So konfigurieren Sie Anwendungsbeschränkungsrichtlinien mit AppLocker in Windows

So richten Sie AppLocker-Richtlinien in Windows ein und beheben Probleme damit.

Die Verwaltung der unter Windows ausführbaren Anwendungen kann mühsam sein, insbesondere beim Durchsetzen von Sicherheitsrichtlinien oder Blockieren unerwünschter Software. Obwohl AppLocker schon länger existiert, ist es etwas ungewöhnlich – nicht jeder weiß, wie man es richtig einrichtet oder was zu tun ist, wenn es nicht zu funktionieren scheint. Vielleicht möchten Sie eine Anwendung wie AnyDesk blockieren oder bestimmte Benutzer einschränken, ohne ihnen volle Administratorrechte zu gewähren. Oder vielleicht wenden Gruppenrichtlinienobjekte (GPOs) die Richtlinien nicht korrekt an, und Ihr System ignoriert die Regeln einfach. Dieser Leitfaden zeigt Ihnen, wie Sie AppLocker einrichten und verwenden, wie Sie Regeln erstellen, die auch tatsächlich angewendet werden, und was Sie überprüfen sollten, wenn etwas nicht stimmt. Sie erhalten dadurch eine bessere Kontrolle über Anwendungen in Ihrem Netzwerk, ohne auf veraltete oder nicht mehr unterstützte Tools wie Softwareeinschränkungsrichtlinien zurückgreifen zu müssen. Außerdem lernen Sie, wie Sie Startprobleme von Anwendungen überwachen und beheben. Denn ehrlich gesagt, Windows kann diese Dinge unnötig kompliziert machen.

So beheben Sie Probleme mit AppLocker, das sich nicht anwenden lässt oder Apps nicht korrekt blockiert

Methode 1: Sicherstellen, dass der Anwendungsidentitätsdienst aktiviert ist

Warum es hilft: AppLocker benötigt den Dienst Anwendungsidentität. Ist dieser nicht aktiv, werden Regeln nicht durchgesetzt. Egal, ob Sie bestimmte Apps blockieren oder zulassen möchten, dies ist der erste Schritt. Wann es relevant ist: Sie stellen fest, dass Regeln Apps nicht blockieren oder Ihre Richtlinien nicht angewendet werden, nachdem Sie Meldungen wie „Zugriff verweigert“ erhalten oder ein fehlerhaftes Verhalten beobachtet haben. Was Sie erwarten können: Nachdem Sie diesen Dienst aktiviert und auf automatischen Start eingestellt haben, sollten die Richtlinien greifen und AppLocker wie konfiguriert funktionieren. Ein praktischer Tipp: Auf manchen Systemen ist der Dienst Anwendungsidentität standardmäßig deaktiviert.Öffnen Sie einfach die Dienste (geben Sie `services.msc` ein), suchen Sie nach Anwendungsidentität, stellen Sie den Starttyp auf Automatisch und starten Sie den Dienst. Wichtig: Windows speichert diese Änderung nach einem Neustart nicht, es sei denn, Sie stellen den automatischen Start erneut ein.

Methode 2: Die richtigen Regeln aufstellen und sie korrekt anwenden

Warum es hilft: Ohne die richtigen Regeln sind Richtlinien selbst bei aktiviertem AppLocker wirkungslos. Durch das Erstellen von Regeln für die korrekte Softwarekategorie wird eine präzise Kontrolle gewährleistet. Wann es relevant ist: Wenn Sie feststellen, dass bestimmte Apps trotz Ihrer Richtlinien nicht blockiert oder zugelassen werden oder wenn Regeln überhaupt nicht durchgesetzt werden. Was Sie erwarten können: Nachdem Sie Regeln für ausführbare Dateien, Skripte, MSI-Installationsprogramme oder MSIX-Anwendungen definiert und die Gruppenrichtlinie korrekt verknüpft haben, erhalten Sie mehr Kontrolle über die Anwendungsausführung in Ihrer Umgebung. Tipp: Wenn Sie beispielsweise AnyDesk.exe blockieren, erstellen Sie gegebenenfalls eine Verweigern-Regel basierend auf dem Herausgeber oder dem Pfad. Klicken Sie in der AppLocker-Konsole mit der rechten Maustaste auf Ausführbare Regeln und wählen Sie dann Neue Regel erstellen. Wählen Sie Verweigern als Blockierungsmethode, wählen Sie die Benutzergruppen und anschließend Herausgeber oder Pfad als Bedingungen aus. Bei Herausgeberregeln hilft es, die digitale Signatur der ausführbaren Datei aufzurufen – manchmal müssen Sie die Herausgeberinformationen jedoch manuell angeben, wenn sie nicht korrekt erkannt werden.

