Enterprise Security: AppLocker
Gastbeitrag von Georg Binder , selbständiger IT-Dienstleister und Autor von windowsblog.at.
Ein wichtiges Thema für Firmen: welche Software läuft denn auf den Rechnern, was dürfen die Benutzer, was sollen sie nicht dürfen? Selbst wenn die Benutzer nur “Standard Benutzer” sind, dürfen sie schon eine Menge,… einfach ein exe doppelklicken und schon läuft die Software. Solange die Software nicht installiert werden muss,… das kann von “unerwünscht, aber harmlos” gehen (ein Spiel, sol.exe, mohrhuhn.exe) bis sicherheitsrelevant (Google Chrome z.B. installiert sich ähnlich wie Malware im Usermode, da möchte man im Unternehmen vielleicht auch wissen, mit welcher Software Internetverbindungen aufgebaut werden,…) bis superkritisch (echte Malware) sein. Außerdem untergraben unauthorisierte Anwendungen natürlich auch Compliance Bemühungen. Dass hierdurch Helpdesk Cases nicht gerade sinken,.. eh klar.
Windows 7 bietet die Möglichkeit mit “AppLocker” genau zu definieren, was (nicht) laufen darf. Das ganze natürlich per Policy / Gruppenrichtlinien für das Unternehmen steuerbar. AppLocker kann als Weiterentwicklung der Software Restriction Policies gesehen werden, die es aus Kompatibilitätsgründen allerdings noch gibt.
Hier ein kleines HowTo. AppLocker arbeitet mit Regelsets, von denen es drei verschiedene Gruppen gibt, “Ausführbare Regeln”, Installer und Script-Regeln.
Ich lege hier mal eine “Ausführbare Regel” an:
Im ersten Schritt lassen sich nun die Active Directoy Gruppen und Benutzer auswählen, für die man etwas zulassen oder verbieten möchte. Im Normalfall wird man hier mal für alle alles verbieten und nachher mit Whitelist die Ausnahmen definieren. Mit Blacklisting wird man angesichts von mehr als 2 Stück Schadsoftware nicht weit kommen.
Dann wählt man das Kriterium, wie man die gewünschte Software identifiziert:
Liest sich von unten schlecht bis oben gut, im Detail, fangen wir unten an:
- Dateihash: nimmt den Fingerabdruck der Datei. Hier darf man bei jedem Update der Software auch gleich die Regel nachziehen. Nicht empfehlenswert.
- Pfad: Zum Beispiel sagt man, dass alles unter \Windows oder “C:\Program Files” erlaubt ist. Einfach. Und keine gute Idee, wenn Benutzer lokale Adminrechte haben, denn dann schiebt man die auszuführende Datei einfach in den freigeschaltenen Ordner und umgeht so den Schutz.
- Herausgeber: geht nach Zertifikat der Software – empfohlen, bedingt allerdings dass die Software signiert ist, was bei Eigenentwicklungen eventuell nicht der Fall ist. Aber die Standardsoftware kann man so sehr gut damit abfackeln. Empfohlen.
Hier das Beispiel mit “Herausgeber”. Man wählt eine Referenzdatei, hier im Beispiel den Acrobat Reader:
Mit dem Schieberegler kann nun noch der Detailgrad verändert werden, z.B. benutzerdefinierte Werte, erlaube alles ab Vesion 9 und höher, womit ich quasi einen “Mindeststandard” festgesetzt habe. User die sich bisher erfolgreich gewehrt haben, den Reader zu aktualisieren, werden nett darauf hingewiesen, es nun zu tun (weil alles vor Version 9 nicht geht):
Oder, anderes Beispiel: ich will alles erlauben, was von Microsoft ist und zum Betriebssystem gehört (im übrigen eine recht empfehlenswerte Regel, erleichtert die Bedienung des OS nach einem Policy Update nicht unwesentlich):
Und so weiter,… und damit man nicht alle 1532 verschiedenen Programme händisch hinzufügen muss, kann man auch “Regeln automatisch generieren” wo dann ein Verzeichnis auf Executables gescannt wird und alles gefundene wird dann zur Liste hinzugefügt:
Sicher praktisch um schneller voranzukommen. Ist das alles? Nein, bevor man mit der Regelerzwingung auf scharf schaltet, wird man das mal ein paar Tage im Audit Modus beobachten und die Logfiles auswerten (nicht, dass man gerade die produktion lahm gelegt hätte,…)
Aber ist das alles? Nein, natürlich nicht, da gäbe es noch einiges zu erzählen, wie z.B. dass man AppLocker auch mit PowerShell managen kann, siehe: Getting Started with AppLocker management using Powershell Definitiv ein Thema, mit dem man sich als Firma beschäftigen sollte. AppLocker ist eine Funktion der Windows 7 Enterprise Edition.
Weitere Informationen: