Freigeben über

Grundlegendes zur Pfadregelbedingung in AppLocker

In diesem Artikel wird erläutert, wie Sie die AppLocker-Pfadregelbedingung und ihre Vor- und Nachteile anwenden.

Die Pfadbedingung identifiziert eine Anwendung anhand ihres Speicherorts im Dateisystem des Computers oder im Netzwerk.

Pfadregeln, die die Verweigern-Aktion verwenden, sind weniger effektiv als andere Arten von Regeln, da ein Benutzer (oder eine Schadsoftware, die als Benutzer fungiert) die Datei leicht an einen anderen Speicherort kopieren kann, um sie auszuführen. Da Pfadregeln Speicherorte im Dateisystem angeben, sollten Sie sicherstellen, dass keine Unterverzeichnisse vorhanden sind, die von Nichtadministratoren beschreibbar sind. Wenn Sie beispielsweise eine Pfadregel mithilfe der Aktion zulassen für C:\ erstellen, kann jede Datei unter diesem Speicherort ausgeführt werden, einschließlich der Datei in den Benutzerprofilen. In der folgenden Tabelle werden die Vor- und Nachteile der Pfadbedingung beschrieben.

Vorteile der Pfadbedingung Nachteile der Pfadbedingung
  • Sie können problemlos viele Ordner oder eine einzelne Datei steuern.
  • Sie können das Sternchen (*) als Platzhalterzeichen in Pfadregeln verwenden.
    		•
  • Es ist möglicherweise weniger sicher, wenn eine Regel, die für die Verwendung eines Ordnerpfads konfiguriert ist, Unterordner enthält, die von Nichtadministratoren beschreibbar sind.
  • Sie müssen den vollständigen Pfad zu einer Datei oder einem Ordner angeben, wenn Sie Pfadregeln erstellen, damit die Regel ordnungsgemäß erzwungen wird.
    		•

    AppLocker erzwingt keine Regeln, die Pfade mit kurzen Namen angeben. Sie sollten beim Erstellen von Pfadregeln immer den vollständigen Pfad zu einer Datei oder einem Ordner angeben, damit die Regel ordnungsgemäß erzwungen wird.

    Das Sternchen (*) Platzhalterzeichen kann im Feld Pfad verwendet werden. Das sternchen (*)-Zeichen, das selbst verwendet wird, stellt einen beliebigen Pfad dar. In Kombination mit einem beliebigen Zeichenfolgenwert ist die Regel auf den Pfad der Datei und alle Dateien unter diesem Pfad beschränkt. Beispielsweise gibt %ProgramFiles%\Internet Explorer\* an, dass sich die Regel auf alle Dateien und Unterordner im Ordner Internet Explorer auswirkt.

    AppLocker verwendet Pfadvariablen für bekannte Verzeichnisse in Windows. Pfadvariablen sind keine Umgebungsvariablen. Die AppLocker-Engine kann nur AppLocker-Pfadvariablen interpretieren. In der folgenden Tabelle sind diese Pfadvariablen aufgeführt.

    Windows-Verzeichnis oder -Laufwerk AppLocker-Pfadvariable Windows-Umgebungsvariable
    Windows %WINDIR% %SystemRoot%
    System32 und sysWOW64 %SYSTEM32% %SystemDirectory%
    Windows-Installationsverzeichnis %OSDRIVE% %SystemDrive%
    Programme %PROGRAMFILES% %ProgramFiles% und %ProgramFiles(x86)%
    Wechselmedien (z. B. CD oder DVD) %REMOVABLE%
    Wechselmediengerät (z. B. USB-Speicherstick) %HOT%

    Eine Übersicht über die drei Arten von AppLocker-Regelbedingungen und deren Vor- und Nachteile finden Sie unter Grundlegendes zu AppLocker-Regelbedingungstypen.