Freigeben über


Übersicht über App Control for Business und AppLocker

Hinweis

Einige Funktionen von App Control for Business sind nur für bestimmte Windows-Versionen verfügbar. Erfahren Sie mehr über die Verfügbarkeit von App Control-Features.

Windows 10 und Windows 11 enthalten zwei Technologien, die abhängig von den spezifischen Szenarien und Anforderungen Ihrer organization für die Anwendungssteuerung verwendet werden können: App Control for Business und AppLocker.

App Control for Business

App Control wurde mit Windows 10 eingeführt und ermöglicht Es Organisationen zu steuern, welche Treiber und Anwendungen auf ihren Windows-Clients ausgeführt werden dürfen. Es wurde als Sicherheitsfeature unter den Wartungskriterien entwickelt, die vom Microsoft Security Response Center (MSRC) definiert werden.

App-Steuerungsrichtlinien gelten für den verwalteten Computer als Ganzes und wirken sich auf alle Benutzer des Geräts aus. App Control-Regeln können basierend auf Folgenden definiert werden:

  • Attribute der Codesigningzertifikate, die zum Signieren einer App und ihrer Binärdateien verwendet werden
  • Attribute der Binärdateien der App, die aus den signierten Metadaten für die Dateien stammen, wie z. B. Originaldateiname und -version oder der Hash der Datei
  • Der Ruf der App gemäß dem Intelligent Security Graph von Microsoft
  • Die Identität des Prozesses, der die Installation der App und ihrer Binärdateien initiiert hat (verwaltetes Installationsprogramm)
  • Der Pfad, über den die App oder Datei gestartet wird (beginnend mit Windows 10 Version 1903)
  • Der Prozess, der die App oder Binärdatei gestartet hat

Hinweis

App Control wurde ursprünglich als Teil von Device Guard veröffentlicht und als konfigurierbare Codeintegrität bezeichnet. Device Guard und konfigurierbare Codeintegrität werden nicht mehr verwendet, außer um zu ermitteln, wo die App Control-Richtlinie über Gruppenrichtlinie bereitgestellt werden soll.

Systemanforderungen für die App-Steuerung

App Control-Richtlinien können erstellt und auf jede Clientedition von Windows 10 oder Windows 11 oder auf Windows Server 2016 und höher angewendet werden. App Control-Richtlinien können über eine Mobile Geräteverwaltung-Lösung (MDM) bereitgestellt werden, z. B. Intune, eine Verwaltungsschnittstelle wie Configuration Manager oder einen Skripthost wie PowerShell. Gruppenrichtlinie können auch zum Bereitstellen von App-Steuerungsrichtlinien verwendet werden, sind jedoch auf Richtlinien im Format mit nur einer Richtlinie beschränkt, die unter Windows Server 2016 und 2019 funktionieren.

Weitere Informationen dazu, welche einzelnen App Control-Features für bestimmte App Control-Builds verfügbar sind, finden Sie unter Verfügbarkeit des App-Steuerelementfeatures.

AppLocker

AppLocker wurde mit Windows 7 eingeführt und ermöglicht Organisationen zu steuern, welche Anwendungen auf ihren Windows-Clients ausgeführt werden dürfen. AppLocker hilft, zu verhindern, dass Endbenutzer nicht genehmigte Software auf ihren Computern ausführen, erfüllt jedoch nicht die Wartungskriterien eines Sicherheitsfeatures.

AppLocker-Richtlinien können für alle Benutzer eines Computers oder für einzelne Benutzer und Gruppen gelten. AppLocker-Regeln können basierend auf Folgendem definiert werden:

  • Attribute der Codesigningzertifikate, die zum Signieren einer App und ihrer Binärdateien verwendet werden.
  • Attribute der Binärdateien der App, die aus den signierten Metadaten für die Dateien stammen, z. B. Originaldateiname und -version oder der Hash der Datei.
  • Der Pfad, über den die App oder Datei gestartet wird.

AppLocker wird auch von einigen Features von App Control verwendet, einschließlich des verwalteten Installationsprogramms und des Intelligent Security Graph.

AppLocker-Systemanforderungen

AppLocker-Richtlinien können nur auf Geräten konfiguriert und angewendet werden, die eine der unterstützten Versionen und Editionen des Windows-Betriebssystems ausführen. Weitere Informationen finden Sie unter Anforderungen für die Verwendung von AppLocker. AppLocker-Richtlinien können über Gruppenrichtlinien oder MDM bereitgestellt werden.

Wählen Sie aus, wann App Control oder AppLocker verwendet werden soll.

Im Allgemeinen sollten Kunden, die die Anwendungssteuerung mithilfe von App Control anstelle von AppLocker implementieren können, dies tun. App Control wird kontinuierlich verbessert und erhält zusätzlichen Support von Microsoft-Verwaltungsplattformen. Obwohl AppLocker weiterhin Sicherheitskorrekturen erhält, werden keine neuen Featureverbesserungen vorgenommen.

In einigen Fällen ist AppLocker jedoch möglicherweise die geeignetere Technologie für Ihre organization. AppLocker eignet sich am besten in folgenden Fällen:

  • Sie verfügen über eine gemischte Windows-Betriebssystemumgebung und müssen die gleichen Richtlinienkontrollen auf Windows 10 und frühere Versionen des Betriebssystems anwenden.
  • Sie müssen unterschiedliche Richtlinien für verschiedene Benutzer oder Gruppen auf geteilten Computern anwenden.
  • Sie möchten die App Control für Anwendungsdateien wie DLLs oder Treiber nicht erzwingen.

AppLocker kann auch als Ergänzung zur App-Steuerung bereitgestellt werden, um benutzer- oder gruppenspezifische Regeln für Szenarien mit gemeinsam genutzten Geräten hinzuzufügen, in denen es wichtig ist, zu verhindern, dass einige Benutzer bestimmte Apps ausführen. Als bewährte Methode sollten Sie die App-Steuerung auf möglichst restriktiver Ebene für Ihre organization erzwingen und dann AppLocker verwenden, um die Einschränkungen weiter zu optimieren.