Wenn Sie Windows-Geräte in Ihrer Organisation mit der Windows-Geräteverwaltung verwalten, können Sie durch Verwendung benutzerdefinierter Einstellungen in der Google Admin-Konsole einschränken, welche Anwendungen auf diesen Geräten zulässig sind. Sie geben die Anwendungen in einer XML-Datei an, die Sie als Wert der benutzerdefinierten Einstellung hochladen. Sie können einzelne Anwendungen oder alle Anwendungsdateien blockieren, die einem bestimmten Typ entsprechen, z. B. EXE- oder MSI-Dateien.
Schritt 1: Zulässige und blockierte Anwendungen in einer XML-Datei angeben
Die XML-Datei lässt sich über die Befehlszeile in PowerShell oder das GUI im Windows-Gruppenrichtlinien-Editor erstellen. In dieser Anleitung erfahren Sie, wie Sie eine einzelne Richtlinie erstellen. Sie können ähnliche Richtlinien für Anwendungen mit demselben Dateityp aber auch in einer XML-Datei kombinieren. Beispiele
Wichtig: Wenn Sie verschiedene Typen von Anwendungsdateien (EXE, MSI, Script, StoreApps und DLLs) blockieren möchten, müssen Sie verschiedene benutzerdefinierte Einstellungen erstellen.
Option 1: Befehlszeile (PowerShell)- Rufen Sie mit einem Online-GUID-Generator eine zufällige GUID ab. Tipp: Suchen Sie in einer Suchmaschine nach
Online GUID Generator
. - Wenn Sie eine bestimmte Anwendung blockieren möchten, rufen Sie die zugehörigen Informationen ab. Wenn Sie alle Anwendungen mit einem bestimmten Dateityp blockieren möchten, können Sie diesen Schritt überspringen.
- Laden Sie auf einem Windows-Gerät die ausführbare Datei der Anwendung (mit der Endung „.exe“) herunter, die Sie blockieren oder zulassen möchten.
- Öffnen Sie PowerShell.
- Führen Sie Get-AppLockerFileInformation -path PathToExe | format-list aus, wobei PathToExe der Pfad zur ausführbaren Datei ist.
- Notieren Sie die Werte in der Zeile
Publisher
der Antwort. Die Werte haben das folgende Format und entsprechen denen, die Sie dann in der XML-Datei verwenden:PublisherName\ProductName\BinaryName,BinaryVersion
Der Name des Publishers ist ein langer String, z. B.
O=MICROSOFT CORPORATION, L=REDWOOD, S=WASHINGTON, C=US
. Sie müssen den gesamten String übernehmen.
- Kopieren Sie den folgenden XML-Code in einen Texteditor:
<RuleCollection Type="Type" EnforcementMode="Enabled">
<FilePublisherRule Id=GUID Name=PolicyName Description=PolicyDescription UserOrGroupSid=UserOrGroupSid Action=[Allow|Deny]>
<Conditions>
<FilePublisherCondition PublisherName=PublisherName BinaryName=BinaryName ProductName=ProductName>
<BinaryVersionRange HighSection=latestVersion LowSection=earliestVersion />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
</RuleCollection> - Bearbeiten Sie den XML-Code und ersetzen Sie die kursiv dargestellten Platzhalter durch die entsprechenden Werte. Informationen zu bestimmten Anwendungsfällen, z. B. zum Gruppieren mehrerer Richtlinien in einer Datei, finden Sie in den Beispielen.
Platzhalter Wert Type Der Anwendungsdateityp (muss mit dem OMA-URI übereinstimmen):
- Geben Sie bei EXE-Dateien
"Exe"
ein. - Geben Sie bei MSI-Dateien
"Msi"
ein. - Geben Sie für Skriptdateien
"Script"
ein. - Geben Sie bei DLL-Dateien
"Dll"
ein. - Geben Sie für Apps aus dem Microsoft Store
"Appx"
ein.
GUID Die in Schritt 1 generierte GUID PolicyName Ein Name für die Richtlinie. Sie können einen beliebigen String verwenden. PolicyDescription Eine Beschreibung der Richtlinie UserOrGroupSid Die Nutzer oder Gruppen, für die die Richtlinie gilt: - Wenn Sie die Richtlinie auf alle Nutzer des Geräts anwenden möchten, geben Sie S-1-1-0 ein.
- Um die Richtlinie auf einen bestimmten Nutzer anzuwenden, geben Sie dessen SID ein. Führen Sie in der Befehlszeile Folgendes aus, um die SID abzurufen:
wmic username get name,sid
Dabei ist username der Nutzername der Person auf dem Gerät. Wenn Sie den Nutzernamen nicht kennen, können Sie mit folgendem Befehl eine Liste aller Nutzer auf dem Gerät abrufen:
wmic useraccount get name,sid
-
Sie können nur einen Nutzernamen eingeben. Wenn Sie die Richtlinie auf mehrere Nutzer anwenden möchten, fassen Sie die Nutzer entweder in einer Gruppe zusammen oder kopieren Sie die Richtlinie und ändern Sie dann jeweils den Namen.
