Anwendungen mit benutzerdefinierten Einstellungen auf Windows 10/11-Geräten blockieren

Diese Funktion ist in der Cloud Identity Premiumversion verfügbar. Funktionen und Versionen von Cloud Identity vergleichen 

Wenn Sie Windows-Geräte in Ihrer Organisation mit der Windows-Geräteverwaltung verwalten, können Sie durch Verwendung benutzerdefinierter Einstellungen in der Google Admin-Konsole einschränken, welche Anwendungen auf diesen Geräten zulässig sind. Sie geben die Anwendungen in einer XML-Datei an, die Sie als Wert der benutzerdefinierten Einstellung hochladen. Sie können einzelne Anwendungen oder alle Anwendungsdateien blockieren, die einem bestimmten Typ entsprechen, z. B. EXE- oder MSI-Dateien.

Schritt 1: Zulässige und blockierte Anwendungen in einer XML-Datei angeben

Die XML-Datei lässt sich über die Befehlszeile in PowerShell oder das GUI im Windows-Gruppenrichtlinien-Editor erstellen. In dieser Anleitung erfahren Sie, wie Sie eine einzelne Richtlinie erstellen. Sie können ähnliche Richtlinien für Anwendungen mit demselben Dateityp aber auch in einer XML-Datei kombinieren. Beispiele

Wichtig: Wenn Sie verschiedene Typen von Anwendungsdateien (EXE, MSI, Script, StoreApps und DLLs) blockieren möchten, müssen Sie verschiedene benutzerdefinierte Einstellungen erstellen.

Option 1: Befehlszeile (PowerShell)
  1. Rufen Sie mit einem Online-GUID-Generator eine zufällige GUID ab. Tipp: Suchen Sie in einer Suchmaschine nach Online GUID Generator.
  2. Wenn Sie eine bestimmte Anwendung blockieren möchten, rufen Sie die zugehörigen Informationen ab. Wenn Sie alle Anwendungen mit einem bestimmten Dateityp blockieren möchten, können Sie diesen Schritt überspringen.
    1. Laden Sie auf einem Windows-Gerät die ausführbare Datei der Anwendung (mit der Endung „.exe“) herunter, die Sie blockieren oder zulassen möchten.
    2. Öffnen Sie PowerShell.
    3. Führen Sie Get-AppLockerFileInformation -path PathToExe | format-list aus, wobei PathToExe der Pfad zur ausführbaren Datei ist.
    4. Notieren Sie die Werte in der Zeile Publisher der Antwort. Die Werte haben das folgende Format und entsprechen denen, die Sie dann in der XML-Datei verwenden:

      PublisherName\ProductName\BinaryName,BinaryVersion

      Der Name des Publishers ist ein langer String, z. B. O=MICROSOFT CORPORATION, L=REDWOOD, S=WASHINGTON, C=US. Sie müssen den gesamten String übernehmen.

  3. Kopieren Sie den folgenden XML-Code in einen Texteditor:

    <RuleCollection Type="Type" EnforcementMode="Enabled">
      <FilePublisherRule Id=GUID Name=PolicyName Description=PolicyDescription UserOrGroupSid=UserOrGroupSid Action=[Allow|Deny]>
         <Conditions>
           <FilePublisherCondition PublisherName=PublisherName BinaryName=BinaryName ProductName=ProductName>
             <BinaryVersionRange HighSection=latestVersion LowSection=earliestVersion />
           </FilePublisherCondition>
         </Conditions>
       </FilePublisherRule>
    </RuleCollection>

  4. Bearbeiten Sie den XML-Code und ersetzen Sie die kursiv dargestellten Platzhalter durch die entsprechenden Werte. Informationen zu bestimmten Anwendungsfällen, z. B. zum Gruppieren mehrerer Richtlinien in einer Datei, finden Sie in den Beispielen.
    Platzhalter Wert
    Type

    Der Anwendungsdateityp (muss mit dem OMA-URI übereinstimmen):

