Hoe u AppLocker-beleid instelt en problemen oplost in Windows
Het beheren van welke apps op Windows mogen draaien kan een behoorlijke uitdaging zijn, vooral wanneer je beveiligingsbeleid wilt afdwingen of ongewenste software wilt blokkeren. Hoewel AppLocker al een tijdje bestaat, is het een beetje vreemd – niet iedereen weet hoe je het correct instelt of wat je moet doen als het niet lijkt te werken. Misschien probeer je een app zoals AnyDesk te blokkeren of wil je bepaalde gebruikers beperken zonder ze volledige beheerdersrechten te geven. Of misschien passen GPO’s het beleid niet correct toe en negeert je systeem de regels. Deze handleiding laat zien hoe je AppLocker instelt en gebruikt, hoe je regels maakt die daadwerkelijk worden nageleefd en wat je moet controleren als er iets mis lijkt te zijn. Je krijgt een betere controle over applicaties in je netwerk zonder je toevlucht te hoeven nemen tot verouderde of achterhaalde tools zoals softwarebeperkingsbeleid. Bovendien leer je hoe je problemen met het opstarten van apps kunt monitoren en oplossen. Want eerlijk gezegd, Windows kan dit soort dingen ingewikkelder maken dan nodig is.
Hoe los je het probleem op dat AppLocker niet werkt of apps niet correct blokkeert?
Methode 1: Controleren of de applicatie-identiteitsservice is ingeschakeld
Waarom dit helpt: AppLocker is afhankelijk van de Application Identity-service. Als deze niet actief is, worden regels niet afgedwongen. Of u nu bepaalde apps wilt blokkeren of toestaan, dit is de eerste stap. Wanneer is dit van toepassing? U merkt dat regels apps niet blokkeren of dat uw beleid niet wordt toegepast nadat u de melding ‘Toegang geweigerd’ ziet of onjuist gedrag constateert. Wat u kunt verwachten: Nadat u deze service hebt ingeschakeld en ingesteld om automatisch te starten, zou het beleid moeten worden toegepast en zou AppLocker zich moeten gedragen zoals geconfigureerd. Een praktische tip: In sommige configuraties is de Application Identity-service mogelijk standaard uitgeschakeld. Ga naar Services (typ `services.msc`), zoek Application Identity, stel deze in op Automatisch en start de service. Vergeet niet: Windows onthoudt deze wijziging niet na een herstart, tenzij u de service opnieuw instelt om automatisch te starten.
Methode 2: De juiste regels opstellen en ze correct toepassen
Waarom het helpt: Zonder de juiste regels, zelfs als AppLocker is ingeschakeld, hebben beleidsregels mogelijk geen effect. Het maken van regels voor de juiste softwarecategorie zorgt voor nauwkeurige controle. Wanneer is het van toepassing: Wanneer u merkt dat bepaalde apps niet worden geblokkeerd of toegestaan ondanks uw beleidsregels, of als regels helemaal niet worden afgedwongen. Wat u kunt verwachten: Nadat u regels hebt gedefinieerd voor uitvoerbare bestanden, scripts, MSI-installatieprogramma’s of MSIX-apps en de GPO correct hebt gekoppeld, krijgt u meer controle over de uitvoering van apps in uw omgeving. Tip: Als u iets blokkeert zoals AnyDesk.exe, zorg er dan voor dat u een Weigeren-regel maakt op basis van uitgever of pad, indien nodig. Klik met de rechtermuisknop op Uitvoerbare regels in de AppLocker-console en kies vervolgens Nieuwe regel maken. Selecteer Weigeren voor blokkering, kies de gebruikersgroepen en selecteer vervolgens Uitgever of Pad als voorwaarden. Voor uitgeversregels is het handig om de digitale handtekening van het uitvoerbare bestand op te zoeken, maar soms moet u de uitgeversinformatie handmatig opgeven als deze niet correct wordt herkend.