Methode 3: Anwenden von Regeln über Gruppenrichtlinienobjekte im Erzwingungsmodus für echte Blockierung

Warum es hilft: Testen Sie zunächst am besten im Überwachungsmodus. Dieser protokolliert, was blockiert worden wäre, ohne die Anwendungen tatsächlich zu stoppen. Sobald alles in Ordnung ist, wechseln Sie in den Erzwingungsmodus. Wann ist das relevant? Nachdem Sie die Richtlinien im Überwachungsmodus getestet und sichergestellt haben, dass sie keine kritischen Anwendungen unbeabsichtigt blockieren. Was Sie erwarten können: Im Erzwingungsmodus werden nicht explizit zugelassene Anwendungen blockiert. Häufig wird die Meldung „Diese App wurde von Ihrem Administrator blockiert“ angezeigt. Tipp: Vergessen Sie nicht, das Gruppenrichtlinienobjekt (GPO) mit der richtigen Organisationseinheit (OU) oder Domäne zu verknüpfen und es mit gpmc.msc zu verwalten. Beachten Sie außerdem, dass Richtlinien nach einem Neustart oder dem Befehl gpupdate /force angewendet werden. Führen Sie diesen Befehl daher auf den Clientcomputern aus, um die Anwendung zu beschleunigen.

Methode 4: Verwenden der Ereignisanzeige zum Debuggen und Bestätigen der Funktionsweise von Regeln

Warum es hilft: Wenn Sie sich fragen, ob Ihre Regeln greifen oder ob manche Apps durchrutschen, sind die Ereignisprotokolle in AppLocker Ihr bester Helfer. Wann es relevant ist: Sie haben Regeln festgelegt, sind sich aber nicht sicher, ob diese funktionieren oder ob eine App trotz Einschränkungen ausgeführt wird. Was Sie erwarten können: Wenn eine App blockiert wird, zeigt die Ereignis-ID 8004 an, welche ausführbare Datei verhindert wurde. Wenn die Ausführung erlaubt ist, erscheint die Ereignis-ID 8002. Tipp: Öffnen Sie eventvwr.msc und navigieren Sie zu Anwendungs- und Dienstprotokolle > Microsoft > Windows > AppLocker > EXE und DLL. Um beispielsweise Probleme mit AnyDesk zu beheben, prüfen Sie, ob Ihre Regeln dessen Ausführungsversuche abfangen. Mit PowerShell-Befehlen wie `powershell Get-WinEvent -LogName „Microsoft-Windows-AppLocker/EXE and DLL“ -ID 8003 -MaxEvents 50` erhalten Sie aktuelle Protokolle. Dies hilft Ihnen zu überprüfen, ob Ihre Regeln funktionieren oder angepasst werden müssen.

Methode 5: Regeln flexibler gestalten oder die Regelerstellung automatisieren

Warum es hilft: Manuelle Regeln für jede App zu erstellen, ist mühsam. Tools, die Regeln basierend auf dem Verhalten bestehender Apps generieren, sparen Ihnen Stunden. Wann es sinnvoll ist: Beim Bereitstellen von Richtlinien auf mehreren PCs oder wenn Sie bestimmte Apps schnell auf die Whitelist setzen möchten. Was Sie erwartet: Mit integrierten Funktionen wie „Regeln automatisch generieren“ (im Gruppenrichtlinien-Editor unter AppLocker) können Sie einen Testordner auswählen, die Apps darin ausführen und AppLocker Regeln basierend auf der installierten Software erstellen lassen. Tipp: In fortgeschrittenen Szenarien können Sie Protokolle mit dem PowerShell-Befehl `Get-AppLockerFileInformation -EventLog -EventType Audited | fl` exportieren und überprüfen, welche Apps als blockiert protokolliert werden. Generieren Sie anschließend entsprechende Regeln.

Zusammenfassung

  • Stellen Sie sicher, dass der Anwendungsidentitätsdienst aktiviert und auf „automatisch“ eingestellt ist.
  • Erstellen Sie korrekte Regeln, die auf Herausgeber, Pfad oder Hash abzielen.
  • Testen Sie im Prüfmodus, bevor Sie in den erzwungenen Modus wechseln.
  • Verwenden Sie die Ereignisanzeige-Protokolle zur Fehlerbehebung und zur Überprüfung von Regeln.
  • Nutzen Sie die automatischen Generierungsfunktionen, um die Regelerstellung zu beschleunigen.

Zusammenfassung

Die korrekte Einrichtung von AppLocker-Richtlinien kann etwas knifflig sein, insbesondere aufgrund der vielen Einstellungen und Besonderheiten der Protokollierung. Ist die Konfiguration jedoch einmal richtig, trägt sie wesentlich zur Erhöhung der Sicherheit und Kontrolle über Anwendungsstarts bei. Beachten Sie, dass manche Apps Ausnahmen oder spezielle Regeln benötigen. Die Überwachung der Protokolle ist unerlässlich, um die tatsächlichen Vorgänge zu verstehen. Windows kann mitunter Probleme bereiten, da Richtlinien scheinbar ignoriert oder nicht vollständig angewendet werden. Mit Geduld und der schrittweisen Überprüfung aller Schritte wird es aber einfacher. Hoffentlich spart dies dem einen oder anderen ein paar Stunden.