AppLocker vs. Application Control

Application Whitelisting ist nicht zuletzt deshalb ein derart wichtiges und bereits seit über eineinhalb Jahrzehnten immer aktuelles Thema, weil in einer typischen gewachsenen IT-Landschaft heutzutage niemand einen wirklichen Überblick darüber hat, welche Prozesse auf welchen Maschinen in welchem Sicherheitskontext laufen und welche davon für den beabsichtigten Geschäftszweck wirklich förderlich sind.

Durch die zunehmende Verbreitung von DevOps entstehen viel häufiger neue Softwarestände als bei herkömmlichen Change- und Release-Verfahren. Zahlreiche Skripte und Add-ons erlauben ein unbemerktes Einschleppen von Schadcode. Es muss also ein Werkzeug her, um wieder Ordnung in den Wildwuchs der auf Windows-Systemen laufenden Prozesse zu bringen. Und da jede IT-Landschaft ständiger Veränderung unterliegt, führt nur eine Whitelist-Technologie langfristig zum Erfolg. Blacklists sind extrem schwer aktuell zu halten und extrem leicht zu umgehen.

Whitelisting mit AppLocker

Windows beinhaltet bereits seit XP beziehungsweise Windows Server 2003 Bordmittel für die Beschränkung von Applikationen, die sogenannten Software Restriction Policies, ergänzt und inzwischen meist abgelöst durch AppLocker. Das seit Windows 7 und Windows Server 2008 R2 verfügbare AppLocker stellt eine Weiterentwicklung der Software Restric-tion Policies (SRP oder ursprünglich auch SAFER genannt) dar. Die gesamte Konfiguration findet über Gruppenrichtlinien statt und besteht aus einem Satz von Regeln, die bestimmten Benutzern oder Gruppen das Ausführen bestimmter Dateien erlauben oder verbieten. Die Dateien (ausführbare Programme, DLLs, Skripte, MSI-Pakete oder AppX-Anwendungspakete) können anhand ihres Speicherortes, des Herausgebers oder des Hashes identifiziert werden. Bei ausführbaren Dateien wird der Authenticode-Hash herangezogen [1], bei allen anderen Dateitypen ein SHA-256-Dateihash

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.