AppLocker
Dieser Artikel enthält eine Beschreibung von AppLocker und kann Ihnen bei der Entscheidung helfen, ob Ihre organization von der Bereitstellung von AppLocker-Richtlinien profitieren kann. Mit AppLocker können Sie steuern, welche Anwendungen und Dateien Benutzer ausführen können. Dazu gehören ausführbare Dateien, Skripts, Windows Installer-Dateien, Dynamic Link Libraries (DLL-Dateien) App-Pakete und App-Installer-Pakete. AppLocker wird auch von einigen Features von App Control for Business verwendet.
Hinweis
AppLocker ist ein sicherheitsrelevantes Sicherheitsfeature, das nicht als vertretbares Windows-Sicherheitsfeature angesehen wird. App Control for Business sollte verwendet werden, wenn das Ziel darin besteht, einen robusten Schutz vor einer Bedrohung bereitzustellen, und es wird erwartet, dass es keine entwurfsbedingten Einschränkungen gibt, die das Sicherheitsfeature daran hindern würden, dieses Ziel zu erreichen.
Hinweis
Standardmäßig gilt die AppLocker-Richtlinie nur für Code, der im Kontext eines Benutzers gestartet wird. Auf Windows 10, Windows 11 und Windows Server 2016 oder höher können Sie die AppLocker-Richtlinie auf Nichtbenutzerprozesse anwenden, einschließlich der prozesse, die als SYSTEM ausgeführt werden. Weitere Informationen finden Sie unter AppLocker-Regelsammlungserweiterungen.
AppLocker kann Ihnen bei folgenden Aktivitäten helfen:
- Definieren von Regeln auf der Grundlage von Dateiattributen, die über App-Aktualisierungen hinweg erhalten bleiben, wie etwa des Namens des Herausgebers (abgeleitet aus der digitalen Signatur), des Produktnamens, des Dateinamens oder der Dateiversion. Sie können auch Regeln basierend auf dem Dateipfad und dem Hash erstellen.
- Zuweisen einer Regel zu einer Sicherheitsgruppe oder einem einzelnen Benutzer.
- Erstellen von Ausnahmen für Regeln. Sie können z. B. eine Regel erstellen, die allen Benutzern die Ausführung aller Windows-Binärdateien mit Ausnahme des Registrierungs-Editors (regedit.exe) gestattet.
- Verwenden Sie den reinen Überwachungsmodus, um die Richtlinie bereitzustellen und ihre Auswirkungen zu verstehen, bevor Sie sie erzwingen.
- Erstellen von Regeln auf einem Staging Server mit anschließendem Export in Ihre Produktionsumgebung und Import in ein Gruppenrichtlinienobjekt.
- Erstellen und verwalten Sie AppLocker-Regeln mithilfe von Windows PowerShell.
AppLocker verhindert, dass Benutzer nicht genehmigte Apps ausführen. AppLocker behandelt die folgenden App-Steuerungsszenarien:
- Anwendungsbestand: AppLocker hat die Möglichkeit, die Richtlinie in einem reinen Überwachungsmodus anzuwenden, in dem alle App-Startaktivitäten zulässig, aber in Ereignisprotokollen registriert sind. Diese Ereignisse können zur weiteren Analyse gesammelt werden. Windows PowerShell-Cmdlets helfen auch bei der programmatischen Analyse dieser Daten.
- Schutz vor unerwünschter Software: AppLocker hat die Möglichkeit, die Ausführung von Apps zu verweigern, wenn Sie sie aus der Liste der zulässigen Apps ausschließen. Wenn AppLocker-Regeln in der Produktionsumgebung erzwungen werden, wird die Ausführung aller Apps, die nicht in den zulässigen Regeln enthalten sind, blockiert.
- Lizenzierungskonformität: AppLocker kann Ihnen helfen, Regeln zu erstellen, die die Ausführung nicht lizenzierter Software ausschließen und lizenzierte Software auf autorisierte Benutzer beschränken.
- Softwarestandardisierung: AppLocker-Richtlinien können so konfiguriert werden, dass nur unterstützte oder genehmigte Apps auf Computern innerhalb einer Unternehmensgruppe ausgeführt werden können. Diese Konfiguration ermöglicht eine einheitlichere App-Bereitstellung.
