GebruikenAppLocker-beveiligingsbeleidkunnen beheerders de uitvoering van specifieke toepassingen op Windows blokkeren of toestaan. Met Applocker is het mogelijk om de uitvoering van programma's voor een specifieke gebruikersgroep te beperken, terwijl anderen, zoals beheerders, deze kunnen uitvoeren. In deze handleiding wordt uitgelegd hoe u AppLocker-toepassingstoegangsbeleid maakt en implementeert met behulp van GPO.
De AppLocker-functie voor applicatiebeheer was oorspronkelijk beschikbaaralleen op Enterprise-editiesvan Windows. Vanaf Windows 10 versie 2004 en alle Windows 11-versies zijn deze editiebeperkingen echter verwijderd, waardoor AppLocker-beleid kan worden toegepast opProedities ook.
Voorheen konden beperkingen voor het starten van applicaties in Windows worden geïmplementeerd via het Software Restriction Policies (SRP). De SRP-functie is echter verouderd sinds de release van Windows 10 versie 1803 en Windows Server 2019.
Laten we een nieuw domein-GPO maken met de AppLocker-besturingsinstellingen met behulp van de domeingroepsbeleidbeheermodulegpmc.msc(op dezelfde manier waarop u Applocker-instellingen kunt configureren op een zelfstandige machine met behulp van de Editor voor lokaal groepsbeleid),
- Maak een nieuw GPO en schakel over naar de bewerkingsmodus.
- Om ervoor te zorgen dat het AppLocker-beleid op clients wordt toegepast, moet deApplicatie-identiteitservice moet zijn ingeschakeld en actief zijn (de
AppIDSvcservice is standaard uitgeschakeld in Windows). - Navigeer naar Computerconfiguratie -> Windows-instellingen -> Beveiligingsinstellingen -> Systeemservices. Open deApplicatie-identiteitservice-eigenschappen en schakel automatisch opstarten in.
- Vouw vervolgens Computerconfiguratie -> Beleid -> Windows-instellingen -> Beveiligingsinstellingen -> Applicatiecontrolebeleid -> AppLocker uit. U kunt hier regels maken voor vier softwarecategorieën:
Uitvoerbare regels– Uitvoerbare bestanden (.EXE en .COM).
Windows Installer-regels– Windows Installer-bestanden (.MSI, .MSP, .MST).
Scriptregels– scriptbestanden (.BAT, .CMD, .JS, .PS1 en .VBS).
Regels voor verpakte apps– APPX- en MSIX Microsoft Store-apps. - In dit voorbeeld maken we softwarecontroleregels voor uitvoerbare bestanden. Klik dus met de rechtermuisknop opUitvoerbare regelsen selecteerMaak standaardregels
- Er worden verschillende vooraf gedefinieerde regels gemaakt.
Iedereen toestaan (alle bestanden in de map Program Files) – met deze regel kunnen gebruikers bestanden uitvoeren vanuit de map Program Files
Program Filesmap.
Iedereen toestaan (alle bestanden in de Windows-map) – hiermee kunnen gebruikers elk bestand vanuit deWindowsmap.
BUILTINAdministrators toestaan (alle bestanden) – leden van de lokale groep Administrators kunnen elk bestand uitvoeren.
- U wilt bijvoorbeeld mogelijk niet-beheerders toestaan een specifieke toepassing uit te voeren, ongeacht de versie ervan of waar deze zich op de schijf bevindt.
- Maak een nieuwe AppLocker-regel. Selecteer of u wilt toestaan of weigeren dat het uitvoerbare bestand wordt uitgevoerd. Selecteer de gebruikersgroep waarop dit beleid van toepassing is (standaard Iedereen).
- Kies vervolgens de voorwaarden voor de AppLocker-regel. Er zijn drie opties beschikbaar:
Uitgever– het maakt het mogelijk regels te maken voor ondertekende bestanden (bestanden van een specifieke uitgever). Met deze regel kunt u uit de volgende opties kiezen: uitgeversnaam, productnaam, uitvoerbare bestandsnaam of bestandsversie.
Pad– geef het pad op naar de map of het bestand waarop de regel wordt toegepast. U kunt het volledige pad naar het EXE-bestand opgeven of het jokerteken (*). De regel bijvoorbeeldC:MyAppFolder*is van toepassing op alle uitvoerbare bestanden in de opgegeven map.
Bestand-hash– regel kan worden gebruikt om een niet-ondertekend bestand te identificeren op basis van de SHA-256-hash. Deze regel staat de uitvoering van een bestand toe of weigert, ongeacht de naam of locatie op de schijf. Als de bestandsversie echter wordt gewijzigd (bijvoorbeeld na een software-update), moet de regel opnieuw worden gemaakt voor de nieuwe bestandshash.
