Schutz vor bösen Anwendungen
Applocker unter Windows
Microsoft hat mit Windows Vista und dem Windows Server 2003 begonnen, die Sicherheitsfeatures der Betriebssysteme zu verbessern. Richtig rund wurden diese Konzepte aber erst mit Windows 7 und dem Server in der 2008-R2-Version. Dabei kam mit dem Applocker auch eine komplett neue Kontrollmöglichkeit hinzu.
Mit dem Erscheinen der R2-Version des Windows-Servers und der Verfügbarkeit von Windows 7 haben
die Microsoft-Ingenieure ein weiteres Sicherheitsfeature in die Betriebssysteme integriert, das den
Namen Applocker trägt. Mithilfe dieser Software kann ein Administrator durch Regeln festlegen,
welche Anwender und Gruppen die Erlaubnis haben, genau spezifizierte Anwendungen auf den Client-
und Server-Systemen einzu-setzen.
Erfahrene Windows-Administratoren werden anmerken, dass auch ältere Windows-Versionen wie etwa
der Windows Server 2003 mit einer ähnlichen Funktionalität ausgestattet waren, die dort noch unter
dem Begriff Software-Einschränkungsrichtlinien bekannt war. Dies trifft im Prinzip zu: Auch unter
diesen Versionen war es für die Systemverwalter möglich, ihre Anwender am Einsatz bestimmter
Programme zu hindern, indem sie im Firmennetzwerk bestimmte Richtlinien ausrollten. Allerdings war
mit dieser Funktionalität keine feine Granulierung der Einschränkungen machbar. Der Geltungsbereich
der Regeln bezog sich dabei immer auf alle Anwender im eigenen Netz, was die praktische Anwendung
stark einschränkte. Hinzu kommen weitere Nachteile, wie die fehlende Unterstützung der
Software-Einschränkungsrichtlinien durch die Power-Shell.
Wenn es darum geht, die Ausführung eines Schadprogramms auf einem Rechner zu verhindern, setzen
beispielsweise Antivirus- und Antispyware-Lösungen in der Regel das Blacklisting ein. Solche
Programme erlauben grundsätzlich die Installation und den Betrieb jeder Software auf einem System,
solange sie nicht auf einer schwarzen Liste mit potenziell gefährlichen Programmen auftauchen.
Eine andere Technik, die im Moment in vielen Bereichen der IT wieder mehr an Bedeutung gewinnt,
ist das so genannte Whitelisting: Bei dieser Vorgehensweise wird der zuvor geschildert Ansatz
umgekehrt: Das Schutzprogramm blockiert grundsätzlich alle Anwendungen mit Ausnahme derjenigen, die
auf dieser "guten" Liste aufgeführt werden. Der Einsatz einer derartigen Whitelisting-Technik birgt
natürlich auch Risiken. So ist es für den Systemverwalter bei diesem Schutz ein Leichtes, sich
selbst vom System auszuschließen, indem er vergisst seine Administrations-Tools mit auf die Liste
zu setzen. Ebenso leicht kann er ganze Abteilungen an der Arbeit hindern, wenn er nichts von einem
neuen Programm erfährt, dass dieser Geschäftsbereich nun einsetzt.
Sowohl die Software-Einschränkungsrichtlinien als auch die Applocker-Software sind in der Lage,
mit Black- und mit Whitelisting umzugehen. Allerdings unterscheidet sich ihre
Standardvorgehensweise, wenn der Systemverwalter selbst keine speziellen Einstellungen wählt.
Grundsätzlich verweigert der aktivierte Applocker den Einsatz aller Anwendungen, die er nicht auf
seiner Liste findet. Der Administrator muss explizit festlegen, welche Anwendungen auf dem System
laufen dürfen. Die Richtlinien zur Software-Einschränkung gehen grundsätzlich von einem
Blacklisting-Ansatz aus, können aber mit einigem Aufwand auch so konfiguriert werden, dass sie als
Standard ein Whitelisting anbieten.
Regeln definieren und Whitelisting verwenden
Wer Applocker auf seinen Systemen einsetzen will, muss natürlich wissen, wie er die
entsprechenden Regel schnell und einfach erstellen und durchsetzen kann. Genau wie es schon bei den
Software-Einschränkungsrichtlinien der Fall war, kann der Systembetreuer dazu auch hier die
Einstellungen eines Gruppenrichtlinien-Objekts (GPO – Group Policy Object) verwenden. Weiterhin ist
es beim Applocker im Gegensatz zum alten Ansatz auch möglich, diese Einstellungen mittels
Power-Shell-Cmdlets vorzunehmen. Die Erläuterungen zur Verwaltung der Applocker-Einstellungen via
Power-Shell würden aber den Umfang dieses Artikels deutlich übersteigen.
Sowohl unter Windows 7 als auch auf dem Windows Server 2008 R2 (wie in Bild 1 zu sehen), sollte
dazu zunächst einmal der Editor für lokale Gruppenrichtlinien aufgerufen werden. Dieser wird am
einfachsten gestartet, indem der Anwender unter "Ausführen" (Windows-Taste und "R") den Begriff "
gpedit.msc" eingibt. Innerhalb dieser MMC-Oberfläche (Microsoft Management Console) muss er dann
den folgenden Pfad auswählen:
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Anwendungssteuerungsrichtlinien\Applocker
(Bild 1). Der Administrator kann an dieser Stelle auch weiterhin die alten
Software-Einschränkungsrichtlinien konfigurieren und verwenden, denn beide Techniken können
nebeneinander arbeiten. Dies ist besonders dann von großem Vorteil, wenn im Netzwerk noch ältere
Systeme unter Windows XP oder Windows Server 2003 im Einsatz sind, da der Einsatz von Applocker nur
auf Rechner unter Windows 7 und Windows Server 2008 R2 mög-lich ist.