Verwendung von AppLocker
In vielen Unternehmen sind Informationen die wichtigste Ressource, und es ist von entscheidender Bedeutung, dass nur genehmigte Benutzer darauf zugreifen können. Zugriffssteuerungstechnologien wie Active Directory Rights Management Services (AD RMS) und Zugriffssteuerungslisten (ACLs) helfen dabei, zu steuern, welche Benutzer Zugang zu diesen Informationen haben.
Wenn ein Benutzer einen Prozess ausgeführt, hat dieser Prozess jedoch dieselbe Zugriffsstufe zu Daten, über die auch der Benutzer verfügt. Daher können vertrauliche Informationen leicht gelöscht oder aus dem organization übertragen werden, wenn ein Benutzer nicht autorisierte Software, einschließlich Schadsoftware, ausführt. AppLocker hilft, diese Arten von Sicherheitsproblemen zu beheben, indem die Dateien eingeschränkt werden, die Benutzer oder Gruppen ausführen dürfen. Da AppLocker DLLs und Skripts steuern kann, ist es auch nützlich, zu steuern, wer ActiveX-Steuerelemente installieren und ausführen kann.
AppLocker ist ideal für Unternehmen, die derzeit Gruppenrichtlinien verwenden, um ihre PCs zu verwalten.
Es folgen einige Beispiele für Szenarien, in denen AppLocker eingesetzt werden kann:
- Die Sicherheitsrichtlinie Ihrer Organisation schreibt die Verwendung lizenzierter Software vor. Sie müssen daher verhindern, dass Benutzer nicht lizenzierte Software ausführen und darüber hinaus dafür sorgen, dass die lizenzierte Software nur von autorisierten Benutzern verwendet werden kann.
- Eine App wird von Ihrer Organisation nicht mehr unterstützt. Sie müssen daher verhindern, dass irgendjemand sie verwendet.
- Die Gefahr, dass unerwünschte Software in Ihre Umgebung eingebracht werden kann, ist hoch, und Sie müssen diese Gefahr reduzieren.
- Die Lizenz für eine App ist in Ihrem organization widerrufen oder abgelaufen, sodass Sie verhindern müssen, dass sie von allen Benutzern verwendet wird.
- Eine neue App oder eine neue App-Version wird bereitgestellt, und Sie müssen verhindern, dass Benutzer die alte Version verwenden.
- Bestimmte Softwaretools sind innerhalb der organization nicht zulässig, oder nur bestimmte Benutzer sollten Zugriff auf diese Tools haben.
- Ein einzelner Benutzer oder eine kleine Gruppe von Benutzern muss eine bestimmte App nutzen, deren Verwendung allen anderen Benutzern untersagt ist.
- Einige Personen in Ihrem organization, die unterschiedliche Software benötigen, teilen sich einen Computer, und Sie müssen bestimmte Apps schützen.
- Zusätzlich zu anderen Maßnahmen müssen Sie den Zugriff auf sensible Daten über die App-Nutzung steuern.
AppLocker kann Ihnen dabei helfen, die digitalen Ressourcen in Ihrer Organisation zu schützen, Bedrohungen durch das Einbringen schädlicher Software in Ihre Umgebung zu reduzieren und die Verwaltung der Anwendungssteuerung und die Pflege von Anwendungssteuerungsrichtlinien zu verbessern.
Installieren von AppLocker
AppLocker ist in allen Editionen von Windows mit Ausnahme von Windows 10 Version 1809 oder früher enthalten. Sie können AppLocker-Regeln für einen einzelnen Computer oder für eine Gruppe von Computern erstellen. Für einen einzelnen Computer können Sie Regeln mit dem Editor für lokale Sicherheitsrichtlinien (secpol.msc) erstellen. Für eine Gruppe von Computern können Sie die Regeln in einem Gruppenrichtlinienobjekt mithilfe der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) erstellen.
Hinweis
GpMC ist nur auf Clientcomputern unter Windows verfügbar, indem die Remoteserver-Verwaltungstools installiert werden. Auf Computern mit Windows Server müssen Sie das Feature für die Gruppenrichtlinienverwaltung installieren.
Verwendung von AppLocker auf Server Core
AppLocker auf Server Core-Installationen wird nicht unterstützt.
Überlegungen zur Virtualisierung
Sie können AppLocker-Richtlinien unter Verwendung einer virtualisierten Windows-Instanz bereitstellen, sofern diese alle oben aufgeführten Systemanforderungen erfüllt. Sie können auch eine Gruppenrichtlinie in einer virtualisierten Instanz ausführen. Sie laufen jedoch gefahr, die Richtlinien zu verlieren, die Sie erstellen und verwalten, wenn die virtualisierte instance entfernt wird oder fehlschlägt.