De volgende AppLocker-specifieke omgevingsvariabelen kunnen worden gebruikt bij het opgeven van paden in regels.Windows-map of -station AppLocker-padvariabele Windows-map %WINDIR%Systeem32 en sysWOW64 %SYSTEM32%Windows-installatiestation %OSDRIVE%Programmabestanden %PROGRAMFILES%Verwisselbare media (cd of dvd) %REMOVABLE%Verwisselbaar opslagapparaat (USB-flashstation) %HOT% - We zullen een AppLocker-regel maken voor een specifieke app door de uitgever ervan. Selecteer het uitvoerbare doelbestand. Omdat het doelbestand mogelijk ontbreekt op de domeincontroller waar de AppLocker-regel is gemaakt, kunt u een UNC-pad gebruiken om het bestand vanaf de clientcomputer via het netwerk te selecteren (gebruik bijvoorbeeld de Windows admin-share-padindeling
\computer123c$toolstcpview64.exe) - Ik wil toestaan dat dit bestand wordt uitgevoerd op basis van de naam, ongeacht de versie. De schuifregelaar moet worden verplaatst naar deBestandsnaam. Of configureer flexibelere voorwaarden met behulp van deGebruik aangepaste waardenoptie.
- In deUitzonderingensectie kunt u uitzonderingen op de regel maken op basis van pad, uitgever of bestandshash. U kunt bijvoorbeeld voorkomen dat oude, kwetsbare versies van apps worden uitgevoerd of deze beperken tot bepaalde mappen.
- Stel de nieuwe AppLocker-regelnaam in.
Laten we nu een regel maken die voorkomt dat gebruikers de app AnyDesk.exe uitvoeren.
- Voeg een nieuwe AppLocker-regel toe
- De regel moet voorkomen dat iemand de app uitvoert. Selecteer actie:Ontkennen, Gebruiker of Groep:Iedereen.
- Maak een Publisher-regel en blader naar het uitvoerbare bestand AnyDesk.
- Deze regel moet van toepassing zijn, ongeacht de versie of locatie van het bestand. U kunt de lancering van door de uitgever ondertekende bestanden volledig weigeren
O=ANYDESK SOFTWARE GMBHof beperk het op productnaam.
- Een dergelijke regel zorgt ervoor dat het programma niet kan worden gestart, ongeacht de map waar het uitvoerbare bestand zich bevindt of de daadwerkelijke bestandsnaam.
Hoewel lokale beheerders alle lokale uitvoerbare bestanden mogen uitvoeren, heeft een weigeringsregel altijd voorrang en blokkeert deze de uitvoering.
Als u de AppLocker-regels die u maakt op clientcomputers wilt toepassen, opent u de AppLocker-eigenschappen in de GPO-console. Er zijn hier vier soorten regels beschikbaar:
- Uitvoerbare regels– regels voor klassieke Win32 uitvoerbare (Exe) bestanden
- Windows-installatieprogrammaregels – MSI-installatieregels
- Scriptregels– regels voor scriptuitvoering
- Alle regels verpakt– regels voor Microsoft Store AppX/MSIX-pakketten
Standaard worden AppLocker-regels niet toegepast. Om regels op clients toe te passen, moet u deGeconfigureerdoptie en selecteer of u de regels wilt toepassenAlleen auditof binnenRegels afdwingenmodus.
Het wordt aanbevolen om de regels in eerste instantie in de auditmodus toe te passen om hun impact op clients te testen zonder de uitvoering van de app daadwerkelijk te blokkeren
Koppel het groepsbeleidsobject met AppLocker-instellingen aan de doel-OE (het wordt sterk aanbevolen om eerst de softwarebeperkingsregels op testcomputers/OE's te testen).
Nadat u nieuwe groepsbeleidsinstellingen op een client hebt toegepast, controleert u hoe AppLocker-regels erop werken. Omdat de AppLocker-regels momenteel in de auditmodus worden toegepast, wordt het starten van applicaties niet daadwerkelijk geblokkeerd.
U kunt Logboeken van Logboeken gebruiken om te bepalen hoe AppLocker-beleid wordt geactiveerd wanneer specifieke uitvoerbare bestanden worden gestart. Open de Event Viewer-console (eventvwr.msc) en navigeer naarLogboeken van toepassingen en services -> Microsoft -> Windows -> AppLocker -> EXE en DLL.
Wanneer AppLocker een poging detecteert om een geblokkeerd uitvoerbaar bestand uit te voeren, registreert het een waarschuwing met gebeurtenis-ID8003inclusief de naam van de geblokkeerde app.
%OSDRIVE%TOOLSANYDESK.EXE was allowed to run but would have been prevented from running if the AppLocker policy were enforced.
