Mit AppLocker lässt sich auf Windows-Systemen steuern, welche Anwendungen ausgeführt werden dürfen. Stefan Kanthak hatte mir bereits Anfang Dezember 2025 in einer kurzen Mail mitgeteilt, wie man AppLocker-Richtlinien unter Microsoft Windows quasi mit einem Mausklick installieren kann. Er hat dazu ein kurzes Script mitgeschickt, und ich stelle die Information heute mal im Blog ein.
Hintergrund AppLocker
AppLocker wurde bereits mit Windows 7 eingeführt und ermöglicht Administratoren vorzugeben, welche Anwendungen auf Windows-Clients ausgeführt werden dürfen. Das soll verhindern, dass Endbenutzer nicht genehmigte Software auf ihren Computern ausführen.
AppLocker-Richtlinien können für alle Benutzer eines Computers oder für einzelne Benutzer und Gruppen gelten. AppLocker-Regeln können basierend auf Folgendem definiert werden:
- Attribute des Codesigningzertifikats, das zum Signieren einer App und ihrer Binärdateien verwendet wird.
- Attribute der Binärdateien der App, die aus den signierten Metadaten für die Dateien stammen, z. B. Originaldateiname und -version oder der Hash der Datei.
- Der Pfad, in dem die App oder Datei auf dem Datenträger vorhanden ist.
AppLocker wird gemäß dieser Microsoft-Webseite von aktuellen Versionen von Windows 10 und Windows 11 (und natürlich auch Windows Server) unterstützt. Die Wikipedia hält eine Übersicht zur Applocker-Unterstützung diverser Windows-Versionen bereit – etwas genauer geht dieser Blog-Beitrag auf das Thema ein. Applocker-Richtlinien werden ab Windows 10 2004 ohne weitere Restriktionen unterstützt. In diesem Support-Dokument gibt Microsoft Hinweise, wann man AppLocker oder das empfohlene App Control verwenden sollte.
AppLocker-Richtlinien mit einem Klick aktivieren
Stefan Kanthak hat mir Anfang Dezember 2025 das nachfolgende Script geschickt, mit dem man AppLocker-Richtlinien auf aktuellen Windows-Systemen mittels Mausklick aktivieren kann. Falls also jemand (private) Windows-Systeme mit AppLocker besser absichern möchte, lassen sich die folgende Anweisungen in eine Textdatei *.wsf (Windows Scripting Host File) einfügen und speichern.
Dabei ist vor dem Speichern das zwischen "<![CDATA[" und "]]>" stehende XML-Schnipsel "AppLockerPolicy Version='1' />" durch die zu installierende AppLocker-Richtlinie zu ersetzen. Das Script ist dann mit administrativen Berechtigungen auszuführen und Windows im Anschluss neu zu starten.
<?xml version='1.0' encoding='US-ASCII' standalone='yes' ?>
<job>
<object id='AppIdPolicyHandler' classid='clsid:F1ED7D4C-F863-4DE6-A1CA-7253EFDEE1F3' />
<script language='JScript'>
AppIdPolicyHandler.SetPolicy('', getResource('Policy'))
</script>
<runtime>
<description>Set AppLocker Policy on Windows 7 and later versions</description>
</runtime>
<resource id='Policy'><![CDATA[<AppLockerPolicy Version='1' />]]></resource>
</job>
Kanthak hat diese Webseite zum Script samt Hinweisen veröffentlicht (die "Defender-Warnung" der Seite kommt, weil das Eicar-Test-Virus in einem Datenpaket zum Testen der Browser-Reaktion eingebunden ist). Ein digital signiertes fertiges Script gibt es hier als .wsf-Datei.
Auf administrator.de hat DerWoWusste bereits 2021 in diesem Beitrag skizziert, wie man AppLocker mit den Windows Home-Editionen einsetzt. Der Post hier aus 2015 geht auf die Konfigurierung von AppLocker-Richtlinien ein. Auch dieser ältere Beitrag enthält einige Hinweise zur Konfigurierung der Richtlinien. Vielleicht hilft es jemanden, ein privates Windows-System abzusichern. Aber immer darauf achten, sich nicht selbst als Administrator auszusperren.
Stefan Kanthak hat auf seiner Webseite die beiden Artikel hier und hier mit Hinweisen zu diversen Einstell- und Konfigurier- und Blockiermöglichkeiten von Windows-Systemen veröffentlicht.
MVP: 2013 – 2016
