Whitelist für Anwendungen in Windows 7 und Windows Server 2008 R2

Microsoft AppLocker, die in Windows 7 und Windows Server 2008 R2 enthaltene Anwendungssteuerungsfunktion, ist eine Verbesserung der mit Windows XP Professional eingeführten Software Restriction Policies (SRP). Mit AppLocker können Anwendungsausführungsregeln und Ausnahmen für sie basierend auf Dateiattributen wie Pfad, Herausgeber, Produktname, Dateiname, Dateiversion usw. definiert werden. Richtlinien können dann über Active Directory Computern, Benutzern, Sicherheitsgruppen und Organisationseinheiten zugewiesen werden.

Die Berichterstellung beschränkt sich auf das, was aus Protokolldateien abgerufen werden kann, und das Erstellen von Regeln für Dateitypen, die nicht in AppLocker definiert sind, kann schwierig sein. Der größte Nachteil von AppLocker ist jedoch, dass es auf Windows 7 Enterprise-, Windows 7 Ultimate- und Windows Server 2008 R2-Clients beschränkt ist. Windows 7 Professional kann zum Erstellen von Richtlinien verwendet werden, AppLocker kann jedoch nicht zum Erzwingen von Regeln für sich selbst verwendet werden. AppLocker kann nicht zum Verwalten früherer Windows-Versionen verwendet werden, obwohl sowohl SRP als auch AppLocker von Windows XP Pro auf ähnliche Weise so konfiguriert werden können, dass sie sich auf eine unternehmensweite Richtlinie auswirken.

[Lesen Sie die Test Center-Übersicht über Whitelist-Lösungen für Anwendungen von Bit9, CoreTrace, Lumension, McAfee, SignaCert und Microsoft. Vergleichen Sie diese Whitelist-Lösungen für Anwendungen anhand der Funktionen. ]]  

AppLocker kann lokal mithilfe des Richtlinienobjekts für den lokalen Computer (gpedit.msc) oder mithilfe von Gruppenrichtlinienobjekten (Active Directory und Gruppenrichtlinienobjekte) konfiguriert werden. Wie bei vielen der neuesten Active Directory-fähigen Technologien von Microsoft benötigen Administratoren mindestens einen Windows Server 2008 R2- oder Windows 7-Computer mit Domänenbeitritt, um AppLocker zu definieren und zu verwalten. Auf Windows 7-Computern muss die Gruppenrichtlinienverwaltungskonsolenfunktion als Teil der Remoteserver-Verwaltungstools (RSAT) für Windows 7 installiert sein (kostenloser Download). AppLocker verwendet den integrierten Application Identity-Dienst, der normalerweise standardmäßig auf den manuellen Starttyp eingestellt ist. Administratoren sollten den Dienst so konfigurieren, dass er automatisch gestartet wird.

Innerhalb des lokalen oder Gruppenrichtlinienobjekts wird AppLocker im Container \ Computerkonfiguration \ Windows-Einstellungen \ Sicherheitseinstellungen \ Anwendungssteuerungsrichtlinien [Bildschirmbild] aktiviert und konfiguriert.

Wenn diese Option aktiviert ist, können Benutzer nach den AppLocker-Regeln standardmäßig keine Dateien öffnen oder ausführen, die nicht speziell zulässig sind. Ersttester profitieren davon, dass AppLocker mithilfe der Option "Standardregeln erstellen" einen Standardsatz "sicherer Regeln" erstellen kann. Die Standardregeln ermöglichen die Ausführung aller Dateien in Windows und Programmdateien sowie die Ausführung von Mitgliedern der Gruppe Administratoren.

Eine der bemerkenswertesten Verbesserungen gegenüber SRP ist die Möglichkeit, AppLocker auf jedem teilnehmenden Computer mit der Option Regeln automatisch generieren [Bildschirmbild] auszuführen, um schnell einen Basissatz von Regeln zu generieren. In wenigen Minuten können Dutzende bis Hunderte von Regeln für ein bekanntes sauberes Image erstellt werden, wodurch AppLocker-Administratoren von Stunden bis zu Arbeitstagen gespart werden.

AppLocker unterstützt vier Arten von Regelsammlungen: Ausführbare Datei, DLL, Windows Installer und Skript. SRP-Administratoren werden feststellen, dass Microsoft nicht mehr über die Registrierungsregeln oder Internetzonenoptionen verfügt. Jede Regelsammlung deckt einen begrenzten Satz von Dateitypen ab. Beispielsweise decken ausführbare Regeln 32-Bit- und 64-Bit-EXE- und -COM-Regeln ab. Alle 16-Bit-Anwendungen können blockiert werden, indem verhindert wird, dass der Prozess ntdvm.exe ausgeführt wird. Die Skriptregeln decken die Dateitypen .VBS, .JS, .PS1, .CMD und .BAT ab. Die DLL-Regelsammlung umfasst DLLs (einschließlich statisch verknüpfter Bibliotheken) und OCXs (Object Linking and Embedding Control Extensions, auch bekannt als ActiveX-Steuerelemente).

