Lesezeit
3 Minuten
Seite 2 - Anwendungen mit AppLocker kontrollieren (1)
Gruppenrichtlinien für AppLocker erstellen
AppLocker kann nicht nur die Installation oder das Ausführen von Programmen verhindern, sondern auch bereits vorhandene Tools und Bordmittel in Windows sperren, zum Beispiel Spiele oder unerlaubte Anwendungen. AppLocker baut wie erwähnt auf Regeln auf, die Sie erstellen und einer Gruppenrichtlinie zuordnen. Die Richtlinien wiederum weisen Sie dann den Domänen oder einzelnen Organisationseinheiten zu. Die Zuteilung, welche Benutzer oder Gruppen die Regeln umsetzen, findet allerdings nicht nur über die Zuweisung der Gruppenrichtlinie, sondern bereits in der erstellten Regel in AppLocker statt. Dies macht die Verwendung der Funktion extrem flexibel. Um Einstellungen per Gruppenrichtlinie an die PCs, Server oder Benutzerkonten in Ihrem Netzwerk weiterzugeben, ist es am besten, immer nach der gleichen Vorgehensweise zu verfahren:
Auch wenn Sie Einstellungen im GPO vornehmen und AppLocker-Regeln erstellen, wendet kein Benutzer und Computer diese an. Sie müssen Ihr neues GPO erst verknüpfen. Der nächste Schritt besteht daher im Bearbeiten der Gruppenrichtlinie und dem Setzen der Einstellungen, die Sie an die Arbeitsstationen verteilen wollen. Klicken Sie im Menü "Gruppenrichtlinienobjekte" mit der rechten Maustaste auf das neu erstellte GPO und wählen Sie im Kontextmenü die Option "Bearbeiten" aus. Damit öffnet sich der Gruppenrichtlinienverwaltungs-Editor, mit dessen Hilfe Sie die Einstellungen innerhalb des GPOs vornehmen. Der Gruppenrichtlinienverwaltungs-Editor besteht aus zwei Teilen: Auf der linken Seite wählen Sie aus, für welchen Bereich Sie Settings vornehmen wollen. Rechts sind dann die entsprechenden Einstellungen verfügbar.
Bild 1: Beim Erstellen von Anwendungsregeln mit AppLocker stehen Ihnen drei Regeltypen zur Auswahl.
AppLocker-Regeln in einer Gruppenrichtlinie hinterlegen
Haben Sie eine neue Gruppenrichtlinie erstellt, können Sie in dieser die entsprechenden Regeln für AppLocker hinterlegen. Öffnen Sie die Bearbeitung der entsprechenden Richtlinie und navigieren Sie zu "Computerkonfiguration / Richtlinien / Windows-Einstellungen / Sicherheitseinstellungen / Anwendungssteuerungsrichtlinien". Klicken Sie nun auf "AppLocker". In diesem Bereich erstellen Sie die verschiedenen Regeln, die AppLocker verwenden soll. Sie haben dabei drei Möglichkeiten, unerwünschte Programme auf den Clientcomputern zu sperren:
Bild 2: Achten Sie beim Erstellen einer neuen Gruppenrichtlinie für AppLocker-Einstellungen auf einen aussagekräftigen Namen.
Erlauben Sie mit einer Regel allen Benutzern alle Programme, können Sie als Ausnahme Photoshop hinterlegen. In diesem Fall sperren Sie über eine Zulassungs-Regel nur Photoshop und erlauben über eine zweite Regel die Ausführung von Photoshop für eine bestimmte Gruppe. AppLocker unterstützt bei diesen Vorgängen natürlich auch Gruppen im Active Directory. Erstellen Sie eine neue AppLocker-Regel, hinterlegen Sie Assistenten für die Regel die Benutzergruppe. Später können Sie dann die Ausführung von Programmen über die Gruppenmitgliedschaft steuern, ohne dass Sie dabei die AppLocker-Regeln neu erstellen oder ändern müssen.
Seite 1: Gründliche Planung erforderlich
Seite 2: Gruppenrichtlinien für AppLocker erstellen
Lesen Sie im zweiten Teil unseres großen AppLocker-Workshops unter anderem, wie Sie ausführbare Regeln einsetzen und GPOs mit einem Container verknüpfen.
Thomas Joos/dr/ln
AppLocker kann nicht nur die Installation oder das Ausführen von Programmen verhindern, sondern auch bereits vorhandene Tools und Bordmittel in Windows sperren, zum Beispiel Spiele oder unerlaubte Anwendungen. AppLocker baut wie erwähnt auf Regeln auf, die Sie erstellen und einer Gruppenrichtlinie zuordnen. Die Richtlinien wiederum weisen Sie dann den Domänen oder einzelnen Organisationseinheiten zu. Die Zuteilung, welche Benutzer oder Gruppen die Regeln umsetzen, findet allerdings nicht nur über die Zuweisung der Gruppenrichtlinie, sondern bereits in der erstellten Regel in AppLocker statt. Dies macht die Verwendung der Funktion extrem flexibel. Um Einstellungen per Gruppenrichtlinie an die PCs, Server oder Benutzerkonten in Ihrem Netzwerk weiterzugeben, ist es am besten, immer nach der gleichen Vorgehensweise zu verfahren:
- Planen Sie das Anlegen der Richtlinie, in diesem Beispiel der AppLocker-Regeln.
