AppLocker is een handige beveiligingsfunctie van Windows, verborgen in het lokale beveiligingsbeleid, waarmee beheerders bepaalde apps kunnen blokkeren of toestaan op basis van regels. Het is essentieel als je meer controle wilt over wat er op een computer draait – zie het als ouderlijk toezicht voor bedrijven. Maar er is een probleem: het beheren van die beleidsregels kan wat technisch zijn, vooral als je instellingen wilt kopiëren naar meerdere pc’s of een back-up van je regels wilt maken voordat je ermee aan de slag gaat. Het exporteren en importeren van AppLocker-beleid is de beste manier om te voorkomen dat je elke keer de regels helemaal opnieuw moet aanmaken. Bovendien is het handig voor het oplossen van problemen met vreemde applicatieblokkeringen of het herstellen van de standaardinstellingen na een verkeerde configuratie.
In deze handleiding lees je hoe je eenvoudig AppLocker-beleid kunt exporteren en importeren, zodat je een back-up kunt maken of regels kunt klonen op een ander systeem. Ook leg ik uit hoe je de instellingen kunt terugzetten naar de standaardwaarden als het te ingewikkeld wordt of als er iets misgaat. Want ja, Windows maakt het soms onnodig ingewikkeld.
Hoe exporteer en importeer je AppLocker-beleid in Windows 11?
Exporteer AppLocker-beleid naar XML — een snelle back-up
Door het beleid te exporteren, wordt het opgeslagen als een XML-bestand. Dit is erg handig als je wilt controleren welke regels zijn ingesteld of ze snel wilt terugdraaien als er iets misgaat. In sommige configuraties kan dit de eerste keer even wat problemen opleveren, maar zodra het is geëxporteerd, heb je een back-up. De belangrijkste reden om dit te doen is om een schone kopie van je huidige regels te bewaren of ze te delen over meerdere pc’s. Je hebt alleen toegang nodig tot de editor voor lokaal beveiligingsbeleid en wat geduld.
- Open secpol.msc door op te drukken Win + Ren het in te typen.
- Ga naar Toepassingsbeheerbeleid > AppLocker. Klik met de rechtermuisknop op AppLocker en selecteer Beleid exporteren.
- Kies waar u het XML-bestand wilt opslaan. Stel ‘Opslaan als type’ in op ‘XML-bestanden’, geef het een duidelijke naam en klik op ‘Opslaan’. Zorg ervoor dat het op een veilige locatie wordt opgeslagen, zoals een netwerkshare of een back-upmap.
- Klik op OK en wacht op het bevestigingsbericht. Soms is het een beetje vreemd en verschijnt het bericht niet meteen – heb geduld. Als je fouten krijgt, controleer dan je machtigingen of probeer de tool als beheerder uit te voeren.
Kort gezegd, hiermee maak je een betrouwbare back-up van al je AppLocker-regels. Op sommige computers kan de export eenmalig mislukken, maar na een herstart of door de export als beheerder uit te voeren, werkt het meestal wel. Het is belangrijk dat je beheerdersrechten hebt en dat er geen conflicterende groepsbeleidsregels zijn die de bewerking blokkeren.
AppLocker-beleid importeren — regels herstellen of klonen
Wanneer je een eerder geëxporteerd beleid wilt laden, is importeren de aangewezen methode. Dit is erg handig als je regels op nieuwe machines implementeert of wijzigingen ongedaan wilt maken na wat experimenteren. Ook dit proces is niet waterdicht – zorg ervoor dat je beheerdersrechten hebt, dan zou alles soepel moeten verlopen.
- Start secpol.msc — net als voorheen.
- Ga naar Toepassingsbeheerbeleid > AppLocker. Klik met de rechtermuisknop op AppLocker en selecteer Beleid importeren.
- Zoek het XML-bestand dat u eerder hebt geëxporteerd, selecteer het en klik vervolgens op Openen.
