NAS-Speicher mit einer Kapazität von einigen Dutzend Terabyte, wie sie sich für mittelständische Anwender eignen, nimmt die ADMIN-Redaktion in der Ausgabe ... (mehr)

Regel-Automatik

Sie können Applocker auch veranlassen, automatisch Regeln zu erstellen. Dazu legen Sie ein bestimmtes Verzeichnis fest, das Applocker regelmäßig nach neuen Programmen scannt und diese automatisch in die Regeln aufnimmt. Klicken Sie zur Erstellung einer solchen automatischen Regel mit der rechten Maustaste auf »Ausführbare Regeln« , und wählen Sie die Option »Regeln automatisch generieren« . Wählen Sie im Assistenten das Verzeichnis aus, das Applocker einbinden soll, sowie die Benutzergruppe, für die die Regel gelten soll.

Im Anschluss wählen Sie aus, auf welcher Grundlage Applocker die Regel erstellen soll. Auch hier haben Sie die Möglichkeit, Herausgeber, Datei-Hash oder Pfad zu verwenden, genauso wie bei den manuellen Regeln. Ähnliche Dateien lassen sich auch in gemeinsamen Regeln zusammenfassen. Anschließend erstellt der Assistent Zulassungsregeln für die gefundenen Programme. Auch diese Regeln können Sie nachträglich anpassen.

Klicken Sie auf »Applocker« im linken Bereich der Konsole, können Sie auf der rechten Seite festlegen, wie sich Applocker auf den Client-Computern verhalten soll. Dazu wählen Sie die Option »Regelerzwingung konfigurieren« . Aktivieren Sie »Regeln erzwingen« oder die Einstellung »Nur überwachen« . Im Überwachungs-Modus setzt Applocker die Regeln nicht um, sondern protokolliert nur die betroffenen Anwendungen. Sie finden die Meldungen in der Ereignisanzeige unter »Anwendungs- und Dienstprotokolle | Microsoft | AppLocker« .

Auf der Registerkarte »Erweitert« aktivieren Sie die DLL-Regeln. Nach der Aktivierung finden Sie im linken Bereich der Konsole die neue Option »DLL-Regeln« . Hier erstellen Sie Applocker-Regeln auf Basis von DLL-Dateien. Diesen Bereich sollten Unternehmen aber erst dann verwenden, wenn es bereits eine Applocker-Infrastruktur gibt. DLL-Regeln erstellen Sie genauso wie Ausführbare-Regeln. Der Unterschied dabei ist nur, dass Sie keine ».com« - oder ».exe« -Dateien auswählen, sondern DLL-Dateien, welche die Regel erfassen soll. Auch hier können Sie bestimmte Versionen sperren, erlauben oder filtern wie bei Ausführbare-Regeln. Die Erstellung dieser Regeln funktioniert genauso wie alle anderen Regeln. Das Filtern von DLL-Dateien kann die Clientcomputer stark ausbremsen und eine große Anzahl von Anwendungen ungewollt sperren

Die Vorgängerversionen von Applocker sind die Richtlinien für Softwareeinschränkung (Windows Software Restrictions). Diese müssen Sie einsetzen, wenn Sie nicht zu Applocker kompatible Betriebssysteme im Einsatz haben. Die Richtlinien für Softwareeinschränkung unterstützen Windows XP/Vista, aber auch Windows Server 2003/2008.

USB-Sticks

Neben Applocker können Sie in Gruppenrichtlinien auf weitere Arten verhindern, dass Anwender Programme ausführen und dadurch die Sicherheit erhöhen. In Windows Server 2008 R2, Windows Vista und Windows 7 können Sie den Zugriff auf Wechselmedien wie USB-Sticks per Gruppenrichtlinie steuern. Die Richtlinie zur Steuerung von Wechselmedien finden Sie sowohl unter der Computerkonfiguration als auch in der Benutzerkonfiguration. Die Einstellungen für den Zugriff auf Wechselmedien sind unter »Computerkonfiguration/Richtlinien/Administrative Vorlagen/System/Wechselmedienzugriff« zu erreichen.

Die Einstellungen dieser Richtlinie sind selbst erklärend. Wenn Sie eine Richtlinie aufrufen, finden Sie auf der Registerkarte »Erklärung« eine ausführliche Information über die Auswirkungen der Richtlinien. Nicht jedes Brennprogramm von Drittherstellern hält sich an die Einstellungen in der Richtlinie für den schreibenden Zugriff auf CDs oder DVDs. Wenn Sie sicherstellen wollen, dass keine CDs oder DVDs gebrannt werden können, sollten Sie die Installation von DVD- oder CD-Brennern über die entsprechende Richtlinie einstellen. Die generellen Einstellungen für die Geräteinstallationen finden Sie über »Computerkonfiguration/Administrative Vorlagen/System/Geräteinstallation/Einschränkungen bei der Geräteinstallation« . Auf diesem Weg lässt sich verhindern, dass Anwender auf unberechtigte USB-Sticks zugreifen können.

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023