und Editionen, die in den Anforderungen für die Verwendung von AppLockeraufgeführt sind. Diese Systeme können jedoch auch SRP verwenden.
    Hinweis: Verwenden Sie unterschiedliche GPOs für SRP- und AppLocker-Regeln.
    Benutzerunterstützung Mit SRP können Benutzer Anwendungen als Administrator installieren. AppLocker-Richtlinien werden über Gruppenrichtlinien verwaltet, und nur der Administrator des Geräts kann eine AppLocker-Richtlinie aktualisieren.

    AppLocker ermöglicht das Anpassen von Fehlermeldungen, um Benutzer zur Hilfe zu einer Webseite zu leiten.

    Richtlinienwartung SRP-Richtlinien werden mithilfe des Snap-Ins für lokale Sicherheitsrichtlinien oder der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) aktualisiert. AppLocker-Richtlinien werden mithilfe des Snap-Ins für lokale Sicherheitsrichtlinien oder der Gruppenrichtlinien-Verwaltungskonsole aktualisiert.

    AppLocker unterstützt einen kleinen Satz von PowerShell-Cmdlets, um die Verwaltung und Wartung zu unterstützen.

    Richtlinienverwaltungsinfrastruktur Zum Verwalten von SRP-Richtlinien verwendet SRP Gruppenrichtlinien innerhalb einer Domäne und das Snap-In "Lokale Sicherheitsrichtlinie" für einen lokalen Computer. Zum Verwalten von AppLocker-Richtlinien verwendet AppLocker Gruppenrichtlinien innerhalb einer Domäne und das Snap-In "Lokale Sicherheitsrichtlinie" für einen lokalen Computer.
    Blockieren bösartiger Skripts Regeln zum Blockieren bösartiger Skripts verhindern, dass alle Skripts, die dem Windows Script Host zugeordnet sind, ausgeführt werden, mit Ausnahme derjenigen, die von Ihrer Organisation digital signiert sind. AppLocker-Regeln können die folgenden Dateiformate steuern: .ps1, .bat, CMD, VBS und .js. Darüber hinaus können Sie Ausnahmen festlegen, um die Ausführung bestimmter Dateien zuzulassen.
    Verwalten der Softwareinstallation SRP kann verhindern, dass alle Windows Installer-Pakete installiert werden. Dadurch können .msi Dateien installiert werden, die von Ihrer Organisation digital signiert sind. Bei der Windows Installer-Regelsammlung handelt es sich um eine Reihe von Regeln, die für Windows Installer-Dateitypen (MST, .msi und MSP) erstellt wurden, damit Sie die Installation von Dateien auf Clientcomputern und -servern steuern können.
    Verwalten der gesamten Software auf dem Computer Die gesamte Software wird in einem Regelsatz verwaltet. Standardmäßig verbietet die Richtlinie für die Verwaltung der gesamten Software auf einem Gerät die gesamte Software auf dem Gerät des Benutzers, mit Ausnahme von Software, die im ordner Windows, im Ordner "Programmdateien" oder in den Unterordnern installiert ist. Im Gegensatz zu SRP fungiert jede AppLocker-Regelsammlung als liste zulässiger Dateien. Nur die Dateien, die in der Regelsammlung aufgeführt sind, dürfen ausgeführt werden. Diese Konfiguration erleichtert Administratoren das Bestimmen, was bei der Anwendung einer AppLocker-Regel geschieht.
    Unterschiedliche Richtlinien für unterschiedliche Benutzer Regeln werden einheitlich auf alle Benutzer auf einem bestimmten Gerät angewendet. Auf einem Gerät, das von mehreren Benutzern gemeinsam genutzt wird, kann ein Administrator die Benutzergruppen angeben, die auf die installierte Software zugreifen können. Mit AppLocker kann ein Administrator den Benutzer angeben, auf den eine bestimmte Regel angewendet werden soll.

    Verwandte Themen