Verwalten von AppLocker-Richtlinien

• Gilt für::

  ✅ Windows 11, ✅ Windows 10

In diesem Artikel wird beschrieben, wie Regeln innerhalb von AppLocker-Richtlinien verwaltet werden.

Zu den gängigen AppLocker-Wartungsszenarien gehören:

• Eine neue App wird bereitgestellt, und Sie müssen eine AppLocker-Richtlinie aktualisieren.
• Eine neue Version einer App wird bereitgestellt, und Sie müssen entweder eine AppLocker-Richtlinie aktualisieren oder eine neue Regel erstellen, um die Richtlinie zu aktualisieren.
• Eine App wird von Ihrem organization nicht mehr unterstützt, sodass Sie verhindern müssen, dass sie verwendet wird.
• Eine App scheint blockiert zu sein, sollte aber zugelassen werden.
• Eine App scheint zulässig zu sein, sollte aber blockiert werden.
• Ein einzelner Benutzer oder eine kleine Teilmenge von Benutzern muss eine bestimmte App verwenden, die blockiert ist.

Es gibt drei Methoden, mit denen Sie AppLocker-Richtlinien verwalten können:

• Verwalten von AppLocker-Richtlinien mithilfe von Mobile Geräteverwaltung (MDM)
• Verwalten von AppLocker-Richtlinien mithilfe von Gruppenrichtlinie
• Verwalten von AppLocker-Richtlinien auf dem lokalen Computer

Verwalten von AppLocker-Richtlinien mithilfe von Mobile Geräteverwaltung (MDM)

Mithilfe des AppLocker-Konfigurationsdienstanbieters können Sie auswählen, welche Apps für die Ausführung zugelassen oder blockiert werden dürfen. Mithilfe des CSP können Sie App-Einschränkungen basierend auf der Gruppierung (z. B. EXE, MSI, DLL, Store-Apps usw.) konfigurieren und dann auswählen, wie unterschiedliche Richtlinien für verschiedene Apps erzwungen werden sollen.

Weitere Informationen finden Sie unter AppLocker CSP.

Verwalten von AppLocker-Richtlinien mithilfe von Gruppenrichtlinie

Für jedes Szenario umfassen die Schritte zum Verwalten einer von Gruppenrichtlinie verteilten AppLocker-Richtlinie die folgenden Aufgaben.

Wenn neue Apps bereitgestellt und vorhandene Apps aktualisiert oder eingestellt werden, müssen Sie möglicherweise die Regeln im Gruppenrichtlinie Object (GPO) aktualisieren, um Ihre Richtlinie auf dem neuesten Stand zu halten.

Sie können eine AppLocker-Richtlinie bearbeiten, indem Sie Regeln hinzufügen, ändern oder entfernen. Sie können jedoch keine Version für die AppLocker-Richtlinie angeben, indem Sie weitere Regeln importieren. Um die Versionskontrolle beim Ändern einer AppLocker-Richtlinie sicherzustellen, verwenden Sie Gruppenrichtlinie Verwaltungssoftware, mit der Sie Versionen von Gruppenrichtlinienobjekten erstellen können.

Wichtig

Sie sollten das Bearbeiten einer AppLocker-Regelsammlung vermeiden, während sie in Gruppenrichtlinie erzwungen wird. Da AppLocker steuert, welche Dateien ausgeführt werden dürfen, kann das Ändern einer Liverichtlinie zu unerwartetem Verhalten führen.

Schritt 1: Grundlegendes zum aktuellen Verhalten der Richtlinie aus dem Gruppenrichtlinienobjekt

Bevor Sie eine Richtlinie ändern, bewerten Sie, wie die Richtlinie derzeit implementiert ist. Wenn beispielsweise eine neue Version der Anwendung bereitgestellt wird, können Sie test-AppLockerPolicy verwenden, um die Wirksamkeit Ihrer aktuellen Richtlinie für diese App zu überprüfen.

Schritt 2: Exportieren der AppLocker-Richtlinie aus dem Gruppenrichtlinienobjekt

Das Aktualisieren einer AppLocker-Richtlinie, die derzeit in Ihrer Produktionsumgebung erzwungen wird, kann zu unbeabsichtigten Ergebnissen führen. Exportieren Sie daher die Richtlinie aus dem Gruppenrichtlinienobjekt, und aktualisieren Sie die Regel bzw. die Regeln mithilfe von AppLocker auf Ihrem AppLocker-Referenz- oder Testcomputer. Informationen zum Vorbereiten einer AppLocker-Richtlinie für die Änderung finden Sie unter Exportieren einer AppLocker-Richtlinie aus einem GPO.