Als de toepassing mag worden uitgevoerd, wordt Gebeurtenis-ID8002zal worden toegevoegd.
Test AppLocker-regels onder niet-administratieve gebruikersaccounts, omdat beheerders met de standaardregels alle applicaties zonder beperkingen kunnen uitvoeren. Gebruikers moeten binnen hun sessies werken, de benodigde programma's starten en hun standaard dagelijkse taken uitvoeren.
Bekijk de apps waarvan de uitvoering is geblokkeerd op basis van de auditgebeurtenissen. U kunt PowerShell gebruiken om de Event Viewer-logboeken te doorzoeken en een lijst op te halen met apps die zijn geblokkeerd door AppLocker-regels op een computer.
$TimeSpan = (Get-Date).AddHours(-24)
Get-WinEvent -FilterHashtable @{LogName = "Microsoft-Windows-AppLocker/EXE and DLL"; Id = 8003; StartTime = $TimeSpan } | Format-Table TimeCreated, Message -AutoSize
Als het huidige applicatiebeheerbeleid een vereist uitvoerbaar bestand blokkeert, bewerkt u het AppLocker GPO om een regel toe te voegen waardoor die app kan worden uitgevoerd.
Nadat u fouten in de AppLocker-regels in de auditmodus heeft opgespoord, kunt u deze in de afgedwongen modus toepassen. Om dit te doen, wijzigt u de Audit-instelling in het AppLocker-beleid inRegels afdwingen.
AppLocker blokkeert nu de lancering van programma's die niet zijn geautoriseerd of expliciet zijn geweigerd.
This app has been blocked by your administrator
De gebeurtenis met ID 8004 wordt nu toegevoegd aan de Logboeken, die de naam van het geblokkeerde uitvoerbare bestand bevat.
%OSDRIVE%TOOLSANYDESK.EXE was prevented from running.
Het handmatig aanmaken van afzonderlijke regels voor elke toegestane of geblokkeerde app in AppLocker is tijdrovend en vervelend. Er zijn verschillende tools die het proces van het maken en implementeren van AppLocker-regels kunnen versnellen en verbeteren.
De AppLocker-configuratie-editor in de GPO-console heeft een functie voor het automatisch genereren van regels. De beheerder kan deGenereer automatisch regelsoptie en geef een doelmap op de referentiemachine op. Vervolgens genereert AppLocker een lijst met regels voor alle software die op de computer wordt gevonden.
U kunt ook AppLocker-regels maken door deze vanaf afzonderlijke computers te importeren. U kunt bijvoorbeeld een lijst met geblokkeerde uitvoerbare bestanden ophalen uit de Logboeken van Logboeken met behulp van PowerShell:
Get-ApplockerFileinformation -Eventlog -EventType Audited|fl
Op basis van deze informatie kunt u automatisch regels toevoegen aan het lokale AppLocker-beleid.
Get-ApplockerFileinformation -Eventlog -EventType Audited | New-ApplockerPolicy -RuleType Hash, Publisher -User jsmith -RuleNamePrefix AuditBased | Set-ApplockerPolicy –Merge
De nieuwe regels worden toegevoegd aan het lokale AppLocker-beleid van de computer. Van daaruit kunnen ze worden geëxporteerd en geïmporteerd naar het domein-GPO.
Zie ook:PowerShell uitschakelen met softwarebeperkingsbeleid GPO
Lijst met alleen geblokkeerde uitvoerbare bestanden (inclusief het aantal pogingen om elk bestand uit te voeren):
Get-AppLockerFileInformation -EventLog -EventType Denied -Statistics
Houd de volgende punten in gedachten bij het maken van AppLocker-regels:
Hoe zit het met de mogelijkheid om AppLocker tijdelijk op te schorten op een computer? U zou kunnen denken dat het stoppen van de Application Identity-service ervoor zou zorgen dat AppLocker-regels niet worden toegepast. Dit is echter niet waar.
Om AppLocker tijdelijk uit te schakelen op een computer, stopt u eerst de AppIDSvc-service en verwijdert u vervolgens deAppCache.dat,Exe.AppLocker, Enenz. AppLockerbestanden van deC:WindowsSystem32AppLockermap.
Moderne versies van Windows bevatten een extra mechanisme voor het controleren van uitvoerbare lanceringen, genaamdWindows Defender-toepassingscontrole (WDAC). Hoewel het iets complexer is om te configureren dan AppLocker, is het de betere keuze dankzij de flexibiliteit, schaalbaarheid en verbeterde beveiliging. In tegenstelling tot AppLocker, dat alleen in de gebruikersmodus werkt, kan WDAC de uitvoering van code zowel op kernelniveau (bijvoorbeeld stuurprogramma's) als op gebruikersmodus blokkeren.