Sicherheitsaspekte
Anwendungssteuerungsrichtlinien legen fest, welche Apps auf dem lokalen Computer ausgeführt werden können. Die verschiedenen Formen schädlicher Software machen es Benutzern nicht leicht zu wissen, welche Anwendungen sicher ausgeführt werden können. Wenn schädliche Software aktiviert wird, kann sie Inhalte auf einer Festplatte beschädigen, ein Netzwerk mit Anfragen überlasten (DoS-Angriffe), vertrauliche Informationen im Internet zugänglich machen oder die Sicherheit eines Computers gefährden.
Die Gegenmaßnahme besteht darin, ein solides Design für Ihre Anwendungssteuerungsrichtlinien auf PCs in Ihrem organization zu erstellen. AppLocker kann ein Teil Ihrer Anwendungssteuerungsstrategie sein, da Sie damit festlegen können, welche Software auf Ihren Computern ausgeführt werden kann.
Eine fehlerhafte Implementierung einer Anwendungssteuerungsrichtlinie kann benötigte Anwendungen unbrauchbar machen oder dazu führen, dass schädliche oder unerwünschte Software ausgeführt wird. Sie sollten die Richtlinien in einer Labumgebung gründlich testen, bevor Sie sie in der Produktion bereitstellen. Es ist auch wichtig, dass Organisationen genügend Ressourcen für die Verwaltung und Problembehandlung bei der Implementierung solcher Richtlinien bereitstellen.
Weitere Informationen zu bestimmten Sicherheitsproblemen finden Sie unter Sicherheitsüberlegungen für AppLocker. Wenn Sie AppLocker zur Erstellung von Anwendungssteuerungsrichtlinien verwenden, sollten Sie sich der folgenden Sicherheitsaspekte bewusst sein:
- Wer hat das Recht, AppLocker-Richtlinien einzurichten?
- Wie prüfen Sie, ob die Richtlinien durchgesetzt werden?
- Welche Ereignisse sollten überwacht werden?
Zur Referenz für Ihre Planung identifiziert die folgende Tabelle die grundlegenden Einstellungen für einen PC, auf dem AppLocker installiert ist:
Einstellung | Standardwert |
---|---|
Erstellte Konten | Keine |
Authentifizierungsmethode | Nicht anwendbar |
Verwaltungsschnittstellen | AppLocker kann mithilfe eines Microsoft Management Console-Snap-ins, der Gruppenrichtlinienverwaltung oder Windows PowerShell verwaltet werden. |
Geöffnete Ports | Keine |
Erforderliche Mindestberechtigungen | Administrator auf dem lokalen Computer, Domänenadministrator oder jeder Satz von Berechtigungen, der Ihnen ermöglicht, Gruppenrichtlinienobjekte zu erstellen, zu bearbeiten und zu verteilen. |
Verwendete Protokolle | Nicht anwendbar |
Geplante Aufgaben | Appidpolicyconverter.exe wird in eine bei Bedarf auszuführende geplante Aufgabe eingefügt. |
Sicherheitsrichtlinien | Keine erforderlich. AppLocker erstellt Sicherheitsrichtlinien. |
Erforderliche Systemdienste | Anwendungsidentitätsdienst (appidsvc) unter LocalServiceAndNoImpersonation. |
Speicherung der Anmeldeinformationen | None |
Inhalt dieses Abschnitts
Artikel | Beschreibung |
---|---|
Verwalten von AppLocker | Dieser Artikel für IT-Experten enthält Links zu bestimmten Verfahren, die beim Verwalten von AppLocker-Richtlinien verwendet werden sollen. |
AppLocker-Designanleitung | In diesem Artikel für IT-Experten werden die Entwurfs- und Planungsschritte vorgestellt, die zum Bereitstellen von Anwendungssteuerungsrichtlinien mithilfe von AppLocker erforderlich sind. |
AppLocker-Bereitstellungsanleitung | In diesem Artikel für IT-Experten werden die Konzepte vorgestellt und die Schritte beschrieben, die zum Bereitstellen von AppLocker-Richtlinien erforderlich sind. |
Technische Referenz zu AppLocker | Dieser Übersichtsartikel für IT-Experten enthält Links zu den Artikeln in der technischen Referenz. |