Windows-Praxis: Mit AppLocker Programme per Richtlinien sperren

Regeln für AppLocker erstellen

Der erste Einstieg ist in den meisten Fällen das Erstellen von Regeln über Ausführbare Regeln. Hier können Sie Programme auf den Computern sperren oder erlauben. Gehen Sie dazu folgendermaßen vor:

1. Klicken Sie mit der rechten Maustaste auf Ausführbare Regeln.

2. Wählen Sie im Kontextmenü Neue Regel erstellen aus.

3. Bestätigen Sie die Startseite des Assistenten.

4. Wählen Sie auf der nächsten Seite Verweigern als Grundlage für die Regel aus. Haben Sie die Regel erstellt, erzeugen Sie eine weitere Regel und wählen Zulassen. In dieser Regel nehmen Sie dann die Benutzergruppen auf, die die entsprechenden Anwendungen ausführen dürfen. In die Benutzerkonten nehmen Sie dann wiederum einfach die entsprechende Gruppe auf.

5. Wählen Sie im Dropdown-Menü die Gruppe oder den Benutzer aus, für die oder den Sie den Zugriff sperren wollen. In der ersten Regel also am besten eine Gruppe im Active Directory, die alle Benutzerkonten enthält, die die Anwendungen dieser Regel nicht ausführen dürfen.

6. Auf der nächsten Seite wählen Sie aus, auf welcher Basis Windows die zu sperrenden Programme filtern soll. Hier haben Sie drei verschiedene Möglichkeiten:

• Herausgeber - Durch diese Auswahl können Sie Anwendungen auf Basis ihres Zertifikats filtern. Dazu muss die Anwendung jedoch signiert sein. Bei Standardsoftware ist das kein Problem, beim Einsatz unternehmenseigener Software müssen Sie hier unter Umständen nacharbeiten. Diese Auswahl ist am besten geeignet, da Sie sich nur schwer aushebeln lässt. Die Zertifikate einer ausführbaren Datei lassen sich von normalen Benutzern nicht aushebeln. Diese Auswahl ist also empfehlenswert.

• Pfad - Mit dieser Auswahl können Sie alle Programme in einem bestimmten Verzeichnis sperren lassen. Das ist zwar einfach, aber Benutzer können solche Regeln ganz einfach aushebeln. Kopiert ein Benutzer die Datei in ein anderes Verzeichnis, funktioniert die Regel schon nicht mehr. Diese Auswahl ist also nicht zu empfehlen.

• Dateihash - Diese Auswahl nimmt sozusagen den Fingerabdruck der Datei. Dieser ändert sich allerdings mit jeder neuen Version. Wenn Sie diese Auswahl treffen, müssen Sie die Regel jedes Mal ändern, sobald Sie die entsprechende Anwendung aktualisieren. Das macht die Regeln nur unnötig kompliziert.

Sie können natürlich auch mehrere Regeln erstellen und verschiedene Filtermöglichkeiten verwenden. Allerdings ist der Filter Herausgeber am besten geeignet.

Im nächsten Fenster wählen Sie ein Referenzprogramm des Herstellers aus. Mit dem Schieberegler legen Sie die Version des Programms fest, das Sie in der Regel erfassen wollen. Der Regler erlaubt das Sperren ab einer bestimmten Version oder darunter. Achten Sie aber darauf, dass nicht alle Versionen unterstützt werden, das ist abhängig vom entsprechenden Programm. Wenn Sie den Schieberegler nach unten setzen und die Option Benutzerdefinierte Werte verwenden aktivieren, können Sie genau bestimmen, ab oder bis zu welcher Version Sie das Programm in der Regel erfassen wollen. Im Bereich Produktname können Sie zum Beispiel bei der Auswahl eines Microsoft-Programmes alle Programme erlauben, die zum Betriebssystem gehören. Dazu erstellen Sie zunächst eine Regel, die alles verweigert, und anschließend eine Regel, mit der Sie Produkte von Microsoft erlauben, die zum Betriebssystem gehören. Dazu wählen Sie einfach eine *.exe-Datei von Microsoft aus und stellen den Schieberegler auf Produktname.

Auf der nächsten Seite legen Sie fest, ob Sie bestimmte Ausnahmen des Herstellers genehmigen wollen oder nicht. Haben Sie schließlich die Regel erstellt, erscheint diese im Bereich der ausführbaren Regeln. Per Doppelklick können Sie jede Regel nachträglich bearbeiten und auf diesem Weg Programme hinzufügen oder Versionen ändern.