16. November 2021

Software-Whitelisting einfacher als gedacht

Sie haben eine Windows Client Enterprise Umgebung und ein Active Directory? Dann haben Sie sicherlich auch Applocker aktiviert? Falls nicht, warum? “Weil” als Antwort ist keine Begründung.

Die Umsetzung von Applocker geht so einfach von der Hand und basiert auf dem Rechtekonzept des Active-Directory. Nach der Umsetzung von Applocker ist es also einem normalen Anwender ohne administrative Berechtigungen nicht mehr möglich ausführbare Dateien, welche nicht zentral freigegeben wurden, zu verwenden. Ein Großteil der Bedrohungen für Anwender (wie z.B. Ransomware) sind somit nicht mehr existent bei der korrekten Umsetzung von Applocker.

Es ist keine Lizenzierung notwendig und der Aufwand ist wirklich überschaubar. Es besteht die Möglichkeit den Applocker im sogenannten “Auditmode” eine Zeit lang mitlaufen zu lassen. So kann erfasst werden, welche Software im Einsatz ist. Daraufhin kann dann entschieden werden, welche Software von den Anwendern weiterhin ausgeführt werden darf und welche nicht.

Alternativ wird nur die durch Administratoren installierte Software erlaubt. Sämtliche weitere Anwendungen, welche im Kontext eines Anwenders ausgeführt werden, werden blockiert.  Dies würde also Anwendungen betreffen, welche in C:\Users\%username% gespeichert und ausgeführt werden.

Diese harte Einführung des Applockers wird jedoch maximal bei KMUs empfohlen, welche schnellstmöglich den Wildwuchs an eingesetzter Software unterbinden wollen. Vorzugsweise sollte der Auditmode vor der harten Inbetriebnahme verwendet werden.

Natürlich ist es auch möglich Software per Herausgebersignatur, Speicherort bzw. Dateihash nachträglich freizugeben. Wobei hier die signaturbasierte Lösung und alternativ die Hashsumme (Dateihash) aus Sicherheitssicht gegenüber der Speicherort-Freigabe bevorzugt werden sollte.

Windows unterscheidet bei den ausführbaren Dateien zwischen

  • Ausführbaren Regeln
  • Windows Installer-Regeln
  • Skriptregeln
  • App-Paketregeln

Zu beachten ist bei der Applocker Standard-Lösung, dass Administratoren im Admin-Kontext weiterhin Software installieren und ausführen können. Dennoch ist der Sicherheitsgewinn bei der Einführung von Applocker enorm hoch, da die größte Gefahr im Regelfall vom Standardanwender ausgeht.

Diese Microsoft Dokumentation habe ich diesbezüglich zu Rate gezogen.