AppLocker: Anwendungseinschränkungsrichtlinien in Windows konfigurieren

/de/images/automatically-generate-applocker-rules.png

Mithilfe von AppLocker-Sicherheitsrichtlinien können Administratoren die Ausführung bestimmter Anwendungen unter Windows blockieren oder zulassen. Mit Applocker ist es möglich, die Programmausführung für eine bestimmte Benutzergruppe einzuschränken und anderen, beispielsweise Administratoren, die Ausführung zu ermöglichen. In dieser Anleitung wird erläutert, wie Sie AppLocker-Anwendungszugriffsrichtlinien mithilfe von GPO erstellen und bereitstellen.

Die AppLocker-Funktion zur Anwendungssteuerung war ursprünglich nur für Enterprise-Editionen von Windows verfügbar. Ab Windows 10 Version 2004 und allen Windows 11-Versionen wurden diese Editionsbeschränkungen jedoch entfernt, sodass AppLocker-Richtlinien auch auf Pro-Editionen angewendet werden können.

Bisher konnten Einschränkungen beim Anwendungsstart in Windows über die Software Restriction Policies (SRP) implementiert werden. Allerdings ist die SRP-Funktion seit der Veröffentlichung von Windows 10 Version 1803 und Windows Server 2019 veraltet.

Erstellen wir ein neues Domänen-Gruppenrichtlinienobjekt mit den AppLocker-Steuerungseinstellungen mithilfe des Domänengruppenrichtlinien-Verwaltungs-Snap-Ins „gpmc.msc“ (auf die gleiche Weise können Sie Applocker-Einstellungen auf einem eigenständigen Computer mit dem Editor für lokale Gruppenrichtlinien konfigurieren).

  1. Erstellen Sie ein neues Gruppenrichtlinienobjekt und wechseln Sie in den Bearbeitungsmodus.

  2. Damit die AppLocker-Richtlinien auf Clients angewendet werden können, muss der Application Identity-Dienst aktiviert sein und ausgeführt werden (der Dienst „AppIDSvc“ ist in Windows standardmäßig deaktiviert).

  3. Navigieren Sie zu Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Systemdienste. Öffnen Sie die Eigenschaften des Application Identity-Dienstes und aktivieren Sie den automatischen Start. /de/images/run-application-identity-service-via-gpo.png

  4. Erweitern Sie dann Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Richtlinien zur Anwendungssteuerung -> AppLocker. Hier können Sie Regeln für vier Softwarekategorien erstellen:

Ausführbare Regeln – Ausführbare Dateien (.EXE und.COM).

Windows Installer-Regeln – Windows Installer-Dateien (.MSI,.MSP,.MST).

Skriptregeln – Skriptdateien (.BAT,.CMD,.JS,.PS1 und.VBS).

Regeln für gepackte Apps – APPX- und MSIX-Microsoft Store-Apps.

  1. In diesem Beispiel erstellen wir Softwarekontrollregeln für ausführbare Dateien. Klicken Sie also mit der rechten Maustaste auf „Ausführbare Regeln“ und wählen Sie „Standardregeln erstellen“ /de/images/create-default-rules-in-applocker.png

  2. Es werden mehrere vordefinierte Regeln erstellt.

Alle zulassen (Alle Dateien im Ordner „Programme“) – diese Regel ermöglicht es Benutzern, Dateien aus dem Verzeichnis „Programme“ auszuführen.

Alle zulassen (Alle Dateien im Windows-Ordner) – ermöglicht es Benutzern, jede Datei aus dem „Windows“-Verzeichnis auszuführen.

Erlaube BUILTIN\Administratoren (Alle Dateien) – Mitglieder von

– Diese Regel ermöglicht Benutzern das Ausführen von Dateien aus dem Verzeichnis. – Sie ermöglicht Benutzern das Ausführen jeder Datei aus dem Verzeichnis. – Mitglieder der lokalen Administratorengruppe können jede Datei ausführen.

/de/images/predefined-rules.png

  1. Beispielsweise möchten Sie möglicherweise Benutzern ohne Administratorrechte erlauben, eine bestimmte Anwendung auszuführen, unabhängig von ihrer Version oder davon, wo sie sich auf der Festplatte befindet.

  2. Erstellen Sie eine neue AppLocker-Regel. Wählen Sie aus, ob Sie die Ausführung der ausführbaren Datei zulassen oder verweigern möchten. Wählen Sie die Benutzergruppe aus, für die diese Richtlinie gelten soll (standardmäßig Jeder). /de/images/configure-applocker-rule-permissions.png

  3. Wählen Sie als Nächstes die Bedingungen für die AppLocker-Regel aus. Es stehen drei Optionen zur Verfügung:

Herausgeber – ermöglicht die Erstellung von Regeln für signierte Dateien (Dateien von einem bestimmten Herausgeber). Mit dieser Regel können Sie aus den folgenden Optionen auswählen: Herausgebername, Produktname, Name der ausführbaren Datei oder Dateiversion.

