In diesem Lernprogramm erfahren Sie, wie Sie die Gruppenrichtlinienanwendungssperre auf dem Windows 2012-Server konfigurieren.

In diesem Lernprogramm erfahren Sie, wie Sie die Installation oder Ausführung aller Anwendungen blockieren.

In diesem Lernprogramm erfahren Sie, wie eine bestimmte Anwendung ausgeführt werden kann.

Dies wird Ihrer Computerumgebung helfen, internationale Sicherheitszertifizierungen wie ISO 27001 zu erfüllen.

Auf dem Domänencontroller wird Windows 2012 R2 ausgeführt.

Auf den Domänencomputern wird Windows 7 und Windows 10 ausgeführt.

Application Locker funktioniert unter Windows Enterprise oder Ultimate Edition.

Application Locker funktioniert nicht unter Windows Professional Edition.

Hardwareliste:

Der folgende Abschnitt enthält eine Liste der zum Erstellen dieses Windows-Lernprogramms verwendeten Geräte.

Jedes oben aufgeführte Stück Hardware kann auf der Amazon Website gefunden werden.

Windows Playlist:

Auf dieser Seite bieten wir einen schnellen Zugriff auf eine Liste von Videos zu Windows.

Vergiss nicht, unseren YouTube-Kanal zu abonnieren FKIT.

Windows-Tutorial:

Auf dieser Seite bieten wir einen schnellen Zugriff auf eine Liste von Tutorials zu Windows.

Lernprogramm – Erstellen des Application Locker-Gruppenrichtlinienobjekts

Die folgenden Aufgaben wurden auf einem Domänencontroller ausgeführt, auf dem Windows 2012 R2 mit Active Directory ausgeführt wird.

Klicken Sie auf das Startmenü, suchen Sie das Gruppenrichtlinienverwaltungs-Tool, und öffnen Sie es.

Suchen Sie auf dem Bildschirm Gruppenrichtlinienverwaltung den Ordner mit dem Namen Gruppenrichtlinienobjekte.

Klicken Sie mit der rechten Maustaste auf den Ordner Gruppenrichtlinienobjekte und wählen Sie die Option Neu.

Geben Sie einen Namen für Ihre neue Richtlinie ein.

In unserem Beispiel wurde das neue Gruppenrichtlinienobjekt benannt: SOFTWARE POLICY.

Erweitern Sie auf dem Bildschirm Gruppenrichtlinienverwaltung den Ordner Gruppenrichtlinienobjekte.

Klicken Sie mit der rechten Maustaste auf das neue Gruppenrichtlinienobjekt, und wählen Sie die Option Bearbeiten aus.

Auf dem Gruppenrichtlinien-Editor werden Benutzerkonfigurationen und Computerkonfigurationen angezeigt.

Wir werden nur die Computerkonfigurationen ändern.

Wir müssen keine Benutzerkonfiguration ändern.

Zuerst müssen wir den Windows-Dienst namens Application Identity so konfigurieren, dass er automatisch gestartet wird.

Erweitern Sie im Gruppenrichtlinieneditor den Computerkonfigurationsordner und suchen Sie das folgende Element.

• Computerkonfiguration> Windows-Einstellungen> Sicherheitseinstellungen> Systemdienste

Auf der rechten Seite wird die Liste der verfügbaren Dienste für Windows angezeigt.

Doppelklicken Sie auf das Konfigurationselement Application Identity.

Auf dem Bildschirm Konfigurationselement müssen Sie die Option Automatisch auswählen.

Damit das Anwendungs-Schließfach funktioniert, muss auf den Domänencomputern der Anwendungsidentitätsdienst ausgeführt werden.

Lernprogramm – Konfigurieren des Application Locker-Gruppenrichtlinienobjekts

Erweitern Sie im Gruppenrichtlinieneditor den Computerkonfigurationsordner und suchen Sie das folgende Element.

