WP Greet Box icon
Wenn Du über neue Beiträge auf dem Laufenden bleiben möchtest, abonniere
den RSS Feed, oder folge mir einfach bei Facebook, Google+ oder Twitter.

Anwendungen verbieten mit AppLocker

Veröffentlicht am 25.11.2009 Kategorie: Windows 7

Mit den beiden Versionen Ultimate und Enterprise erhält Windows 7 eine eigene Zugriffssteuerung für Anwendungen. Mit AppLocker kann Richtlinienbasiert festgelegt werden, welche Anwendung berechtigt ist ausgeführt zu werden und welche nicht. Dabei können verschiedene Regeln für die Prüfung der Anwendung erstellt werden, wie beispielsweise die Prüfung der Versionsnummer eines portablen Foxit Readers. Ältere Versionen der Anwendung, die Möglicherweise Fehler enthalten und die Sicherheit des Systems gefährden würden, kann mandamit von der Ausführung ausschliessen.

Über den Gruppenrichtlinien-Editor von Windows 7 kann AppLocker konfiguriert werden.
Am schnellsten kann der Editor für die Gruppenrichtlinien mit Start -> Alle Programme -> Zubehör -> Ausführen -> gpedit.msc aufgerufen werden.

Unterhalb der Computerkonfiguration müsst Ihr nun zu den Sicherheitseinstellungen navigieren. Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Anwendungssteuerungsrichtlinien -> AppLocker.

Wichtig: Damit AppLocker die neuen Richtlinien auch umsetzt, muss der Anwendungsidentitätsdienst gestartet sein und sollte auf einen automatischen Start geändert werden. Den Dienstmanager könnt ihr ebenfalls über die Ausführenfunktionen aufrufen. Dazu einfach den Befehl services.msc aufrufen.

Im hier gezeigten Beispiel erstelle ich eine ausführbare Regel für die portable Version von FileZilla, die beim Start der Anwendung überprüft ob die Versionsnummer höher als 1.6.0 ist und die Anwendung dann verbietet. Statt einem Verbot kann natürlich auch genauso einfach eine Erlaubnis für die Anwendung mit einer Versionsnummer höher 1.6.0 angelegt werden.

Nach dem Starten des Assistenten für die ausführbare Regel muss als erstes eine entsprechende Anwendung in Form der .exe Datei ausgewählt werden.
AppLocker liesst die Informationen zu Hersteller, Name, Dateiname und Version automatisch aus. Bei Anwendungen die kein Digitales Zertifikat für den Beweis Ihrer Echtheit besitzen, können ausführbare Regeln nur über den Pfad der Anwendung angewendet werden. Die meisten Windows Anwendungen besitzen heutzutage allerdings ein solches Zertifikat.

Über den Schiebregler innerhalb des Assistenten kann die Bindung der Regel an die verschiedenen, ausgelesenen Informationen festgelegt werden. Über die Aktivierung der Option Benutzerdefinierte Werte verwenden kann zusätzlich konfiguriert werden, ob es nur für diese Version, für alle niedrigeren Versionen oder neuere Versionen gelten soll. Stattdessen ist natürlich auch eine Prüfung des Produktnamens oder Hersteller möglich.

Standardmässig werden drei Regeln automatisch angelegt, die den Zugriff erst mal auf alle Anwendungen zulassen. Wie im unteren Screenshot zu sehen, können dann individuell so viele eigene Regeln für die Zulassung bzw. Verweigerung der entsprechenden Anwendung eingerichtet werden. Wenn nötig kann diese Regel auch nur für bestimmte Benutzer oder Gruppen genutzt werden.

Nach der Einrichtung der neuen Regel muss die Richtlinie der Computerkonfiguration aktualisiert werden. Über Start -> Alle Programme -> Zubehör -> Ausführen aufrufen und den Befehl gpupdate ausführen.

Jetzt kann getestet werden, ob die neu angelegte Regel auch funktioniert und durchgesetzt wird. Nach Doppelklick auf die portable Anwendung wird eine entsprechende Warnmeldung über die Blockierung angezeigt.

Fazit: Mit AppLocker hat Microsoft eine leicht administrierbare Lösung zur Verwaltung von erlaubten Anwendungen in Windows geschaffen. Die Assistensten gesteuerte Möglichkeit Anwendungen für die Nutzung zu konfigurieren und die darin enthalte Vielfalt die Anwendungen sicher bereitzustellen machen AppLocker zu einer guten Alternative von Drittanbieter Anwendungen.


Empfehle den Beitrag anderen :

Ähnliche Beiträge:
  • Keine Beiträge gefunden


  • 1 Kommentar Kommentar schreiben

    1. #1Lee am 15.6.2011 22:27

      Hat Jemand vielleicht eine Ahnung wie ich einen Systemdienst auf nur einem Konto beenden kann, die Möglichkeit hat AppLocker leider nicht 🙁

    Kommentare

    Benachrichtige mich bei neuen Kommentaren