Verwalten von App-Paketen mit AppLocker
In diesem Artikel für IT-Experten werden Konzepte und Verfahren beschrieben, die Ihnen helfen, gepackte Apps mit AppLocker als Teil Ihrer allgemeinen Strategie für die Anwendungssteuerung zu verwalten.
Grundlegendes zu Paketen für Apps und gepackten App-Installationsprogrammen für AppLocker
Gepackte Apps basieren auf einem Modell, das sicherstellt, dass alle Dateien in einem App-Paket dieselbe Identität verwenden. Bei klassischen Windows-Apps kann jede Datei in der App eine eindeutige Identität aufweisen. Mit gepackten Apps ist es möglich, die gesamte App mithilfe einer einzelnen AppLocker-Regel zu steuern.
Hinweis
AppLocker unterstützt nur Herausgeberregeln für gepackte Apps. Alle gepackten Apps müssen vom Softwareherausgeber signiert werden, da Windows keine nicht signierten gepackten Apps unterstützt.
In der Regel besteht eine App aus mehreren Komponenten: dem Installationsprogramm, das zum Installieren der App verwendet wird, und einer oder mehreren EXE-Dateien, DLLs oder Skripts. Bei klassischen Windows-Apps haben nicht alle diese Komponenten immer gemeinsame Attribute wie Herausgebername, Produktname und Produktversion der Software. Daher steuert AppLocker jede dieser Komponenten separat über verschiedene Regelsammlungen, z. B. EXE, DLL, Skript und Windows Installer-Regeln. Im Gegensatz dazu verwenden alle Komponenten einer gepackten App denselben Herausgebernamen, Paketnamen und Paketversionsattribute. Daher können Sie eine gesamte App mit einer einzigen Regel steuern.
Vergleich von klassischen Windows-Apps und gepackten Apps
Die Regeln für klassische Windows-Apps und gepackte Apps können gleichzeitig erzwungen werden. Zu den Unterschieden zwischen gepackten Apps und klassischen Windows-Apps sollten Sie folgendes berücksichtigen:
- Installieren der Apps : Alle gepackten Apps können von einem Standardbenutzer installiert werden, während für viele klassische Windows-Apps Administratorrechte erforderlich sind. In einer Umgebung, in der die meisten Benutzer Standardbenutzer sind, benötigen Sie möglicherweise weniger EXE-Regeln (da klassische Windows-Apps Administratorrechte für die Installation erfordern), aber Sie benötigen möglicherweise mehr Regeln für gepackte Apps.
- Ändern des Systemzustands : Klassische Windows-Apps können geschrieben werden, um den Systemstatus zu ändern, wenn sie mit Administratorrechten ausgeführt werden. Die meisten gepackten Apps können den Systemstatus nicht ändern, da sie mit eingeschränkten Berechtigungen ausgeführt werden. Wenn Sie Ihre AppLocker-Richtlinien entwerfen, ist es wichtig zu verstehen, ob eine App, die Sie zulassen, systemweite Änderungen vornehmen kann.
AppLocker verwendet verschiedene Regelsammlungen, um gepackte Apps und klassische Windows-Apps zu steuern. Sie haben die Wahl, einen Typ, den anderen Typ oder beides zu steuern.
Informationen zum Steuern klassischer Windows-Apps finden Sie unter Verwalten von AppLocker.
Weitere Informationen zu gepackten Apps finden Sie unter Gepackte Apps und App-Installerregeln in AppLocker.
Entwurfs- und Bereitstellungsentscheidungen
Sie können zwei Methoden verwenden, um ein Inventar von gepackten Apps auf einem Computer zu erstellen: die AppLocker-Konsole oder das Cmdlet Get-AppxPackage Windows PowerShell.
Hinweis
Nicht alle gepackten Apps sind im AppLocker-Anwendungsinventur-Assistenten aufgeführt. Bestimmte App-Pakete sind Frameworkpakete, die von anderen Apps genutzt werden. Diese Pakete allein können nichts tun, aber das Blockieren solcher Pakete kann versehentlich zu Fehlern für Apps führen, die Sie zulassen möchten. Stattdessen können Sie Allow- oder Deny-Regeln für die gepackten Apps erstellen, die diese Frameworkpakete verwenden. Die AppLocker-Benutzeroberfläche filtert absichtlich alle Pakete heraus, die als Frameworkpakete registriert sind. Informationen zum Erstellen einer Bestandsliste finden Sie unter Erstellen einer Liste von Apps, die für jede Unternehmensgruppe bereitgestellt werden.
Informationen zur Verwendung des Cmdlets Get-AppxPackage Windows PowerShell finden Sie in der AppLocker PowerShell-Befehlsreferenz.
Informationen zum Erstellen von Regeln für gepackte Apps finden Sie unter Erstellen einer Regel für gepackte Apps.
Beachten Sie beim Entwerfen und Bereitstellen von Apps die folgenden Informationen:
- Da AppLocker nur Herausgeberregeln für gepackte Apps unterstützt, ist das Sammeln der Installationspfadinformationen für gepackte Apps nicht erforderlich.
- Sie müssen keine hash- oder pfadbasierten Regeln für gepackte Apps erstellen, da der Softwareherausgeber alle gepackten Apps und App-Installer signieren muss. Klassische Windows-Apps wurden nicht immer konsistent signiert. Daher muss AppLocker hash- oder pfadbasierte Regeln unterstützen.
- Wenn keine Regeln in einer bestimmten Regelsammlung vorhanden sind, lässt AppLocker standardmäßig jede Datei zu, die in dieser Regelsammlung enthalten ist. Wenn beispielsweise keine Windows Installer-Regeln vorhanden sind, lässt AppLocker die Ausführung aller .msi-, MSP- und MST-Dateien zu.
Hinweis
Standardmäßig blockiert AppLocker alle gepackten Apps, wenn die vorhandene Domänenrichtlinie Regeln in der EXE-Regelsammlung konfiguriert hat. Sie müssen explizite Maßnahmen ergreifen, um gepackte Apps in Ihrem Unternehmen zuzulassen. Sie können nur einen ausgewählten Satz von gepackten Apps zulassen. Wenn Sie alle gepackten Apps zulassen möchten, können Sie eine Standardregel für die Sammlung verpackter Apps erstellen.
Verwenden von AppLocker zum Verwalten von gepackten Apps
Ebenso wie bei der Verwaltung der einzelnen Regelsammlungen Unterschiede bestehen, müssen Sie die gepackten Apps mit der folgenden Strategie verwalten:
Sammeln Sie Informationen darüber, welche gepackten Apps in Ihrer Umgebung ausgeführt werden. Informationen zum Sammeln dieser Informationen finden Sie unter Erstellen einer Liste von Apps, die für jede Unternehmensgruppe bereitgestellt werden.
Erstellen Sie AppLocker-Regeln für bestimmte gepackte Apps basierend auf Ihren Richtlinienstrategien. Weitere Informationen finden Sie unter Erstellen einer Regel für gepackte Apps und Grundlegendes zu AppLocker-Standardregeln.
Aktualisieren Sie weiterhin die AppLocker-Richtlinien, wenn neue Paket-Apps in Ihre Umgebung eingeführt werden. Informationen zu diesem Update finden Sie unter Hinzufügen von Regeln für gepackte Apps zum vorhandenen AppLocker-Regelsatz.
Überwachen Sie Ihre Umgebung weiterhin, um die Wirksamkeit der Regeln zu überprüfen, die in AppLocker-Richtlinien bereitgestellt werden. Informationen zu dieser Überwachung finden Sie unter Überwachen der App-Nutzung mit AppLocker.