Enterprise Security: AppLocker

Security secure Download all no shadow_1Ein wichtiges Thema für Firmen: welche Software läuft denn auf den Rechnern, was dürfen die Benutzer, was sollen sie nicht dürfen? Selbst wenn die Benutzer nur “Standard Benutzer” sind, dürfen sie schon eine Menge,… einfach ein exe doppelklicken und schon läuft die Software. Solange die Software nicht installiert werden muss,… das kann von “unerwünscht, aber harmlos” gehen (ein Spiel, sol.exe, mohrhuhn.exe) bis sicherheitsrelevant (Google Chrome z.B. installiert sich ähnlich wie Malware im Usermode, da möchte man im Unternehmen vielleicht auch wissen, mit welcher Software Internetverbindungen aufgebaut werden,…) bis superkritisch (echte Malware) sein. Außerdem untergraben unauthorisierte Anwendungen natürlich auch Compliance Bemühungen. Dass hierdurch Helpdesk Cases nicht gerade sinken,.. eh klar.

Windows 7 bietet die Möglichkeit mit “AppLocker” genau zu definieren, was (nicht) laufen darf. Das ganze natürlich per Policy / Gruppenrichtlinien für das Unternehmen steuerbar. AppLocker kann als Weiterentwicklung der Software Restriction Policies gesehen werden, die es aus Kompatibilitätsgründen allerdings noch gibt.

Hier ein kleines HowTo. AppLocker arbeitet mit Regelsets, von denen es drei verschiedene Gruppen gibt, “Ausführbare Regeln”, Installer und Script-Regeln.

image_75

Ich lege hier mal eine “Ausführbare Regel” an:

image_76

Im ersten Schritt lassen sich nun die Active Directoy Gruppen und Benutzer auswählen, für die man etwas zulassen oder verbieten möchte. Im Normalfall wird man hier mal für alle alles verbieten und nachher mit Whitelist die Ausnahmen definieren. Mit Blacklisting wird man angesichts von mehr als 2 Stück Schadsoftware nicht weit kommen.

image_77

Dann wählt man das Kriterium, wie man die gewünschte Software identifiziert:

image_78

Liest sich von unten schlecht bis oben gut, im Detail, fangen wir unten an:

  • Dateihash: nimmt den Fingerabdruck der Datei. Hier darf man bei jedem Update der Software auch gleich die Regel nachziehen. Nicht empfehlenswert.
  • Pfad: Zum Beispiel sagt man, dass alles unter \Windows oder “C:\Program Files” erlaubt ist. Einfach. Und keine gute Idee, wenn Benutzer lokale Adminrechte haben, denn dann schiebt man die auszuführende Datei einfach in den freigeschaltenen Ordner und umgeht so den Schutz.
  • Herausgeber: geht nach Zertifikat der Software – empfohlen, bedingt allerdings dass die Software signiert ist, was bei Eigenentwicklungen eventuell nicht der Fall ist. Aber die Standardsoftware kann man so sehr gut damit abfackeln. Empfohlen.

Hier das Beispiel mit “Herausgeber”. Man wählt eine Referenzdatei, hier im Beispiel den Acrobat Reader:

image_79

Mit dem Schieberegler kann nun noch der Detailgrad verändert werden, z.B. benutzerdefinierte Werte, erlaube alles ab Vesion 9 und höher, womit ich quasi einen “Mindeststandard” festgesetzt habe. User die sich bisher erfolgreich gewehrt haben, den Reader zu aktualisieren, werden nett darauf hingewiesen, es nun zu tun (weil alles vor Version 9 nicht geht):

image_80

Oder, anderes Beispiel: ich will alles erlauben, was von Microsoft ist und zum Betriebssystem gehört (im übrigen eine recht empfehlenswerte Regel, erleichtert die Bedienung des OS nach einem Policy Update nicht unwesentlich):

image_81

Und so weiter,… und damit man nicht alle 1532 verschiedenen Programme händisch hinzufügen muss, kann man auch “Regeln automatisch generieren” wo dann ein Verzeichnis auf Executables gescannt wird und alles gefundene wird dann zur Liste hinzugefügt:

image_82

Sicher praktisch um schneller voranzukommen.

Von den “Standardregeln erstellen” rate ich gefühlsmäßig eher ab, da das Pfadregeln sind und nach meiner Erfahrung auch im Enterprise Bereich zu viele Personen mit Adminrechten ausgestattet sind. Die Standardregeln sehen vor, dass alles in Programme und Windows ausgeführt werden darf, außerdem dürfen die Administratoren alles.

image_83

Ist das alles? Nein, bevor man mit der Regelerzwingung auf scharf schaltet, wird man das mal ein paar Tage im Audit Modus beobachten und die Logfiles auswerten (nicht, dass man gerade die produktion lahm gelegt hätte,…)

image_84

Aber ist das alles? Nein, natürlich nicht, da gäbe es noch einiges zu erzählen, wie z.B. dass man AppLocker auch mit PowerShell managen kann, siehe:
Getting Started with AppLocker management using Powershell Definitiv ein Thema, mit dem man sich als Firma beschäftigen sollte. AppLocker ist eine Funktion der Windows 7 Enterprise Edition.

Weitere Informationen:

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s