Wenn keine AppLocker-Regeln für eine bestimmte Regelsammlung vorhanden sind, können alle Dateien mit diesem Dateiformat ausgeführt werden. Wenn jedoch eine AppLocker-Regel für eine bestimmte Regelsammlung erstellt wird, dürfen nur die in einer Regel explizit zulässigen Dateien ausgeführt werden. Wenn Sie beispielsweise eine ausführbare Regel erstellen, mit der EXE- Dateien in % SystemDrive% \ FilePath ausgeführt werden können, dürfen nur ausführbare Dateien in diesem Pfad ausgeführt werden.

AppLocker unterstützt drei Arten von Regelbedingungen für jede Regelsammlung: Pfadregeln, Datei-Hash-Regeln und Publisher-Regeln. Jede Regelbedingung kann verwendet werden, um die Ausführung zuzulassen oder zu verweigern, und sie kann für einen bestimmten Benutzer oder eine bestimmte Gruppe definiert werden. Pfad- und Datei-Hash-Regeln sind selbsterklärend. Beide akzeptieren Platzhaltersymbole. Die Publisher-Regeln sind ziemlich flexibel und ermöglichen es, mehrere Felder einer digital signierten Datei mit bestimmten Werten oder Platzhaltern abzugleichen. Mithilfe eines praktischen Schiebereglers in der AppLocker-Benutzeroberfläche [Bildschirmbild] können Sie die spezifischen Werte schnell durch Platzhalter ersetzen. Mit jeder neuen Regel können bequemerweise eine oder mehrere Ausnahmen gemacht werden. Standardmäßig behandeln Publisher-Regeln aktualisierte Versionen von Dateien genauso wie die Originale, oder Sie können eine genaue Übereinstimmung erzwingen.

Ein wichtiger Unterschied zwischen AppLocker und sogenannten Mitbewerbern besteht darin, dass AppLocker wirklich ein Dienst ist, eine Reihe von APIs und benutzerdefinierten Richtlinien, mit denen andere Programme kommunizieren können. Microsoft hat Windows und seine integrierten Skriptinterpreter so codiert, dass sie mit AppLocker verbunden sind, sodass diese Programme (Explorer.exe, JScript.dll, VBScript.dll usw.) die von AppLocker-Richtlinien definierten Regeln durchsetzen können. Dies bedeutet, dass AppLocker wirklich ein Teil des Betriebssystems ist und nicht leicht umgangen werden kann, wenn die Regeln korrekt definiert sind.

Wenn Sie jedoch eine Regel für einen Dateityp erstellen müssen, der nicht in der Richtlinientabelle von AppLocker definiert ist, kann es etwas Kreativität erfordern, um den gewünschten Effekt zu erzielen. Um beispielsweise zu verhindern, dass Perl-Skriptdateien mit der Erweiterung .PL ausgeführt werden, müssen Sie eine ausführbare Regel erstellen, die stattdessen den Skriptinterpreter Perl.exe blockiert. Dies würde alle Perl-Skripte blockieren oder zulassen und etwas Einfallsreichtum erfordern, um eine feinkörnigere Kontrolle zu erlangen. Dies ist kein eindeutiges Problem, da die meisten Produkte in diesem Test dieselbe Einschränkung aufweisen.

Die Konfiguration und Regeln von AppLocker können einfach als lesbare XML-Dateien importiert und exportiert werden. Die Regeln können im Notfall schnell gelöscht werden und alle können mit Windows PowerShell verwaltet werden. Berichterstellung und Alarmierung beschränken sich auf das, was aus den normalen Ereignisprotokollen abgerufen werden kann. Aber selbst mit den Einschränkungen von AppLocker kann der Preis von Microsoft - kostenlos, wenn Sie Windows 7 und Windows Server 2008 R2 ausführen - ein starker Anziehungspunkt für aktuelle Microsoft-Shops sein.

Diese Geschichte, "Whitelisting von Anwendungen in Windows 7 und Windows Server 2008 R2" und Überprüfungen von fünf Whitelisting-Lösungen für Unternehmensnetzwerke, wurde ursprünglich auf .com veröffentlicht. Verfolgen Sie die neuesten Entwicklungen in den Bereichen Informationssicherheit, Windows und Endpunktsicherheit auf .com.