AppLocker vs. Application Control

Raffinierter Aufpasser

Nahezu jeder Angriff auf eine IT-Infrastruktur beginnt mit der Ausführung von Code, der mit dem eigentlichen Einsatzzweck dieser Infrastruktur nichts zu tun hat. Eine wichtige Säule jeder IT-Sicherheitsstrategie ist daher die Kontrolle darüber, welcher Code zur Ausführung kommt. Microsoft schickt nun die Windows Defender Application Control ins Rennen.
Die Endgeräte in Unternehmen stellen das wohl größte Einfallstor für Angreifer dar. Ein geöffneter, infizierter E-Mail-Anhang oder der Besuch einer ... (mehr)

Application Whitelisting ist nicht zuletzt deshalb ein derart wichtiges und bereits seit über eineinhalb Jahrzehnten immer aktuelles Thema, weil in einer typischen gewachsenen IT-Landschaft heutzutage niemand einen wirklichen Überblick darüber hat, welche Prozesse auf welchen Maschinen in welchem Sicherheitskontext laufen und welche davon für den beabsichtigten Geschäftszweck wirklich förderlich sind.

Durch die zunehmende Verbreitung von DevOps entstehen viel häufiger neue Softwarestände als bei herkömmlichen Change- und Release-Verfahren. Zahlreiche Skripte und Add-ons erlauben ein unbemerktes Einschleppen von Schadcode. Es muss also ein Werkzeug her, um wieder Ordnung in den Wildwuchs der auf Windows-Systemen laufenden Prozesse zu bringen. Und da jede IT-Landschaft ständiger Veränderung unterliegt, führt nur eine Whitelist-Technologie langfristig zum Erfolg. Blacklists sind extrem schwer aktuell zu halten und extrem leicht zu umgehen.

Whitelisting mit AppLocker

Windows beinhaltet bereits seit XP beziehungsweise Windows Server 2003 Bordmittel für die Beschränkung von Applikationen, die sogenannten Software Restriction Policies, ergänzt und inzwischen meist abgelöst durch AppLocker. Das seit Windows 7 und Windows Server 2008 R2 verfügbare AppLocker stellt eine Weiterentwicklung der Software Restric-tion Policies (SRP oder ursprünglich auch SAFER genannt) dar. Die gesamte Konfiguration findet über Gruppenrichtlinien statt und besteht aus einem Satz von Regeln, die bestimmten Benutzern oder Gruppen das Ausführen bestimmter Dateien erlauben oder verbieten. Die Dateien (ausführbare Programme, DLLs, Skripte, MSI-Pakete oder AppX-Anwendungspakete) können anhand ihres Speicherortes, des Herausgebers oder des Hashes identifiziert werden. Bei ausführbaren Dateien wird der Authenticode-Hash herangezogen [1], bei allen anderen Dateitypen ein SHA-256-Dateihash

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2020