Ausführen des Assistenten zum automatischen Generieren von Regeln
In diesem Artikel für IT-Experten werden die Schritte zum Ausführen des Assistenten zum Erstellen von AppLocker-Regeln auf einem Referenzgerät beschrieben.
Mit AppLocker können Sie automatisch Regeln für alle Dateien in einem Ordner generieren. Es überprüft den angegebenen Ordner und erstellt die Bedingungstypen, die Sie für jede Datei in diesem Ordner auswählen.
Um eine AppLocker-Richtlinie in einem Gruppenrichtlinie Object (GPO) zu verwalten, können Sie diese Aufgabe mithilfe der Gruppenrichtlinie Management Console ausführen. Verwenden Sie zum Verwalten einer AppLocker-Richtlinie für den lokalen Computer oder zur Verwendung in einer Sicherheitsvorlage das Snap-In Lokale Sicherheitsrichtlinie. Informationen zur Verwendung dieser MMC-Snap-Ins zum Verwalten von AppLocker finden Sie unter Verwalten von AppLocker.
So generieren Sie Regeln automatisch
Öffnen Sie die AppLocker-Konsole.
Klicken Sie mit der rechten Maustaste auf den entsprechenden Regeltyp, für den Sie automatisch Regeln generieren möchten. Sie können automatisch Regeln für ausführbare Dateien, Windows Installer, Skripts und gepackte App-Regeln generieren.
Wählen Sie Regeln automatisch generieren aus.
Wählen Sie auf der Seite Ordner und Berechtigungendie Option Durchsuchen aus, um den zu analysierenden Ordner auszuwählen. Standardmäßig ist dieser Ordner der Ordner Programme.
Wählen Sie Auswählen aus, um die Sicherheitsgruppe auszuwählen, in der die Standardregeln angewendet werden sollen. Standardmäßig ist diese Gruppe die Gruppe Jeder .
Der Assistent stellt einen Namen im Feld Name bereit, um diesen Regelsatz basierend auf dem Namen des ausgewählten Ordners zu identifizieren. Übernehmen Sie den angegebenen Namen, oder geben Sie einen anderen Namen ein, und wählen Sie dann Weiter aus.
Wählen Sie auf der Seite Regeleinstellungen die Bedingungen aus, die der Assistent beim Erstellen von Regeln verwenden soll, und wählen Sie dann Weiter aus. Weitere Informationen zu Regelbedingungen finden Sie unter Grundlegendes zu AppLocker-Regelbedingungstypen.
Hinweis
Das Kontrollkästchen Anzahl von Regeln reduzieren, die durch Gruppieren ähnlicher Dateien erstellt werden , ist standardmäßig aktiviert. Dies hilft Ihnen, AppLocker-Regeln zu organisieren und die Anzahl von Regeln zu reduzieren, die Sie erstellen, indem Sie die folgenden Vorgänge für die von Ihnen ausgewählte Regelbedingung ausführen:
- Eine Herausgeberbedingung wird für alle Dateien mit demselben Herausgeber- und Produktnamen erstellt.
- Für den ausgewählten Ordner wird eine Pfadbedingung erstellt. Wenn Sie beispielsweise C:\Programme\ProgramName\ auswählen und die Dateien in diesem Ordner nicht signiert sind, erstellt der Assistent eine Regel für %programfiles%\ProgramName\*.
- Es wird eine Dateihashbedingung erstellt, die alle Dateihashes enthält. Wenn die Regelgruppierung deaktiviert ist, erstellt der Assistent eine Dateihashregel für jede Datei.
Überprüfen Sie die analysierten Dateien und die erstellten Regeln. Um Änderungen vorzunehmen, wählen Sie Zurück aus, um zu der Seite zurückzukehren, auf der Sie Ihre Auswahl ändern können. Nachdem Sie die Regeln überprüft haben, wählen Sie Erstellen aus.
Hinweis
Wenn Sie den Assistenten ausführen, um Ihre ersten Regeln für ein Gruppenrichtlinienobjekt zu erstellen, werden Sie nach Abschluss des Assistenten aufgefordert, die Standardregeln zu erstellen, mit denen kritische Systemdateien ausgeführt werden können. Sie können die Standardregeln jederzeit bearbeiten. Wenn Ihr organization beschlossen hat, die Standardregeln zu bearbeiten oder benutzerdefinierte Regeln zu erstellen, um die Ausführung der Windows-Systemdateien zuzulassen, stellen Sie sicher, dass Sie die Standardregeln löschen, nachdem Sie sie durch Ihre benutzerdefinierten Regeln ersetzt haben.