AppLocker sperrt unerwünschte Programme
AppLocker ist ein neues Feature von Windows 7 Enterprise, mit dem Administratoren festlegen können, welche Anwendungen im Unternehmensnetz ausgeführt werden dürfen. Die "Richtlinien für Softwareeinschränkung" ("Software Restriction Policies") von Windows XP und Vista erfüllen im Prinzip die gleiche Funktion wie AppLocker, sind bei Administratoren aber wegen ihrer aufwändigen Pflege nicht besonders beliebt. Windows 7 bietet sie aber aus Kompatibilitätsgründen nach wie vor an.
AppLocker kennt drei verschiedene Regeltypen:
-
Path Rules
-
File Hash Rules
-
Publisher Rules
Path Rules und File Hash wurden schon von den Richtlinien für Softwareeinschränkung unterstützt. Path Rules können die Ausführung von Programmen auf bestimmte Verzeichnisse beschränken. Wenn Benutzer jedoch Anwendungen von einem anderen Verzeichnis als dem "Programme"-Ordner starten müssen, beispielsweise eine Verschlüsselungs-Software von einem USB-Stick, dann kommt der Einsatz von Path Rules nicht in Frage.
Bei den File Hash Rules muss der Administrator für alle erlaubten Programme einen Hash-Wert berechnen. Nur wenn die hinterlegte Prüfsumme mit dem vor jedem Start ermittelten Wert übereinstimmt, läuft die Anwendung. Die Verwaltung der Hash-Werte ist aber meist sehr aufwändig, zumal sie sich bei jedem Software-Update ändern.
Die neuen Publisher Rules von AppLocker vereinfachen das Management ungemein. Programme werden anhand der vom Softwarehersteller vergebenen digitalen Signaturen identifiziert. Die meisten neueren Anwendungen sind inzwischen damit ausgestattet. Der Systemverwalter kann damit den Zugriff auf Anwendungen eines bestimmten Herstellers (beispielsweise Microsoft), den Produktnamen (Word), den Dateinamen (word.exe) und die Versionsnummer (6.0 oder höher) freigeben. Ebenso kann mittels Richtlinien der Start bestimmter Anwendungen verhindert werden.
Hinweis: How-Do-I-Videos finden Sie bei Microsoft TechNet.
Alle AppLocker-Regeltypen lassen sich auf Anwendungen (exe), Skriptdateien (ps1, .bat, .cmd, .vbs, .js), Installationsdateien (.msi, msp) und Systembibliotheken (.dll, ocx) anwenden. Darüber hinaus kann der Systemverwalter die Richtlinien auf bestimmte Benutzergruppen beschränken. Auch können für jede Regel Ausnahmen definiert werden. Durch Kombination von Zulassungs- und Beschränkungsrichtlinien beziehungsweise Path- und Publisher Rules lässt sich recht präzise definieren, welche Anwendungen im Unternehmensnetz erlaubt sind. (TecChannel/ph)
|
Plus |
Publisher Rules sind einfacher zu handhaben als die Richtlinien für Softwarebeschränkungen |
|
+ |
Konfiguration von Ausnahmen und Beschränkung auf Benutzergruppen ist möglich |
|
+ |
Assistenten und vordefinierte Regelsätze erleichtern die Erstellung von Richtlinien |
|
Minus |
Nur für Windows 7 Enterprise und Ultimate verfügbar |
|
- |
Keine Unterstützung für ältere Windows-Versionen |