- U krijgt een bevestigingsvraag te zien. Klik op ‘Ja’ om de import te bevestigen.
- Na het importeren moet u mogelijk de computer opnieuw opstarten of het groepsbeleid vernieuwen om de regels van kracht te laten worden. Soms moet u gpupdate /force uitvoeren via de opdrachtprompt om de wijzigingen direct toe te passen.
Als er daarna niets vreemds gebeurt, zouden je app-beperkingen weer correct moeten zijn ingesteld. Houd er echter rekening mee dat in sommige configuraties de geïmporteerde regels mogelijk worden overschreven door domein-GPO’s, dus houd daar rekening mee als er iets niet goed lijkt te werken.
AppLocker-regels terugzetten naar de standaardinstellingen — opnieuw beginnen
Soms worden de regels te ingewikkeld of wil je gewoon met een schone lei beginnen. Hier lees je hoe je alles terugzet naar de standaardinstellingen van Windows. Ik weet niet zeker waarom het werkt, maar in sommige gevallen lost het terugzetten naar de standaardinstellingen alle vergrendelingsproblemen of vreemde blokkades op.
- Open secpol.msc.
- Ga naar Toepassingsbeheerbeleid > AppLocker.
- Klik met de rechtermuisknop op AppLocker en selecteer Beleid wissen.
- Bevestig wanneer daarom wordt gevraagd en klik vervolgens op OK.
- Om de wijzigingen door te voeren, moet u mogelijk de computer opnieuw opstarten of gpupdate /force uitvoeren in de opdrachtprompt met beheerdersrechten.
Dit reset alle regels, waardoor je weer met een schone lei begint. Als er iets verkeerd geconfigureerd was of als je een probleem aan het oplossen bent, helpt dit vaak om de boel op te ruimen.
Hoe exporteer ik het huidige AppLocker-beleid?
Naast het instellen van het lokale beveiligingsbeleid, kunt u ook PowerShell gebruiken voor een flexibelere aanpak. In sommige configuraties biedt de PowerShell-methode meer informatie of kunt u back-ups eenvoudig automatiseren.
- Open PowerShell als beheerder.
- Voer dit commando uit:
Get-AppLockerPolicy -Effective -Xml | Out-File -FilePath C:\Path\To\Your\Backup.xml - Hiermee wordt het huidige geldende beleid naar de door u opgegeven locatie geëxporteerd. U kunt dat bestand later laden in Groepsbeleid of importeren via de tool Lokaal beveiligingsbeleid.
Eerlijk gezegd zijn het iets meer stappen, maar het is handig als je beleid op veel machines implementeert of back-ups maakt met scripts. Ik snap niet waarom Windows het zo ingewikkeld maakt, maar goed, PowerShell is in ieder geval een optie.
Waar wordt het AppLocker-beleid opgeslagen?
De AppLocker-regels bevinden zich in de editor voor lokaal beveiligingsbeleid onder Toepassingsbeheerbeleid > AppLocker als u zich op een enkel, zelfstandig systeem bevindt. Maar in een domeinomgeving wordt alles meestal beheerd via Groepsbeleid in de Groepsbeleidsbeheerconsole. Dat is een heel ander verhaal: regels worden vanuit Active Directory gepusht en lokale instellingen kunnen worden genegeerd of overschreven. Om te zien welke regels daadwerkelijk actief zijn, voert u Get-AppLockerPolicy uit in PowerShell. Deze opdracht laat zien of lokaal of domeinbeleid voorrang heeft. Zo voorkomt u verwarring als de regels niet aan uw verwachtingen voldoen.
Onthoud in alle gevallen dat het aanpassen van beleidsregels tot problemen kan leiden als het verkeerd wordt gedaan. Maak een back-up, test en implementeer vervolgens – bij voorkeur tijdens een onderhoudsvenster of wanneer niemand in paniek zijn favoriete app hoeft te openen.