Windows Defender Application Control

Reduzierte Angriffsfläche

Windows Defender Application Control soll Systeme vor Bedrohungen schützen, die herkömmliche Virenscanner und signaturbasierte Mechanismen nicht erkennen. Denn führt ein Benutzer einen Prozess aus, hat dieser Prozess dieselben Zugriffsrechte auf Daten wie der Benutzer. So werden vertrauliche Informationen leicht gelöscht oder aus der Organisation gebracht. Windows Defender Application Control reduziert diese Sicherheitsrisiken, indem es Anwendungen im Benutzerkontext einschränkt und den im System-Kernel erlaubten Code reduziert.
Firmen stecken in einer Zwickmühle: Einerseits verschärfen die Gesetzgeber in Deutschland und Europa laufend die Anforderungen an die Datensicherheit und den ... (mehr)

Aus früheren Versionen hat Microsoft gelernt, dass es unter Win-dows Defender Application Control (WDAC) [1] schwer war, Code-Integrity-(CI)-Richtlinien (Anwendungssteuerungsrichtlinien) zu erstellen. Daher liefert der Hersteller jetzt in Microsoft Win- dows Server 2019 und Windows 10 Version 1709 einen Satz an vorkonfigurierten CI-Richtlinien aus. Diese erlauben die Ausführung von Betriebssystemdateien und Anwendungen wie Microsoft SQL Server, blockieren gleichzeitig aber auch ausführbare Dateien, die bekannt dafür sind, die konfigurierten CI-Richtlinien zu umgehen. Zusätzlich lassen sich jetzt in Windows Server 2019 mehrere CI-Richtlinien verschachteln, um eine Whitelist zu erstellen, die alle verschachtelten CI-Richtlinien beinhaltet. Auch lassen sich jetzt CI-Richtlinien ohne ein Reboot des Systems anlegen.

Administratoren können mit WDAC Richtlinien erstellen, die alle Zugriffe blockieren, die sich nicht in einer konfigurierbaren Whitelist befinden. WDAC hat Ähnlichkeiten mit AppLocker, das Gruppen- richtlinien zur Steuerung der Zugriffe auf Anwendungen in Form von Pfad- Hash- und StoreApps-Regeln verwendet. Vor Windows 10 Version 1709 wurden solche Richtlinien als konfigurierbare Codeintegritätsrichtlinien bezeichnet und auch DeviceGuard – der Name von WDAC in früheren Windows-Versionen – ist im Kern das Gleiche wie die Windows-Defender-Anwendungssteuerung.

WDAC implementieren

Eine erfolgreiche WDAC-Implementierung [2] setzt eine umfangreiche Planung voraus. Sie müssen die notwendige Hard- und Software ermitteln und entscheiden, ob Sie mit Whitelisting oder Blacklisting arbeiten. Dann müssen Sie die in den Fachabteilungen eingesetzte Software inventarisieren, um entscheiden zu können, wie viele WDAC-Richtlinien notwendig sind. Zudem empfehlen wir Referenz-PCs, um die installierte Software zu scannen und basierend auf den Ergebnissen WDAC-Richtlinien zu

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2020