- Legen Sie die OUs fest, auf die Sie die Richtlinie anwenden möchten. Sie können über diesen Weg auch die Zuteilung von AppLocker-Regeln steuern, nicht nur in AppLocker direkt.
- Erstellen Sie die GPOs. Durch das Erstellen wendet noch kein Rechner die Einstellungen an. Erst wenn Sie die Einstellungen setzen und die GPOs mit Organisationseinheiten oder Domänen verknüpfen, wenden Computer die Richtlinien an.
Auch wenn Sie Einstellungen im GPO vornehmen und AppLocker-Regeln erstellen, wendet kein Benutzer und Computer diese an. Sie müssen Ihr neues GPO erst verknüpfen. Der nächste Schritt besteht daher im Bearbeiten der Gruppenrichtlinie und dem Setzen der Einstellungen, die Sie an die Arbeitsstationen verteilen wollen. Klicken Sie im Menü "Gruppenrichtlinienobjekte" mit der rechten Maustaste auf das neu erstellte GPO und wählen Sie im Kontextmenü die Option "Bearbeiten" aus. Damit öffnet sich der Gruppenrichtlinienverwaltungs-Editor, mit dessen Hilfe Sie die Einstellungen innerhalb des GPOs vornehmen. Der Gruppenrichtlinienverwaltungs-Editor besteht aus zwei Teilen: Auf der linken Seite wählen Sie aus, für welchen Bereich Sie Settings vornehmen wollen. Rechts sind dann die entsprechenden Einstellungen verfügbar.
- Die Einstellungen unter "Computerkonfiguration" wenden PCs unabhängig vom angemeldeten Benutzer an.
- Die Settings unter "Benutzerkonfiguration" wenden Computer auf Benutzereinstellungen an, wenn sich Benutzer anmelden.
Bild 1: Beim Erstellen von Anwendungsregeln mit AppLocker stehen Ihnen drei Regeltypen zur Auswahl.
AppLocker-Regeln in einer Gruppenrichtlinie hinterlegen
Haben Sie eine neue Gruppenrichtlinie erstellt, können Sie in dieser die entsprechenden Regeln für AppLocker hinterlegen. Öffnen Sie die Bearbeitung der entsprechenden Richtlinie und navigieren Sie zu "Computerkonfiguration / Richtlinien / Windows-Einstellungen / Sicherheitseinstellungen / Anwendungssteuerungsrichtlinien". Klicken Sie nun auf "AppLocker". In diesem Bereich erstellen Sie die verschiedenen Regeln, die AppLocker verwenden soll. Sie haben dabei drei Möglichkeiten, unerwünschte Programme auf den Clientcomputern zu sperren:
- Unter "Ausführbare Regeln" erstellen Sie Regeln für das Erfassen von Dateien mit den Endungen EXE und COM.
- "Windows Installer-Regeln" legen fest, welche Anwendungen Benutzer auf dem Computer installieren dürfen. Diese Regeln erfassen Dateien mit den Endungen MSI und MSP.
- Über "Skriptregeln" sperren Sie Skripte. Hier berücksichtigt AppLocker Dateien mit den Endungen JS, PS1, VBS, CMD und BAT.
Bild 2: Achten Sie beim Erstellen einer neuen Gruppenrichtlinie für AppLocker-Einstellungen auf einen aussagekräftigen Namen.
Erlauben Sie mit einer Regel allen Benutzern alle Programme, können Sie als Ausnahme Photoshop hinterlegen. In diesem Fall sperren Sie über eine Zulassungs-Regel nur Photoshop und erlauben über eine zweite Regel die Ausführung von Photoshop für eine bestimmte Gruppe. AppLocker unterstützt bei diesen Vorgängen natürlich auch Gruppen im Active Directory. Erstellen Sie eine neue AppLocker-Regel, hinterlegen Sie Assistenten für die Regel die Benutzergruppe. Später können Sie dann die Ausführung von Programmen über die Gruppenmitgliedschaft steuern, ohne dass Sie dabei die AppLocker-Regeln neu erstellen oder ändern müssen.
Seite 1: Gründliche Planung erforderlich
Seite 2: Gruppenrichtlinien für AppLocker erstellen
Lesen Sie im zweiten Teil unseres großen AppLocker-Workshops unter anderem, wie Sie ausführbare Regeln einsetzen und GPOs mit einem Container verknüpfen.
<< Vorherige Seite | Seite 2 von 2 |
Thomas Joos/dr/ln