Pfad – Geben Sie den Pfad zum Verzeichnis oder zur Datei an, auf das die Regel angewendet wird. Sie können entweder den vollständigen Pfad zur EXE-Datei angeben oder das Platzhalterzeichen („*“) verwenden. Beispielsweise gilt die Regel „C:\MyAppFolder*“ für alle ausführbaren Dateien im angegebenen Verzeichnis.

Datei-Hash – Die Regel kann verwendet werden, um eine nicht signierte Datei anhand ihres SHA-256-Hashs zu identifizieren. Diese Regel erlaubt oder verweigert die Ausführung einer Datei, unabhängig von ihrem Namen oder Speicherort auf der Festplatte. Wenn sich jedoch die Dateiversion ändert (z. B. nach einem Software-Update), muss die Regel für den neuen Datei-Hash neu erstellt werden.

Windows-Verzeichnis oder Laufwerk |

AppLocker-Pfadvariable—|—Windows-Verzeichnis |

%WINDIR%

System32 und sysWOW64 |

%SYSTEM32%

Windows-Installationslaufwerk |

%OSDRIVE%

Programmdateien |

%PROGRAMFILES%

Wechselmedien (CD oder DVD) |

%REMOVABLE%

Wechselspeichergerät (USB-Flash-Laufwerk) |

%HOT%

Die folgenden AppLocker-spezifischen Umgebungsvariablen können beim Angeben von Pfaden in Regeln verwendet werden.

  1. Wir erstellen eine AppLocker-Regel für eine bestimmte App durch ihren Herausgeber. Wählen Sie die ausführbare Zieldatei aus. Da die Zieldatei möglicherweise auf dem Domänencontroller fehlt, auf dem die AppLocker-Regel erstellt wird, können Sie einen UNC-Pfad verwenden, um die Datei vom Clientcomputer über das Netzwerk auszuwählen (verwenden Sie beispielsweise das Windows-Administrator-Freigabepfadformat „\computer123\c$\tools\tcpview64.exe“).

  2. Ich möchte zulassen, dass diese Datei unabhängig von der Version basierend auf ihrem Namen ausgeführt wird. Der Schieberegler sollte auf den Dateinamen verschoben werden. Oder konfigurieren Sie flexiblere Bedingungen mit der Option Benutzerdefinierte Werte verwenden. /de/images/create-application-control-rule-for-specific-progr.png

  3. Im Abschnitt „Ausnahmen“ können Sie Ausnahmen von der Regel nach Pfad, Herausgeber oder Datei-Hash machen. Sie können beispielsweise die Ausführung alter, anfälliger Versionen von Apps verhindern oder sie auf bestimmte Ordner beschränken. /de/images/add-an-exception-to-the-applocker-rule.png

  4. Legen Sie den neuen AppLocker-Regelnamen fest. /de/images/list-of-applocker-rules-in-gpo.png

Erstellen wir nun eine Regel, die Benutzer daran hindert, die AnyDesk.exe-App auszuführen.

  1. Fügen Sie eine neue AppLocker-Regel hinzu

  2. Die Regel sollte verhindern, dass jemand die App ausführt. Wählen Sie Aktion: Verweigern, Benutzer oder Gruppe: Jeder. /de/images/applocker-deny-app-from-running.png

  3. Erstellen Sie eine Publisher-Regel und suchen Sie nach der ausführbaren AnyDesk-Datei.

  4. Diese Regel sollte unabhängig von der Version oder dem Speicherort der Datei gelten. Sie können den Start von Dateien, die vom Herausgeber „O=ANYDESK SOFTWARE GMBH“ signiert wurden, entweder vollständig verbieten oder ihn nach Produktnamen einschränken. /de/images/create-a-rule-to-block-anydesk-app-by-its-name-usi.png

  5. Eine solche Regel blockiert den Start des Programms, unabhängig vom Verzeichnis, in dem sich die ausführbare Datei befindet, oder vom tatsächlichen Dateinamen. /de/images/word-image.png

Obwohl lokale Administratoren alle lokalen ausführbaren Dateien ausführen dürfen, hat eine Verweigerungsregel immer Vorrang und blockiert die Ausführung.

Um die von Ihnen erstellten AppLocker-Regeln auf Clientcomputer anzuwenden, öffnen Sie die AppLocker-Eigenschaften in der GPO-Konsole. Hier stehen vier Arten von Regeln zur Verfügung:

  • Ausführbare Regeln – Regeln für klassische ausführbare Win32-Dateien (Exe).

  • Windows Installer-Regeln – MSI-Installer-Regeln

  • Skriptregeln – Regeln zur Skriptausführung

  • Alle Regeln gepackt – Regeln für Microsoft Store AppX/MSIX-Pakete

Standardmäßig werden AppLocker-Regeln nicht angewendet. Um Regeln auf Clients anzuwenden, müssen Sie die Option „Konfiguriert“ aktivieren und auswählen, ob Sie die Regeln nur im Audit-Modus oder im Modus „Regeln erzwingen“ anwenden möchten.

Es wird empfohlen, die Regeln zunächst im Überwachungsmodus anzuwenden, um ihre Auswirkungen auf Clients zu testen, ohne die App-Ausführung tatsächlich zu blockieren

/de/images/enable-applocker-rules-in-the-audit-mode.png

Verknüpfen Sie das GPO mit den AppLocker-Einstellungen mit der Ziel-OU (es wird dringend empfohlen, die Softwareeinschränkungsregeln zuerst auf Testcomputern/OUs zu testen).

Überprüfen Sie nach dem Anwenden neuer Gruppenrichtlinieneinstellungen auf einem Client, wie AppLocker-Regeln darauf funktionieren. Da die AppLocker-Regeln derzeit im Überwachungsmodus angewendet werden, wird der Start von Anwendungen nicht tatsächlich blockiert.

Sie können Ereignisanzeigeprotokolle verwenden, um zu bestimmen, wie AppLocker-Richtlinien ausgelöst werden, wenn bestimmte ausführbare Dateien gestartet werden. Öffnen Sie die Event Viewer-Konsole („eventvwr.msc“) und navigieren Sie zu Anwendungs- und Dienstprotokolle -> Microsoft -> Windows -> AppLocker -> EXE und DLL.

Wenn AppLocker einen Versuch erkennt, eine blockierte ausführbare Datei auszuführen, protokolliert es eine Warnung mit der Ereignis-ID 8003, die den Namen der blockierten App enthält.


%OSDRIVE%\TOOLS\ANYDESK.EXE was allowed to run but would have been prevented from running if the AppLocker policy were enforced.

Wenn die Anwendung ausgeführt werden darf, wird die Ereignis-ID 8002 hinzugefügt.

/de/images/event-id-8002-exe-was-allowed-to-run-but-would-ha.png

Testen Sie die AppLocker-Regeln unter nicht-administrativen Benutzerkonten, da die Standardregeln es Administratoren ermöglichen, alle Anwendungen ohne Einschränkungen auszuführen. Benutzer müssen innerhalb ihrer Sitzungen arbeiten, die erforderlichen Programme starten und ihre täglichen Standardaufgaben ausführen.

Überprüfen Sie die Apps, deren Ausführung gemäß den Prüfereignissen blockiert ist. Mit PowerShell können Sie die Protokolle der Ereignisanzeige abfragen und eine Liste der Apps abrufen, die durch AppLocker-Regeln auf einem Computer blockiert werden.

` $TimeSpan=(Get-Date).AddHours(-24)

Get-WinEvent-FilterHashtable @{LogName=“Microsoft-Windows-AppLocker/EXE und DLL”; Id=8003; StartTime=$TimeSpan } | Format-Tabelle TimeCreated, Message-AutoSize `

/de/images/powershell-get-a-list-of-apps-blocked-by-applocke.png

Wenn die aktuelle Anwendungssteuerungsrichtlinie eine erforderliche ausführbare Datei blockiert, bearbeiten Sie das AppLocker-Gruppenrichtlinienobjekt, um eine Regel hinzuzufügen, die die Ausführung dieser App ermöglicht.

Nachdem Sie die AppLocker-Regeln im Überwachungsmodus debuggt haben, können Sie sie im erzwungenen Modus anwenden. Ändern Sie dazu die Audit-Einstellung in der AppLocker-Richtlinie in „Regeln erzwingen“.

/de/images/enforce-applocker-rules.png

AppLocker blockiert nun den Start aller Programme, die nicht autorisiert oder ausdrücklich verweigert werden.


This app has been blocked by your administrator

/de/images/this-app-has-been-blocked-by-your-administrator-ap.png

Das Ereignis mit der ID 8004 wird nun zur Ereignisanzeige hinzugefügt, die den Namen der blockierten ausführbaren Datei enthält.


%OSDRIVE%\TOOLS\ANYDESK.EXE was prevented from running.

/de/images/event-id-8004-exe-was-prevented-from-running.png

Das manuelle Erstellen separater Regeln für jede zugelassene oder blockierte App in AppLocker ist zeitaufwändig und mühsam. Es gibt mehrere Tools, die den Prozess der Erstellung und Implementierung von AppLocker-Regeln beschleunigen und verbessern können.

Der AppLocker-Konfigurationseditor in der GPO-Konsole verfügt über eine Funktion zur automatischen Regelgenerierung. Der Administrator kann die Option „Regeln automatisch generieren“ auswählen und einen Zielordner auf dem Referenzcomputer angeben. Anschließend erstellt AppLocker eine Liste mit Regeln für die gesamte auf dem Computer gefundene Software.

/de/images/automatically-generate-applocker-rules.png

Sie können AppLocker-Regeln auch erstellen, indem Sie sie von einzelnen Computern importieren. Sie können beispielsweise mithilfe von PowerShell eine Liste der blockierten ausführbaren Dateien aus den Protokollen der Ereignisanzeige abrufen:

Get-ApplockerFileinformation-Eventlog-EventType Audited|fl

/de/images/get-applockerfileinformation-list-events.png

Basierend auf diesen Informationen können Sie der lokalen AppLocker-Richtlinie automatisch Regeln hinzufügen.

Get-ApplockerFileinformation-Eventlog-EventType Audited | New-ApplockerPolicy-RuleType Hash, Publisher-User jsmith-RuleNamePrefix AuditBased | Set-ApplockerPolicy –Merge

Die neuen Regeln werden der lokalen AppLocker-Richtlinie des Computers hinzugefügt. Von dort aus können sie exportiert und in das Domänen-GPO importiert werden.

/de/images/import-and-export-the-applocker-policy-settings-fr.png

Nur blockierte ausführbare Dateien auflisten (einschließlich der Anzahl der Versuche, jede Datei auszuführen):

„Get-AppLockerFileInformation-EventLog-EventType Denied-Statistics“.

Beachten Sie beim Erstellen von AppLocker-Regeln die folgenden Punkte:

  • AppLocker-Verweigerungsregeln haben Vorrang vor Zulassungsregeln

  • Standardmäßig ist alles verboten, es sei denn, es ist ausdrücklich erlaubt. Mit anderen Worten: Eine ausführbare Datei darf nur dann ausgeführt werden, wenn sie durch eine Regel ausdrücklich zugelassen und nicht durch eine andere Regel ausdrücklich verweigert wird.

  • Jede Regel kann Ausnahmen haben. Dadurch können beispielsweise bestimmte Regeln für einige Benutzergruppen angewendet werden, während für andere Ausnahmen gelten. Der Screenshot zeigt, wie Ausnahmen verwendet werden, um die Ausführung von PowerShell für Administratoren zuzulassen, sie jedoch für Benutzer ohne Administratorrechte zu blockieren (der Artikel über das Deaktivieren von PowerShell auf einem Computer ist ein Beispiel für die Implementierung einer solchen Regel). /de/images/applocker-policy-allow-only-administrators-to-run.png

  • Bedenken Sie beim Erstellen von Regeln, dass Gruppen wie „Jeder“ und „Domänenbenutzer“ auch Administratoren umfassen können.

Wie wäre es mit der Möglichkeit, AppLocker auf einem Computer vorübergehend anzuhalten? Sie könnten denken, dass das Beenden des Application Identity-Dienstes die Anwendung von AppLocker-Regeln verhindern würde. Dies ist jedoch nicht wahr.

Um AppLocker auf einem Computer vorübergehend zu deaktivieren, stoppen Sie zunächst den AppIDSvc-Dienst und löschen Sie dann die Dateien AppCache.dat, Exe.AppLocker und Dll.AppLocker aus dem Ordner „C:\Windows\System32\AppLocker\“.

/de/images/where-applied-applocker-policies-are-stored-on-a-d.png

Moderne Windows-Versionen enthalten einen zusätzlichen Mechanismus zur Steuerung des Starts ausführbarer Dateien namens Windows Defender Application Control (WDAC). Obwohl die Konfiguration etwas komplexer ist als AppLocker, ist es aufgrund seiner Flexibilität, Skalierbarkeit und verbesserten Sicherheit die bessere Wahl. Im Gegensatz zu AppLocker, das nur im Benutzermodus arbeitet, kann WDAC die Codeausführung sowohl auf Kernelebene (z. B. Treiber) als auch im Benutzermodus blockieren.

*️⃣ Quelllink:

Domänen-Gruppenrichtlinienverwaltungs-Snap-In, lokale Administratorengruppe, Windows-Administratorfreigabe, Microsoft Store AppX/MSIX-Pakete, Anwenden neuer Gruppenrichtlinieneinstellungen, Verwenden von PowerShell zum Abfragen der Ereignisanzeigeprotokolle,