    • Geben Sie bei EXE-Dateien "Exe" ein.
    • Geben Sie bei MSI-Dateien "Msi" ein.
    • Geben Sie für Skriptdateien "Script" ein.
    • Geben Sie bei DLL-Dateien "Dll" ein.
    • Geben Sie für Apps aus dem Microsoft Store "Appx" ein.
    GUID Die in Schritt 1 generierte GUID
    PolicyName Ein Name für die Richtlinie. Sie können einen beliebigen String verwenden.
    PolicyDescription Eine Beschreibung der Richtlinie
    UserOrGroupSid Die Nutzer oder Gruppen, für die die Richtlinie gilt:
    • Wenn Sie die Richtlinie auf alle Nutzer des Geräts anwenden möchten, geben Sie S-1-1-0 ein.
    • Um die Richtlinie auf einen bestimmten Nutzer anzuwenden, geben Sie dessen SID ein. Führen Sie in der Befehlszeile Folgendes aus, um die SID abzurufen:

      wmic username get name,sid

      Dabei ist username der Nutzername der Person auf dem Gerät. Wenn Sie den Nutzernamen nicht kennen, können Sie mit folgendem Befehl eine Liste aller Nutzer auf dem Gerät abrufen:

      wmic useraccount get name,sid

    • Sie können nur einen Nutzernamen eingeben. Wenn Sie die Richtlinie auf mehrere Nutzer anwenden möchten, fassen Sie die Nutzer entweder in einer Gruppe zusammen oder kopieren Sie die Richtlinie und ändern Sie dann jeweils den Namen.

    • Um die Richtlinie auf eine bestimmte Gruppe anzuwenden, geben Sie deren SID ein. Führen Sie in der Befehlszeile folgenden Befehl aus, um die Gruppen-SID abzurufen:

      wmic groupName get name,sid

      Dabei ist groupName der Name der Gruppe auf dem Gerät. Wenn Sie den Gruppennamen nicht kennen, können Sie mit folgendem Befehl eine Liste aller Gruppen auf dem Gerät abrufen:

      wmic group get name,sid
    Allow|Deny Wählen Sie die Aktion für diese Richtlinie aus, also ob die angegebenen Anwendungen blockiert („Deny“) oder zugelassen („Allow“) werden.
    PublisherName Der Name des Publishers der Anwendung („PublisherName“ aus Schritt 2). Sie können den Platzhalter * verwenden, der Abgleich mit regulären Ausdrücken sowie Präfix- oder Suffixplatzhalter werden jedoch nicht unterstützt.
    BinaryName

    Der Dateiname des Binärprogramms ("BinaryName" aus Schritt 2). Sie können den Platzhalter * verwenden, der Abgleich mit regulären Ausdrücken sowie Präfix- oder Suffixplatzhalter werden jedoch nicht unterstützt.

    Wenn Sie beispielsweise alle EXE-Dateien blockieren möchten, geben Sie * ein und wählen Sie beim Hinzufügen der benutzerdefinierten Einstellung den OMA-URI aus, der mit /EXE/policy endet.
    ProductName Der Name des Produkts ("ProductName" aus Schritt 2). Sie können den Platzhalter * verwenden, der Abgleich mit regulären Ausdrücken sowie Präfix- oder Suffixplatzhalter werden jedoch nicht unterstützt.
    latestVersion Die neueste Versionsnummer der Anwendung, für die diese Richtlinie gilt. Wenn Sie alle Versionen der Anwendung blockieren möchten, geben Sie * ein.
    earliestVersion Die älteste Versionsnummer der Anwendung, für die diese Richtlinie gilt. Wenn Sie alle Versionen der Anwendung blockieren möchten, geben Sie „*“ ein.

  5. Speichern Sie die Datei.

Option 2: GUI (Editor für Windows-Gruppenrichtlinien)
  1. Folgen Sie der Anleitung im Abschnitt "Generating the XML" (XML generieren) in diesem englischsprachigen Microsoft-Artikel. Führen Sie nur die Schritte in diesem Abschnitt aus. Der folgende Abschnitt „Creating the Policy“ (Richtlinie erstellen) spielt hier keine Rolle mehr.

