Der Hackerangriff 😨
Viele Organisationen gehen durch „gezielte Hackerangriffe“, meist durch sogenannte Ransomware, „offline“. Meistens sind die Angriffe aber gar nicht gezielt. Allgemeine Mails an viele Empfänger weltweit mit Anhängen, die es in sich haben.
Sie glauben, dass Ihre Mitarbeiterschulung, die Sie einmal im Jahr online durchführen, davor schützt? Dann gehen Sie eine gefährliche Wette ein (nichts gegen Mitarbeitersensibilisierung!): „Nie wieder wird ein Mitarbeiter auf einen „bösen“ Anhang klicken.“ 😳 Nachdem die Software versehentlich vom Benutzer gestartet (nicht installiert) wurde, verbindet sie sich mit den Erpressern. Erst dann beginnt der gezielte Angriff👆.
Es wäre schön, wenn nur freigegebene Software im Unternehmen laufen würde. Ja, das kann man organisatorisch regeln. Aber das ist dem Anhang egal. Es gibt aber eine Methode, nicht freigegebene Software zu blockieren. Das nennt man „Application Whitelisting“. Das kann, muss aber nicht kompliziert sein. In sehr vielen Umgebungen für die allermeisten Arbeitsplätze ist es sehr einfach und mit Bordmitteln in der Windows-Umgebung konfigurierbar. Das passiert dann, wenn z.B. ein E-Mail-Anhang mit Schadsoftware oder Schadsoftware auf einem USB-Stick versehentlich von Mitarbeitenden angeklickt wird:
Dabei haben die Administrator:innen je freigegebener Anwendung keinen Aufwand. Das Prinzip ist, dass Software nur aus Verzeichnissen gestartet werden darf, in die nur administrative Nutzer:innen speichern können (wie z.B. „C:\Programme\“). In diese Verzeichnisse kann also kein „Nicht-Admin“ speichern. Gewöhnliche Software installiert sich nun genau in diese Verzeichnisse und funktioniert weiter.
Application Whitelisting im Detail
Die Implementierung von Applocker ist denkbar einfach und basiert auf dem Rechtekonzept des Active Directory. Nach der Implementierung von Applocker ist es also für normal berechtigte Standardanwender:innen ohne administrative Rechte nicht mehr möglich, ausführbare Dateien zu verwenden, die nicht zentral freigegeben wurden. Die Bedrohung durch nicht freigegebene ausführbare Dateien ist somit gebannt.
Es ist keine Lizenzierung notwendig und der Aufwand ist wirklich überschaubar. Es besteht die Möglichkeit, den Applocker für eine gewisse Zeit im sogenannten “Auditmodus” laufen zu lassen. So kann erfasst werden, welche Software im Einsatz ist. Daraufhin wird dann entschieden. welche Software weiterhin von den Anwender:innen ausgeführt werden darf und welche nicht.
Alternativ wird nur die durch Administrator:innen installierte Software erlaubt. Sämtliche weiteren Anwendungen, die im Rechtekontext von Standardnutzer:innen ausgeführt werden, sind blockiert. Dies betrifft alle Anwendungen, die z.B. in C:\Users\%username% gespeichert und ausgeführt werden.
Applocker lassen sich natürlich nicht einfach so einführen. Denn Whitelisting deckt auch Schattensoftware auf, die nicht zentral bekannt ist. Vor allem in größeren Organisationen wird Application Whitelisting schrittweise eingeführt.
Neben der Möglichkeit pfadbasiert zu arbeiten, kann technisch noch detaillierter vorgegangen werden. Dies erhöht natürlich den Aufwand. Die Prüfung kann auch über die Herausgebersignatur, den Speicherort oder den Dateihash erfolgen. Die signaturbasierte Lösung und alternativ die Hashsumme (Filehash) erhöhen den Schutz nochmals. Ob dies notwendig ist, wird in der Regel mit Hilfe einer Risikoanalyse beurteilt.
Windows unterscheidet bei den ausführbaren Dateien zwischen
- Ausführbaren Regeln
- Windows Installer-Regeln
- Skriptregeln
- App-Paketregeln
Bei der Applocker-Standardlösung ist zu beachten, dass Administrator:innen weiterhin Software im Admin-Kontext installieren und ausführen können. Dennoch ist der Sicherheitsgewinn durch die Einführung von Applocker enorm, da die größte Gefahr in der Regel von Standardarbeitsplätzen ausgeht.
Diese Microsoft Dokumentation hilft beim Einrichten.
Möchten Sie Ihre Umgebung überprüfen lassen? Rufen Sie uns an oder schreiben Sie uns.