Windows-Praxis: Mit AppLocker Programme per Richtlinien sperren

Regeln automatisch erstellen und AppLocker erzwingen

Neben der Möglichkeit, manuell Regeln zu erstellen, können Sie AppLocker auch so konfigurieren, dass automatisch Regeln für bestimmte Anwendungen erstellt werden. Bei einer solchen Regel legen Sie ein Verzeichnis fest. Dieses scannt AppLocker und nimmt für jede ausführbare Datei eine Regel auf. Um eine solche Regel zu erstellen, klicken Sie mit der rechten Maustaste auf Ausführbare Regeln und wählen Regeln automatisch generieren. Anschließend wählen Sie das Verzeichnis aus, das AppLocker scannen soll, die Benutzergruppe für die Regel und einen Namen für die Regel.

Dann legen Sie auf den weiteren Seiten die Regeleinstellungen fest und lassen die Regel erstellen. Auch hier haben Sie die Möglichkeit, die Regeln jederzeit anzupassen oder zu löschen, wenn zum Beispiel bestimmte Programme im Netzwerk nicht mehr funktionieren.

Der dritte Bereich im Kontextmenü der verschiedenen Regelbereiche ist Standardregeln erstellen. Wählen Sie diese Option aus, erstellt AppLocker automatisch Regeln, die es Administratoren erlauben, Programme auszuführen, auch wenn diese durch eine Regel gesperrt sind. Außerdem erlauben die Standardregeln die Ausführung aller Anwendungen im Programme- und Windows-Verzeichnis auch für Normalanwender.

Wenn Sie direkt auf AppLocker klicken, sehen Sie in der Mitte des Fensters den Link Regelerzwingung konfigurieren. Über diesen Bereich können Sie für die verschiedenen Regeln Einstellungen der Umsetzung vornehmen. Standardmäßig sind keine Einstellungen gesetzt. Aktivieren Sie für eine Regel die Option Konfiguriert, können Sie im Dropdownmenü Einstellungen ändern. Sie haben die Auswahl, explizit Regeln erzwingen zu aktivieren oder die Einstellung Nur überwachen einzustellen. In diesem Modus setzt AppLocker die Regeln nicht um, sondern erfasst nur die betroffenen Anwendungen.

Sobald ein Anwender ein Programm öffnet, das zur Regel passt, erfasst AppLocker das Programm und nimmt eine Meldung in der Ereignisanzeige auf. Sie finden die Meldungen von AppLocker in der Ereignisanzeige über Anwendungs- und Dienstprotokolle\Microsoft\AppLocker. Es findet aber kein Sperrvorgang statt, auch wenn Sie eine Verweigerungsregel erstellt haben. Erst wenn Sie die Regel erzwingen lassen, setzt Windows 7 diese um. Das heißt Sie können über diesen Weg die Regeln zunächst testen und anschließend erst erzwingen lassen.

Unternehmen sollten aber keine Wunder von AppLocker erwarten. So ist derzeit eine Sicherheitslücke bekannt, mit der Schadcode aus Makros von Office-Programmen starten kann, selbst wenn er gesperrt sein sollte. Microsoft bietet dazu einen Patch sowie einen Knowledgebase-Beitrag, auf dem sich Administratoren genauer informieren und System absichern können. Die Sicherheitslücke ist auch nach der Installation von Service Pack 1 für Windows 7 noch aktiv.

AppLocker für Fortgeschrittene und Dokumentationen

Profis, die AppLocker per Skript einsetzen wollen, können auch die PowerShell zur Steuerung von Richtlinien verwenden. Wie Sie dabei vorgehen, lesen Sie in einem Microsoft-Blogbeitrag zu AppLocker.

Microsoft bietet eine technische Dokumentation zum Download an. Auch in der Microsoft TechNet finden sich Anleitungen zum Thema. (mje)