Schritt 3: Aktualisieren der AppLocker-Richtlinie durch Bearbeiten der entsprechenden AppLocker-Regel

Nachdem Sie die AppLocker-Richtlinie aus dem Gruppenrichtlinienobjekt in den AppLocker-Referenz- oder Testcomputer exportiert oder auf die Richtlinie auf dem lokalen Computer zugegriffen haben, können die Regeln nach Bedarf geändert werden.

Informationen zum Ändern von AppLocker-Regeln finden Sie in den folgenden Artikeln:

• Bearbeiten von AppLocker-Regeln
• Zusammenführen von AppLocker-Richtlinien mithilfe von Set-ApplockerPolicy oder Manuelles Zusammenführen von AppLocker-Richtlinien
• Löschen einer AppLocker-Regel
• Erzwingen von AppLocker-Regeln

Schritt 4: Testen der AppLocker-Richtlinie

Sie sollten jede Sammlung von Regeln testen, um sicherzustellen, dass die Regeln wie beabsichtigt funktionieren. (Da AppLocker-Regeln von verknüpften Gruppenrichtlinienobjekten geerbt werden, sollten Sie alle Regeln für das gleichzeitige Testen in allen Test-GPOs bereitstellen.) Die Schritte zum Ausführen dieser Tests finden Sie unter Testen und Aktualisieren einer AppLocker-Richtlinie.

Schritt 5: Importieren der AppLocker-Richtlinie in das Gruppenrichtlinienobjekt

Importieren Sie nach dem Testen die AppLocker-Richtlinie zur Implementierung wieder in das Gruppenrichtlinienobjekt. Informationen zum Aktualisieren des Gruppenrichtlinienobjekts mit einer geänderten AppLocker-Richtlinie finden Sie unter Importieren einer AppLocker-Richtlinie in ein Gruppenrichtlinienobjekt.

Schritt 6: Überwachen des resultierenden Richtlinienverhaltens

Bewerten Sie nach der Bereitstellung einer Richtlinie die Effektivität der Richtlinie.

Verwalten von AppLocker-Richtlinien mithilfe des Snap-Ins "Lokale Sicherheitsrichtlinie"

Für jedes Szenario umfassen die Schritte zum Verwalten einer AppLocker-Richtlinie mithilfe des Snap-Ins "Lokale Gruppenrichtlinie Editor" oder "Lokale Sicherheitsrichtlinie" die folgenden Aufgaben.

Schritt 1: Grundlegendes zum aktuellen Verhalten der Richtlinie

Bevor Sie eine Richtlinie ändern, bewerten Sie, wie die Richtlinie derzeit implementiert ist.

Schritt 2: Aktualisieren der AppLocker-Richtlinie durch Ändern der entsprechenden AppLocker-Regel

Regeln werden in einer Sammlung gruppiert, auf die die Richtlinienerzwingungseinstellung angewendet werden kann. Standardmäßig erlauben AppLocker-Regeln Benutzern nicht, Dateien zu öffnen oder auszuführen, die nicht zulässig sind.

Informationen zum Ändern von AppLocker-Regeln finden Sie im entsprechenden Artikel unter Verwalten von AppLocker.

Schritt 3: Testen der AppLocker-Richtlinie

Sie sollten jede Sammlung von Regeln testen, um sicherzustellen, dass die Regeln wie beabsichtigt funktionieren. Die Schritte zum Ausführen dieser Tests finden Sie unter Testen und Aktualisieren einer AppLocker-Richtlinie.

Schritt 4: Bereitstellen der Richtlinie mit der geänderten Regel

Sie können AppLocker-Richtlinien exportieren und dann importieren, um die Richtlinie auf anderen Computern bereitzustellen, auf denen Windows 8 oder höher ausgeführt wird. Informationen zum Ausführen dieser Aufgabe finden Sie unter Exportieren einer AppLocker-Richtlinie in eine XML-Datei und Importieren einer AppLocker-Richtlinie von einem anderen Computer.

Schritt 5: Überwachen des resultierenden Richtlinienverhaltens

Bewerten Sie nach der Bereitstellung einer Richtlinie die Effektivität der Richtlinie.

Weitere Ressourcen

• Schritte zum Ausführen anderer AppLocker-Richtlinienaufgaben finden Sie unter Verwalten von AppLocker.