- Um die Richtlinie auf eine bestimmte Gruppe anzuwenden, geben Sie deren SID ein. Führen Sie in der Befehlszeile folgenden Befehl aus, um die Gruppen-SID abzurufen:
wmic groupName get name,sid
Dabei ist groupName der Name der Gruppe auf dem Gerät. Wenn Sie den Gruppennamen nicht kennen, können Sie mit folgendem Befehl eine Liste aller Gruppen auf dem Gerät abrufen:
wmic group get name,sid
Allow|Deny Wählen Sie die Aktion für diese Richtlinie aus, also ob die angegebenen Anwendungen blockiert („Deny“) oder zugelassen („Allow“) werden. PublisherName Der Name des Publishers der Anwendung („PublisherName“ aus Schritt 2). Sie können den Platzhalter * verwenden, der Abgleich mit regulären Ausdrücken sowie Präfix- oder Suffixplatzhalter werden jedoch nicht unterstützt. BinaryName Der Dateiname des Binärprogramms ("BinaryName" aus Schritt 2). Sie können den Platzhalter * verwenden, der Abgleich mit regulären Ausdrücken sowie Präfix- oder Suffixplatzhalter werden jedoch nicht unterstützt.
Wenn Sie beispielsweise alle EXE-Dateien blockieren möchten, geben Sie * ein und wählen Sie beim Hinzufügen der benutzerdefinierten Einstellung den OMA-URI aus, der mit /EXE/policy endet.
ProductName Der Name des Produkts ("ProductName" aus Schritt 2). Sie können den Platzhalter * verwenden, der Abgleich mit regulären Ausdrücken sowie Präfix- oder Suffixplatzhalter werden jedoch nicht unterstützt. latestVersion Die neueste Versionsnummer der Anwendung, für die diese Richtlinie gilt. Wenn Sie alle Versionen der Anwendung blockieren möchten, geben Sie * ein. earliestVersion Die älteste Versionsnummer der Anwendung, für die diese Richtlinie gilt. Wenn Sie alle Versionen der Anwendung blockieren möchten, geben Sie „*“ ein. - Geben Sie bei EXE-Dateien
-
Speichern Sie die Datei.
- Folgen Sie der Anleitung im Abschnitt "Generating the XML" (XML generieren) in diesem englischsprachigen Microsoft-Artikel. Führen Sie nur die Schritte in diesem Abschnitt aus. Der folgende Abschnitt „Creating the Policy“ (Richtlinie erstellen) spielt hier keine Rolle mehr.
Hinweis: In dieser Anleitung wird beschrieben, wie Sie eine Richtlinie für eine auf dem Gerät installierte Anwendung erstellen. Wenn Sie eine Richtlinie für eine Anwendung erstellen möchten, die nicht auf dem Gerät installiert ist, wählen Sie in Schritt 6 Use a packaged app installer as a reference (Installationsprogramm für gepackte App als Referenz verwenden) aus.
- Nachdem Sie die XML-Datei exportiert haben, entfernen Sie die erstellte Richtlinie im Editor für Gruppenrichtlinien. Andernfalls wird die Richtlinie auf dem Gerät erzwungen.
Schritt 2: Benutzerdefinierte Einstellung hinzufügen
-
Melden Sie sich in der Google Admin-Konsole an.
Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.
-
Gehen Sie in der Admin-Konsole zum Menü Geräte Mobilgeräte und Endpunkte Einstellungen Windows.
- Klicken Sie auf Benutzerdefinierte Einstellungen.
- Klicken Sie auf Benutzerdefinierte Einstellung hinzufügen.
- Konfigurieren Sie die benutzerdefinierte Einstellung:
- Geben Sie im Feld „OMA-URI“ ApplicationLaunchRestriction ein und wählen Sie den OMA-URI aus, der dem Dateityp der Anwendung in der Richtlinie entspricht:
- Wählen Sie bei EXE-Dateien ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/EXE/Policy aus.
- Wählen Sie für Anwendungen aus dem Microsoft Store ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/AppStore/Policy aus.
- Wählen Sie für MSI-Dateien ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/MSI/Policy aus.
- Wählen Sie für PowerShell-Skripts ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/Script/Policy aus.
- Wählen Sie für DLL-Dateien ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/DLL/Policy aus.
Weitere Informationen finden Sie in der Dokumentation zu AppLocker CSP von Microsoft.
- Ersetzen Sie im OMA-URI <Enter Grouping> durch einen zufälligen alphanumerischen String, der für jede benutzerdefinierte Einstellung eindeutig ist. Wenn Sie beispielsweise eine benutzerdefinierte Einstellung zum Blockieren von EXE-Dateien und eine weitere Einstellung zum Blockieren von MSI-Dateien hinzufügen, verwenden Sie für jede benutzerdefinierte Einstellung einen anderen Wert.
- Wenn Sie den OMA-URI auswählen, wird das Feld Name in „Richtlinie“ geändert. Geben Sie einen eindeutigen Namen ein, damit Sie ihn in der Liste der benutzerdefinierten Einstellungen identifizieren können.