Methode 3: Regels toepassen via GPO in de handhavingsmodus voor daadwerkelijke blokkering
Waarom het helpt: Test in eerste instantie het beste in de auditmodus. Deze modus registreert wat geblokkeerd zou worden zonder de apps daadwerkelijk te stoppen. Zodra alles er goed uitziet, schakelt u over naar de handhavingsmodus. Wanneer is dit van toepassing? Nadat u het beleid in de auditmodus hebt getest en hebt gecontroleerd of het niets onbedoeld blokkeert dat kritieke apps bevat. Wat kunt u verwachten? Wanneer u overschakelt naar de handhavingsmodus, worden apps die niet expliciet zijn toegestaan geblokkeerd. Vaak verschijnt dan de melding “Deze app is geblokkeerd door uw beheerder”.Tip: Vergeet niet om het groepsbeleidsobject (GPO) te koppelen aan de juiste organisatie-eenheid (OU) of het juiste domein en gebruik gpmc.msc om het te beheren. Houd er ook rekening mee dat het beleid wordt toegepast na een herstart of een gpupdate /force. Voer deze opdracht dus uit op de clientcomputers om het proces te versnellen.
Methode 4: De gebeurtenislogboeken gebruiken om te debuggen en te controleren of de regels werken
Waarom het helpt: Als u zich afvraagt of uw regels worden geactiveerd of dat sommige apps er toch doorheen glippen, zijn de gebeurtenislogboeken in AppLocker uw beste vriend. Wanneer het van toepassing is: U hebt regels ingesteld, maar weet niet zeker of ze worden nageleefd of dat een app ondanks de beperkingen toch wordt uitgevoerd. Wat u kunt verwachten: Wanneer een app wordt geblokkeerd, geeft gebeurtenis-ID 8004 aan welk uitvoerbaar bestand is geblokkeerd. Als het is toegestaan, verschijnt gebeurtenis-ID 8002. Tip: Open eventvwr.msc en navigeer vervolgens naar Toepassings- en servicelogboeken > Microsoft > Windows > AppLocker > EXE en DLL. Om bijvoorbeeld problemen met AnyDesk op te lossen, controleert u of uw regels de pogingen van deze app detecteren. Met PowerShell, zoals `powershell Get-WinEvent -LogName “Microsoft-Windows-AppLocker/EXE and DLL” -ID 8003 -MaxEvents 50`, kunt u recente logboeken bekijken. Dit helpt u te controleren of uw regels werken of dat ze moeten worden aangepast.
Methode 5: Regels flexibeler maken of het aanmaken van regels automatiseren
Waarom het handig is: Handmatig regels maken voor elke app is een tijdrovende klus. Met tools die regels genereren op basis van bestaand app-gedrag kunt u uren besparen. Wanneer is het van toepassing? Bij het implementeren van beleid op meerdere pc’s of wanneer u snel bepaalde apps op een whitelist wilt plaatsen. Wat kunt u verwachten: Met ingebouwde functies zoals “Automatisch regels genereren” (te vinden in de GPO-editor onder AppLocker) kunt u een testmap selecteren, de apps daarin uitvoeren en AppLocker regels laten genereren op basis van de geïnstalleerde software. Tip: Voor geavanceerde scenario’s kunt u logboeken exporteren met PowerShell (Get-AppLockerFileInformation -EventLog -EventType Audited | fl) en controleren welke apps als geblokkeerd worden geregistreerd. Genereer vervolgens de bijbehorende regels.
Samenvatting
- Zorg ervoor dat de service Applicatie-identiteit is ingeschakeld en op automatisch staat.
- Maak de juiste regels aan, gericht op uitgever, pad of hash.
- Test eerst in de auditmodus voordat u overschakelt naar de afgedwongen modus.
- Gebruik de logboeken van de gebeurtenisviewer om regels op te sporen en te controleren.
- Maak gebruik van automatische generatiefuncties om het aanmaken van regels te versnellen.
Samenvatting
Het instellen van AppLocker-beleid zoals bedoeld kan wat lastig zijn, vooral met alle instellingen en eigenaardigheden van de logboekregistratie. Maar als het eenmaal goed is ingesteld, helpt het echt om de beveiliging en controle over het opstarten van applicaties te verbeteren. Houd er wel rekening mee dat sommige apps mogelijk uitzonderingen of speciale regels nodig hebben, en het is essentieel om de logboeken te controleren om te zien wat er precies gebeurt. Soms kan Windows vervelend zijn omdat beleidsregels lijken te worden genegeerd of niet volledig worden toegepast, maar met geduld en door alles stap voor stap te controleren, wordt het steeds makkelijker. Hopelijk bespaart dit iemand een paar uur.