• Computerkonfiguration> Windows-Einstellungen> Sicherheitseinstellungen> Anwendungssteuerungsrichtlinien> AppLocker

Auf der rechten Seite werden die Konfigurationselemente angezeigt, die für die Richtlinien für das Anwendungs-Schließfach verfügbar sind.

Klicken Sie auf das Konfigurationselement namens Regelerzwingung konfigurieren.

Das Fenster mit den Eigenschaften von AppLocker wird angezeigt.

Aktivieren Sie die ausführbaren Regeln und wählen Sie die Option Regeln erzwingen.

Aktivieren Sie die Windows Installer-Regeln und wählen Sie die Option Regeln erzwingen.

Aktivieren Sie die Regeln für die Packaged App und wählen Sie die Option Regeln erzwingen.

Klicken Sie auf die Schaltfläche OK.

Als nächstes müssen wir die Standard-Softwareregeln erstellen.

Klicken Sie mit der rechten Maustaste auf die Richtlinien für ausführbare Regeln, und wählen Sie die Option Standardregeln erstellen aus.

Um die Gruppenrichtlinienerstellung abzuschließen, müssen Sie das Gruppenrichtlinieneditorfenster schließen.

Nur wenn Sie das Gruppenrichtlinienfenster schließen, speichert das System Ihre Konfiguration.

Die ausführbaren Standardregeln geben Folgendes an:

Jede EXE-Datei im Windows-Ordner darf ausgeführt werden.

Jede EXE-Datei im Ordner Programmdateien darf ausgeführt werden.

Die Mitglieder der Administratorengruppe dürfen beliebige EXE-Dateien ausführen.

Um eine andere Anwendung zu autorisieren, klicken Sie mit der rechten Maustaste auf die ausführbaren Regeln und wählen Sie die Option Neue Regel erstellen.

Klicken Sie mit der rechten Maustaste auf die Windows-Installer-Regeln und wählen Sie die Option Standardregeln erstellen.

Um eine andere Anwendung zu autorisieren, klicken Sie mit der rechten Maustaste auf die Windows-Installer-Regeln und wählen Sie die Option Neue Regel erstellen.

Klicken Sie mit der rechten Maustaste auf die Regeln für die Paket-App und wählen Sie die Option Standardregeln erstellen aus.

Um die Gruppenrichtlinienerstellung abzuschließen, müssen Sie das Gruppenrichtlinieneditorfenster schließen.

Nur wenn Sie das Gruppenrichtlinienfenster schließen, speichert das System Ihre Konfiguration.

Lernprogramm – Anwenden des Application Locker-Gruppenrichtlinienobjekts

Sie haben die Erstellung des GPO für das Anwendungs-Schließfach abgeschlossen.

Sie müssen jedoch weiterhin die Verwendung Ihrer neuen Gruppenrichtlinie aktivieren.

Auf dem Bildschirm Gruppenrichtlinienverwaltung müssen Sie mit der rechten Maustaste auf die gewünschte Organisationseinheit klicken und die Option zum Verknüpfen eines vorhandenen Gruppenrichtlinienobjekts auswählen.

In unserem Beispiel verknüpfen wir die Gruppenrichtlinie SOFTWARE POLICY mit der Wurzel unserer Domäne namens TECH.LOCAL.

Nach dem Anwenden des Gruppenrichtlinienobjekts müssen Sie 10 oder 20 Minuten warten.

Während dieser Zeit wird das Gruppenrichtlinienobjekt auf andere Domänencontroller repliziert.

Nachdem Sie 20 Minuten gewartet haben, sollten Sie den Computer eines Benutzers neu starten.

Während des Starts erhält der Computer eine Kopie der neuen Gruppenrichtlinie und wendet sie an.

Um die Konfiguration zu testen, müssen Sie sich auf einem Domänencomputer anmelden, eine beliebige Software herunterladen und versuchen, sie auszuführen.

Ihr Computer sollte automatisch jede Anwendung blockieren, die nicht speziell für das GPO ausgeführt werden darf.