- Wählen Sie als Datentyp die Option String (XML) aus, klicken Sie auf XML hochladen und wählen Sie die XML-Konfigurationsdatei aus, die Sie im ersten Abschnitt erstellt haben.
- Optional: Geben Sie eine Beschreibung ein, die die Aktion der benutzerdefinierten Einstellung beschreibt und für wen sie gilt.
- Geben Sie im Feld „OMA-URI“ ApplicationLaunchRestriction ein und wählen Sie den OMA-URI aus, der dem Dateityp der Anwendung in der Richtlinie entspricht:
- Klicken Sie dann auf Weiter und wählen Sie die Organisationseinheit aus, für die die benutzerdefinierte Einstellung gelten soll, oder klicken Sie auf Weitere hinzufügen, um eine neue Einstellung anzulegen. Zusätzliche Richtlinien werden erst auf eine Organisationseinheit angewendet, wenn Sie auf Weiter klicken und die Organisationseinheit auswählen.
- Wählen Sie die Organisationseinheit aus, auf die die Richtlinie angewendet werden soll.
- Klicken Sie auf Anwenden.
Wenn ein Nutzer in der Organisationseinheit versucht, eine blockierte Anwendung auf seinem Windows-Gerät zu installieren oder zu öffnen, erhält er die Fehlermeldung, dass die Anwendung durch den Systemadministrator blockiert wurde.
Beispiele für XML-Dateien
Nur signierte Anwendungen zulassen (alle nicht signierten blockieren)Wenn diese Richtlinie gilt, können Nutzer nur signierte Anwendungen installieren. Außerdem werden nicht signierte Anwendungen mit dem im OMA-URI angegebenen Dateityp blockiert.
Um alle nicht signierten Anwendungen für alle Dateitypen zu blockieren, fügen Sie für jeden Dateityp eine benutzerdefinierte Einstellung hinzu und verwenden Sie für den Wert den folgenden XML-Code.
Hinweis: In RuleCollection
muss Type
mit dem Dateityp der Anwendung übereinstimmen. Mögliche Werte sind "Exe"
für EXE-Dateien, "Msi"
für MSI-Dateien, "Script"
für Skriptdateien, "Dll"
für DLL-Dateien oder "Appx"
für StoreApps. Ersetzen Sie in der FilePublisherRule
die GUID durch eine zufällige GUID, die Sie von einem GUID-Onlinegenerator erhalten.
<RuleCollection Type="Type" EnforcementMode="Enabled">
<FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
<Conditions>
<FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
</RuleCollection>
Zum Blockieren von Anwendungen müssen Sie einen Abschnitt <FilePublisherRule>
hinzufügen, in dem Anwendungen und <FilePublisherRule>
-Blöcke für die zu blockierenden Anwendungen zugelassen werden.
Das allgemeine Format ist:
<RuleCollection Type="Type" EnforcementMode="Enabled">
<FilePublisherRule…>
…Anwendungen zulassen…
</FilePublisherRule>
<FilePublisherRule…>
…Bedingungen für die Blockierung der ersten Anwendung…
</FilePublisherRule>
<FilePublisherRule…>
…Bedingungen für die Blockierung der zweiten Anwendung…
</FilePublisherRule>
</RuleCollection>
Hinweis: In RuleCollection
muss Type
mit dem Dateityp der Anwendung übereinstimmen. Mögliche Werte sind "Exe"
für EXE-Dateien, "Msi"
für MSI-Dateien, "Script"
für Skriptdateien, "Dll"
für DLL-Dateien oder "Appx"
für StoreApps. Ersetzen Sie in der FilePublisherRule
die GUID durch eine zufällige GUID, die Sie von einem GUID-Onlinegenerator erhalten.
Beispiel: Diese Richtlinie verhindert, dass Nutzer „Anwendung A“ oder „Anwendung B“ (beides EXE-Dateien) ausführen können:
<RuleCollection Type="Exe" EnforcementMode="Enabled">
<FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
<Conditions>
<FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
<FilePublisherRule Id=GUID Name="Block app A" Description="Blocks app A for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
<Conditions>
<FilePublisherCondition PublisherName="O=Software Company, L=London, C=GB" ProductName="APPLICATION A" BinaryName="APPA.EXE">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
<FilePublisherRule Id=GUID Name="Block app B" Description="Blocks app B for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
<Conditions>
<FilePublisherCondition PublisherName="O=Solarmora Inc, L=Mountain View, S=California, C=US" ProductName="APPLICATION B" BinaryName="APPB.EXE">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
</RuleCollection>
<RuleCollection Type="Appx" EnforcementMode="Enabled">
<FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
<Conditions>
<FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
<FilePublisherRule Id=GUID Name="Block Windows Mail" Description="Blocks all users from using Windows Mail" UserOrGroupSid="S-1-1-0" Action="Deny">
<Conditions>
<FilePublisherCondition PublisherName="O=Microsoft Corporation, L=Redmond, S=Washington, C=US" ProductName="microsoft.windowscommunicationsapps" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
</RuleCollection>
Google, Google Workspace sowie zugehörige Marken und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der Unternehmen, mit denen sie verbunden sind.