Windows-Praxis: Mit AppLocker Programme per Richtlinien sperren

Mit AppLocker-Regeln arbeiten

In einer produktiven Umgebung arbeiten Sie mit einem Satz aus verschiedenen Regeln. In sicheren Umgebungen erstellen Sie am besten zunächst eine Regel, mit der Sie zunächst alles verbieten, und dann nach und nach weitere Regeln, mit denen Sie die einzelnen Anwendungen, die Anwender nutzen sollen, explizit erlauben (Whitelists). Gehen Sie den umgekehrten Weg, also erlauben Sie Anwendern alle Programme bis auf die, die Sie in den Regeln blocken (Blacklists), haben Sie das Problem, eine sehr große Menge an Regeln erstellen zu müssen, damit sich alle Programme zuverlässig blockieren lassen. Es gibt aber auch den Weg, in Black- oder Whitelists mit Ausnahmen zu arbeiten, sodass sich AppLocker-Regeln sehr flexibel erstellen lassen.

Am effizientesten ist es also, eine Regel zu erstellen, die zunächst alles verweigert. Achten Sie aber darauf, dass Verweigerungs-Regeln die Zulassungs-Regeln immer überschreiben. Wenn Sie zum Beispiel allen Benutzer die Ausführung des Registry-Editors verweigern, können Sie nicht einfach eine Regel erstellen, die einer anderen Gruppe mit einer Teilmenge der Benutzer die Ausführung erlaubt. In diesem Fall können Sie aber mit den Ausnahmen arbeiten, die Sie für jede Regel erstellen. Erlauben Sie mit einer Regel etwa für alle Benutzer alle Windows-Programme, können Sie als Ausnahme den Registry-Editor hinterlegen. Dann dürfen die Anwender sämtliche Programme ausführen, außer regedit.exe. Erstellen Sie zusätzlich eine zweite Regel, die die Ausführung von regedit.exe für eine Gruppe erlaubt. Dadurch dürfen die Benutzer, die Mitglied dieser Gruppe sind, den Registry-Editor ausführen. Das gilt auch dann, wenn diese ebenfalls in der Gruppe Mitglied sind, die Sie zuerst erstellt haben, und den Registry-Editor als Ausnahme verweigern.

AppLocker unterstützt Gruppen in Active Directory. Das heißt, Sie können bestehende Gruppen verwenden oder neue Gruppen erstellen, in denen Sie die Benutzerkonten aufnehmen, die Sie mit den Regeln erfassen wollen. Wenn Sie eine neue AppLocker-Regel erstellen, hinterlegen Sie die entsprechende Benutzergruppe. Wollen Sie, dass ein Benutzer von dieser Regel erfasst wird, zum Beispiel eine bestimmte Anwendung ausführen darf, müssen Sie ihn nur in die Gruppe aufnehmen, ohne Änderungen an den AppLocker-Regeln vornehmen zu müssen.