    Hinweis: In dieser Anleitung wird beschrieben, wie Sie eine Richtlinie für eine auf dem Gerät installierte Anwendung erstellen. Wenn Sie eine Richtlinie für eine Anwendung erstellen möchten, die nicht auf dem Gerät installiert ist, wählen Sie in Schritt 6 Use a packaged app installer as a reference (Installationsprogramm für gepackte App als Referenz verwenden) aus.

  2. Nachdem Sie die XML-Datei exportiert haben, entfernen Sie die erstellte Richtlinie im Editor für Gruppenrichtlinien. Andernfalls wird die Richtlinie auf dem Gerät erzwungen.

Schritt 2: Benutzerdefinierte Einstellung hinzufügen

  1. Melden Sie sich in der Google Admin-Konsole an.

    Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

  2. Gehen Sie in der Admin-Konsole zum Menü und dann  Geräteund dann Mobilgeräte und Endpunkteund dann Einstellungenund dann Windows.
  3. Klicken Sie auf Benutzerdefinierte Einstellungen.
  4. Klicken Sie auf Benutzerdefinierte Einstellung hinzufügen.
  5. Konfigurieren Sie die benutzerdefinierte Einstellung:
    1. Geben Sie im Feld „OMA-URI“ ApplicationLaunchRestriction ein und wählen Sie den OMA-URI aus, der dem Dateityp der Anwendung in der Richtlinie entspricht:
      • Wählen Sie bei EXE-Dateien ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/EXE/Policy aus.
      • Wählen Sie für Anwendungen aus dem Microsoft Store ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/AppStore/Policy aus.
      • Wählen Sie für MSI-Dateien ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/MSI/Policy aus.
      • Wählen Sie für PowerShell-Skripts ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/Script/Policy aus.
      • Wählen Sie für DLL-Dateien ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/DLL/Policy aus.

      Weitere Informationen finden Sie in der Dokumentation zu AppLocker CSP von Microsoft.

    2. Ersetzen Sie im OMA-URI <Enter Grouping> durch einen zufälligen alphanumerischen String, der für jede benutzerdefinierte Einstellung eindeutig ist. Wenn Sie beispielsweise eine benutzerdefinierte Einstellung zum Blockieren von EXE-Dateien und eine weitere Einstellung zum Blockieren von MSI-Dateien hinzufügen, verwenden Sie für jede benutzerdefinierte Einstellung einen anderen Wert.
    3. Wenn Sie den OMA-URI auswählen, wird das Feld Name in „Richtlinie“ geändert. Geben Sie einen eindeutigen Namen ein, damit Sie ihn in der Liste der benutzerdefinierten Einstellungen identifizieren können.
    4. Wählen Sie als Datentyp die Option String (XML) aus, klicken Sie auf XML hochladen und wählen Sie die XML-Konfigurationsdatei aus, die Sie im ersten Abschnitt erstellt haben.
    5. Optional: Geben Sie eine Beschreibung ein, die die Aktion der benutzerdefinierten Einstellung beschreibt und für wen sie gilt.
  6. Klicken Sie dann auf Weiter und wählen Sie die Organisationseinheit aus, für die die benutzerdefinierte Einstellung gelten soll, oder klicken Sie auf Weitere hinzufügen, um eine neue Einstellung anzulegen. Zusätzliche Richtlinien werden erst auf eine Organisationseinheit angewendet, wenn Sie auf Weiter klicken und die Organisationseinheit auswählen.
  7. Wählen Sie die Organisationseinheit aus, auf die die Richtlinie angewendet werden soll.
  8. Klicken Sie auf Anwenden.

Wenn ein Nutzer in der Organisationseinheit versucht, eine blockierte Anwendung auf seinem Windows-Gerät zu installieren oder zu öffnen, erhält er die Fehlermeldung, dass die Anwendung durch den Systemadministrator blockiert wurde.

Beispiele für XML-Dateien

Nur signierte Anwendungen zulassen (alle nicht signierten blockieren)

Wenn diese Richtlinie gilt, können Nutzer nur signierte Anwendungen installieren. Außerdem werden nicht signierte Anwendungen mit dem im OMA-URI angegebenen Dateityp blockiert.

Um alle nicht signierten Anwendungen für alle Dateitypen zu blockieren, fügen Sie für jeden Dateityp eine benutzerdefinierte Einstellung hinzu und verwenden Sie für den Wert den folgenden XML-Code.

