AppLocker ist eine Anwendungssteuerungstichtlinie, durch welche das Ausführen ungewünschter Software untersagt werden kann. Inwiefern dies einem Unternehmen ein erhöhtes Sicherheitsniveau gewähren kann, beschreibt der folgende Artikel.
Der Inhalt im Überblick
Administrative Rechte
Oftmals werden zum Installieren von Programmen hohe Privilegien benötigt. Diese sollten nicht jedem Benutzer in einem Unternehmen bedenkenlos gegeben werden. Durch administrative Rechte hat ein Benutzer weitreichende Möglichkeiten, auf einem System Änderungen vorzunehmen. Gelangt ein Angreifer an die Anmeldeinformationen aus Benutzername und Passwort, werden diesem ebenfalls die Rechte zuteil.
Mit administrativen Rechten hätte jeder Benutzer die Möglichkeit, beliebige Software auf seinem Arbeitsgerät zu installieren. Mit Pech kann einem unaufmerksamen Mitarbeiter eine Schadsoftware untergejubelt werden, welche nach der Ausführung ebenfalls administrative Rechte erhält und weitreichenden Schaden anrichtet.
Neben der Wegnahme von administrativen Rechten der Benutzer, können Programme über Gruppenrichtlinien (GPOs) gesperrt und auditiert werden.
Programme via GPO sperren oder auditieren
Mittels AppLocker kann unter Windows gesteuert werden, welche Anwendungen und Dateien Benutzer ausführen können. Darunter sind ausführbare Dateien, Skripte, Windows-Installer-Dateien, DLL-Dateien, App-Pakete und App-Installer-Pakete gefasst. Die Regeln dazu können auf einem Server geschrieben werden, um sie anschließend in die Produktionsumgebung über Gruppenrichtlinienobjekte (GPO) zu importieren. Somit können diese Richtlinien auf Benutzergruppen angewandt und schnell implementiert und geändert werden. Ausnahmen sind hier natürlich möglich.
Die Regeln, welche Programme ausgeführt werden dürfen, können auf Grundlage mehrerer Merkmale definiert werden. Unter anderem können der Herausgeber, bzw. deren digitale Signatur, Produktname, Dateiname oder die Dateiversion verwendet werden. Auch ist es möglich, die Ausführung, basierend auf dem Dateipfad oder dem berechneten Hashwert, einzuschränken.
Beispielweise kann die Ausführung von Programmen aus dem Temp-Ordner oder aus dem root-Verzeichnis untersagt werden. An diesen Orten befinden sich in der Regel keine legitimen ausführbaren Dateien.
Whitelist und Blacklist
In der Informatik redet man zum Sperren und Erlauben oft von den Fachbegriffen Blacklist und Whitelist. Eine Blacklist enthält dabei eine Liste von Anwendungen, welche nicht ausgeführt werden dürfen. Eine Whitelist enthält explizit Anwendungen, welche ausgeführt werden dürfen.
Somit kann einheitlich und unternehmensweit vom Betrieb vorgegeben werden, welche Programme verwendet werden dürfen, können und sollen. Die bessere Alternative ist dabei das Whitelisting. Es kann nur genehmigte Software verwendet werden. Passt diese Einschränkung einem Mitarbeiter nicht, muss sich dieser an den zuständigen Support oder Helpdesk wenden und die Ausnahme genehmigen lassen. Somit kann vor Benutzung der neuen Software diese auf Notwendigkeit und Rechtmäßigkeit geprüft werden.
Doch was bringt uns das alles?
Mittels AppLocker kann der Verwaltungsaufwand und die Kosten für die Verwaltung von Computingressourcen verringert werden. Zudem erhöht es wesentlich die Sicherheit, da anhand von Signaturen oder Hashwerten bekannte Schadsoftware gesperrt werden kann.
Durch AppLocker können zudem alle Anwendungszugriffsaktivitäten in den Ereignisprotokollen gespeichert werden. Diese Ereignisse können bei einem IT-Sicherheitsvorfall die entscheidenden Hinweise zur Aufklärung geben. Insbesondere ist dies gefragt, wenn die Möglichkeit eines Datenabflusses und somit eine Aufklärungspflicht besteht.