Active Directory.pdf - Gattner

526 Kapitel 13: Einsetzen von Gruppenrichtlinien zum Verwalten der Sicherheit
• Pfadregeln Sie können Regeln basierend auf dem Pfad erstellen, in dem sich die ausführbare
Datei der Anwendung befindet. Wenn Sie einen Ordner auswählen, sind alle Anwendungen in
dem Ordner von der Regel betroffen. Sie können auch Umgebungsvariablen (z.B. %systemroot%)
zur Angabe von Pfaden verwenden. Darüber hinaus können Sie Platzhalter in der Pfadregel
verwenden (z.B. *.vbs).
• Registrierungspfadregeln Sie können Regeln auch basierend auf den Speicherorten der Registrierung
erstellen, welche die Anwendung verwendet. Nahezu jede Anwendung hat in der Registrierung
einen Standardspeicherort, in dem sie anwendungsspezifische Informationen speichert. Dies
ermöglicht Ihnen das Erstellen einer Regel, die eine Anwendung auf der Basis dieser Registrierungsschlüssel
blockiert oder aktiviert. Im Menü zum Erstellen der Registrierungspfadregeln wird
keine registrierungsspezifische Option angezeigt, aber die Option Neue Pfadregel ermöglicht
Ihnen, diesen eindeutigen Satz von Regeln zu erstellen. Wenn Sie eine neue Richtlinie für Softwareeinschränkung
erstellen, werden vier standardmäßige Registrierungspfadregeln erstellt. Diese
Regeln konfigurieren eine uneingeschränkte Softwarerichtlinie für Anwendungen im Systemstammordner
und dem standardmäßigen Verzeichnis der Programmdateien.
• Netzwerkzonenregeln Der letzte Regeltyp basiert auf der Internetzone, aus der die Software heruntergeladen
wurde. Vielleicht möchten Sie z.B. eine Regel konfigurieren, um die Ausführung
aller aus der Zone der vertrauenswürdigen Sites heruntergeladenen Anwendungen zuzulassen,
oder eine Regel, um die Ausführung aller aus der Zone der eingeschränkten Sites heruntergeladenen
Anwendungen zu verhindern.
Wenn Sie Ihre standardmäßige Softwareeinschränkung so konfigurieren, dass alle Anwendungen mit
Ausnahme bestimmter Anwendungen ausgeführt werden sollten, definieren diese Regeln, welche
Anwendungen nicht ausgeführt werden. Falls Sie die restriktivere Regel zur Deaktivierung aller
Anwendungen festgelegt haben, bestimmen diese Regeln, welche Anwendungen ausgeführt werden
dürfen.
Standardmäßig werden mit Active Directory keine Richtlinien zur Softwareeinschränkung konfiguriert.
Klicken Sie zum Definieren einer Richtlinie mit der rechten Maustaste auf den Ordner Richtlinien
für Softwareeinschränkung, und wählen Sie Neue Richtlinien für Softwareeinschränkung. Auf
diese Weise wird eine Standardrichtlinie erstellt. Abbildung 13.7 zeigt die erstellten Objekte.
Der Ordner Sicherheitsstufen wird zum Definieren der Standardsicherheitsstufe verwendet. Der Ordner
enthält drei Objekte: Nicht erlaubt, Standardbenutzer und Nicht eingeschränkt. Wenn Sie die
Sicherheit so konfigurieren möchten, dass alle Anwendungen mit Ausnahme der angegebenen
Anwendung ausgeführt werden können, klicken Sie mit der rechten Maustaste auf das Objekt Nicht
eingeschränkt, und klicken Sie auf Als Standard. Wenn Sie die Ausführung aller Software mit Ausnahme
der angegebenen Anwendungen verhindern möchten, klicken Sie mit der rechten Maustaste
auf Nicht erlaubt und legen diese Einstellung als Standard fest. Die Sicherheitsstufe Nicht eingeschränkt
ist die Standardeinstellung.
Der Ordner Zusätzliche Regeln wird zum Konfigurieren der Softwareeinschränkungsregeln verwendet.
Klicken Sie zum Konfigurieren einer Regel mit der rechten Maustaste auf den Ordner Zusätzliche
Regeln, und wählen Sie den Typ der Regel aus, die Sie erstellen möchten. Wenn Sie zum Beispiel
eine neue Hashregel erstellen möchten, wählen Sie Neue Hashregel. Klicken Sie zum Erstellen
der neuen Hashregel auf Durchsuchen, und wählen Sie die Datei, die Sie mit dem Hash identifizieren
möchten. Wenn Sie die Datei auswählen, wird der Dateihash automatisch erstellt. Dann können Sie
konfigurieren, ob diese Anwendung Nicht eingeschränkt oder Nicht erlaubt ist oder mit der Sicherheitsstufe
Standardbenutzer ausgeführt werden kann. Die Oberfläche zum erneuten Konfigurieren
einer vorhandenen Hashregel ist in Abbildung 13.8 dargestellt.