Hinweis: In RuleCollection muss Type mit dem Dateityp der Anwendung übereinstimmen. Mögliche Werte sind "Exe" für EXE-Dateien, "Msi" für MSI-Dateien, "Script" für Skriptdateien, "Dll" für DLL-Dateien oder "Appx" für StoreApps. Ersetzen Sie in der FilePublisherRule die GUID durch eine zufällige GUID, die Sie von einem GUID-Onlinegenerator erhalten.

<RuleCollection Type="Type" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
     <Conditions>
       <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">   
         <BinaryVersionRange LowSection="*" HighSection="*" />
       </FilePublisherCondition>
     </Conditions>
   </FilePublisherRule>      
</RuleCollection>
Bestimmte Anwendungen blockieren

Zum Blockieren von Anwendungen müssen Sie einen Abschnitt <FilePublisherRule> hinzufügen, in dem Anwendungen und <FilePublisherRule>-Blöcke für die zu blockierenden Anwendungen zugelassen werden.

Das allgemeine Format ist:

<RuleCollection Type="Type" EnforcementMode="Enabled">
  <FilePublisherRule…>
    …Anwendungen zulassen…
  </FilePublisherRule>
  <FilePublisherRule…>
    …Bedingungen für die Blockierung der ersten Anwendung…
  </FilePublisherRule>
  <FilePublisherRule…>
    …Bedingungen für die Blockierung der zweiten Anwendung…
  </FilePublisherRule>
</RuleCollection>

 

Hinweis: In RuleCollection muss Type mit dem Dateityp der Anwendung übereinstimmen. Mögliche Werte sind "Exe" für EXE-Dateien, "Msi" für MSI-Dateien, "Script" für Skriptdateien, "Dll" für DLL-Dateien oder "Appx" für StoreApps. Ersetzen Sie in der FilePublisherRule die GUID durch eine zufällige GUID, die Sie von einem GUID-Onlinegenerator erhalten.

Beispiel: Diese Richtlinie verhindert, dass Nutzer „Anwendung A“ oder „Anwendung B“ (beides EXE-Dateien) ausführen können:

<RuleCollection Type="Exe" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
  <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block app A" Description="Blocks app A for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Software Company, L=London, C=GB" ProductName="APPLICATION A" BinaryName="APPA.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" /> 
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block app B" Description="Blocks app B for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Solarmora Inc, L=Mountain View, S=California, C=US" ProductName="APPLICATION B" BinaryName="APPB.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" /> 
      </FilePublisherCondition> 
    </Conditions>
 </FilePublisherRule>
</RuleCollection>
Anwendungen blockieren, die im Windows-Betriebssystem enthalten sind
Dieser Ausschnitt, der auf dem Beispiel in der englischsprachigen Microsoft-Dokumentation basiert, blockiert die Verwendung von Windows Mail. Bevor Sie diesen Code verwenden, ersetzen Sie GUID durch eine zufällige GUID, die Sie durch einen Online-GUID-Generator erhalten.
Hinweis: Diese Anwendungsdatei ist eine Anwendung aus dem Microsoft Store. Daher muss die OMA-URI ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/AppStore/Policy lauten.
<RuleCollection Type="Appx" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block Windows Mail" Description="Blocks all users from using Windows Mail" UserOrGroupSid="S-1-1-0" Action="Deny"> 
    <Conditions> 
      <FilePublisherCondition PublisherName="O=Microsoft Corporation, L=Redmond, S=Washington, C=US" ProductName="microsoft.windowscommunicationsapps" BinaryName="*"> 
        <BinaryVersionRange LowSection="*" HighSection="*" /> 
      </FilePublisherCondition> 
    </Conditions> 
  </FilePublisherRule>      
</RuleCollection>


Google, Google Workspace sowie zugehörige Marken und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der Unternehmen, mit denen sie verbunden sind.

War das hilfreich?

Wie können wir die Seite verbessern?
true
Suche
Suche löschen
Suche schließen
Hauptmenü
10315686517239359403
true
Suchen in der Hilfe
true
true
true
false
false