Das Applocker-Feature unterstützt drei unterschiedliche Regeltypen: Ausführbare Regel,
Windows-Installer- und Skript-Regeln. Diese Regeln werden vom System in Gruppen gesammelt und sind
in den Eigenschaften des Applocker-Containers zu finden. Ausführbare Regeln sind in der Lage, exe-
und com-Dateien an der Ausführung zu hindern. Die Windows-Installer-Regeln können zudem die
msi-Dateien (die vom Windows-Installationsprogramm verwendet werden) und die msp-Dateien (Windows
Installer Patching) stoppen. Schließlich stehen dem Administrator noch die Skriptregeln zur
Verfügung, mit deren Hilfe er die Ausführung diverser Scripting-Dateien wie ps1, bat, cmd, vbs oder
js wirkungsvoll unterbinden kann. Ein Rechtsklick auf diese Container stellt ihm drei Optionen bei
der Erstellung der Regeln zur Verfügung:
- Neue Regel erstellen,
- Regeln automatisch generieren und
- Standardregeln erstellen.
Wer zum ersten Mal mit diesen Regeln arbeitet, sollte sich zunächst mit den so genannten
Standardregeln beschäftigen. Standardregeln werden vom System automatisch so generiert, dass ein
Windows-System mit ihnen problemlos funktionieren und der Administrator ungestört seine Arbeit tun
kann. Als weitere Sicherheitsmaßnahme wird der Anwender von Applocker auch darauf hingewiesen,
zunächst diese Standardregeln zu definieren. So sieht der Best-Practice-Ansatz für dieses Feature
so aus: Zunächst entstehen Standardregeln, die der Administrator dann nach und nach durch den
Einsatz restriktiverer, manuell angelegter Regeln verfeinern und ausbauen kann. Dabei kann er
entsprechende Standardregeln für alle drei Regeltypen getrennt voneinander definieren.
Automatisch generierte Regeln
Kommen die automatisch generierten Regeln zum Einsatz, dann erstellt Applocker eine Whitelist
für den Systemverwalter. Hier steht wie auch bei den anderen Regeln ein Assistent zur Verfügung, in
dem angegeben werden kann, in welchem Verzeichnis die Dateien liegen, für die ein Regelsatz
entstehen soll (Bild 2). Applocker schlägt dann einen entsprechenden Regelsatz für die Dateien in
diesem Ordner vor. Der Anwender kann dabei unter anderem auch entscheiden, ob die Regeln als
Erkennungsmerkmal für eine ausführbare Datei, deren Pfad oder einen speziellen Hash-Wert verwenden
sollen.
In der Praxis bietet es sich an, eine Liste auf einer Muster-Maschine im Netz zu erstellen, die
Richtlinien zu exportieren und dann auf den anderen Maschinen wieder zu importieren. Dies ist
ebenfalls durch einen einfachen Rechtsklick auf den Container Applocker in der MMC möglich. Zum
Abschluss der Aktion kann sich der Administrator dann noch einmal die komplette Liste der
erstellten Regeln vom Assistenten anzeigen lassen (Bild 3). Dabei kann er nicht nur nach einer
bestimmten Regel suchen, sondern beispielsweise auch manuell eine Regel für eine bestimmte Datei
wieder außer Kraft setzen.
Das Durchsetzen der Regeln
Ein weiterer Weg besteht schließlich darin, über den Eintrag "Neue Regel erstellen" ebenfalls
mittels eines Assistenten eine komplett neue Regel für das System anzulegen – im Normalfall wird
ein Systemverwalter diese Option aber als letzten Schritt ausführen, um die vor erstellten Regeln
zu erweitern und zu verfeinern.
Genau wie die Software-Einschränkungsrichtlinien unter Windows Server 2003 ist auch das
Applocker-Feature standardmäßig nicht eingeschaltet. Selbst wenn der Administrator bereits
entsprechende Regeln angelegt hat, wird der Applocker sie nicht sofort bei den Client-Systemen
durchsetzen. Ein erster Schritt, um diese nun erstellten Regel scharf zu schalten, besteht für den
Administrator darin, zu entscheiden, ob er die Regeln nur zur Überwachung (Auditing) oder zur
Erzwingung der vorgegebenen Einschränkungen einsetzen will. Diese ebenfalls mit Applocker neu
hinzugekommene Option bietet eine gute Möglichkeit festzustellen, ob die gewählten Konfigurationen
den Live-Test bestehen: Bei dieser Option werden die Regeln aus der jeweiligen Sammlung nicht
erzwungen, aber jedes Mal, wenn ein Anwender ein Programm ausführt, dass von einer der erstellten
Regeln betroffen ist, schreibt das System eine entsprechende Information in das Ereignisprotokoll
von Applocker. So verhindert ein Administrator nicht nur, dass er sich versehentlich selbst
aussperrt, sondern kann seine Regeln auf eventuell auftretende Seiteneffekte überprüfen.
In einem zweiten Schritt muss er dann noch sicherstellen, dass auf allen Systemen, auf denen die
Regeln zum Einsatz kommen sollen, auch der Anwendungsidentitätsdienst arbeitet. Dieser Dienst ist
auf den Windows Server 2008 R2 und den Windows 7 Systemen standardmäßig so eingestellt, dass ein
manueller Start ausgeführt werden muss, damit er aktiv wird
Lesen Sie mehr zum Thema
