Windows 10 härten – AppLocker

In meinem vorhergehenden Beitrag habe ich schon eine Zusammenfassung über die möglichen Schutzfunktionen von Microsoft gesprochen. In diesem Artikel geht es um den Schutz vor unbekannten Programmen, Apps oder Skripten. Hierbei kommt der Windows zum Einsatz welcher seit Windows 7 zur Ausstattung des Betriebssystems gehört. Leider ist dieses Feature nur für Firmenkunden mit einer Enterprises Edition verfügbar. Dabei würde es dem Microsoft Image gut tun jegliche Sicherheitsfunktionen für alle Windows Editionen zur Verfügung zu stellen.

Die Funktionsweise von AppLocker ist dabei relativ einfach und ersetzen bzw. ergänzen die vorab genutzten „Richtlinien für Softwareeinschränkung“. In einem Regelwerk aus Hash-, Signatur, Herausgeber- und Pfadregeln wird bestimmt welches Software und welches Skript ausgeführt werden darf und erweitern somit den Grundschutz massiv.




Die meisten aktuellen Viren, Trojaner oder Adware sind immer noch die klassischen ausführbaren Dateien welche im User Temp-Verzeichnis ausgeführt werden. Auch die zurzeit verbreiteten Excel oder Word Makros starten im Temp-Verzeichnis und laden in den meisten Fällen einfach nur ausführbaren Inhalt oder Skripte nach.

Ich habe mit Kollegen von der datom GmbH in einer isolierten Umgebung diverse E-Mail Anhänge und Word Makros geöffnet und wir konnten in jedem dieser Fälle eine Systeminfektion dank AppLocker verhindern!

AppLocker Richtlinien lassen sich übrigens auch wunderbar exportieren und importieren sowie natürliche über Gruppenrichtlinien bereitstellen. Auch ein Testmodus welcher nur protokoliert ist vorhanden und hilft bei der Einführung in größeren Umgebungen.

Zur Funktionalität wird der Dienst Anwendungsidentität (AppIDSvc) benötigt. Der Dienst muss mit Windows automatisch mit starten. Mit Windows 10 war dieses nicht über die Dienste-Konsole möglich. Ich musste ihn über die CMD in den Autostart-Modus setzen.

Die weitere Konfiguration erfolgt über die Gruppenrichtlinienverwaltung. In meinem Fall ohne Domäne mit der lokalen Richtlinie.

Unter Computerkonfiguration -> Windows Einstellungen -> Sicherheitseinstellungen -> Anwendungssteuerungsrichtlinien finden wir die Konfiguration von AppLocker.

applocker0

Über einen Rechtsklick auf die einzelne Kategorie Ausführbare Regeln, Windows Installer-Regeln, Skriptregeln oder App-Paketregeln sollten wir hier erst einmal die Standardregeln erstellen. Diese Standardregeln sind für die Funktionalität des Betriebssystems extrem wichtig. Ohne diese Regeln ist die Stabilität des Betriebssystems gefährdet. Ein Wiederherstellungspunkt für Notfälle kann für ungeübte nicht schaden.

Die Standardregeln erlauben via Pfadregel Zugriff auf alle Dateien im Ordner Programme welcher bei 64 Bit Systemen auch das x86 Verzeichnis einschließt sowie den Zugriff auf den Windows Ordner. Weiterhin wird der lokaler Administratorengruppe Zugriff auf alle Dateien gewährt.

applocker2

Wichtig: AppLocker ergibt nur dann Sinn, wenn man NICHT als lokaler Admin unterwegs ist. Die Standardregel hebelt in diesem Falle alles Schutzmechanismen aus!

Sind alle Regeln erstellt kann man über einen Rechtsklick auf AppLocker den Betriebsmodus wählen. Wer lieber erst testen möchte schaltet auf Überwachen. In meinem Beispiel ist AppLocker schon aktiv.

applocker1

Damit ich mögliche Fehler schneller finde habe ich mir in der Ereignisanzeige eine eigene Benutzerdefinierte Ansicht mit folgenden Werten erstellt:

applocker3

Nach einem Neustart und einer ersten Prüfung viel mir als erstes OneDrive im auf. Dieses wird im Userverzeichnis APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ ausgeführt und entspricht nicht den Standardregeln.

applocker4

Diese müssen wir manuell über eine Pfad- oder Hashregel hinzufügen. Da ich als Admin aber auch regelmäßig Skripte schreibe und teste haben ich mir zusätzlich noch Pfadregeln für C:\Temp\ geschrieben.

Beispiel für ausführbare Regeln:

applocker5

Nach diesen kleinen Änderungen ist unser Windows wieder etwas sicherer. Für weitere Fragen stehe ich gerne zur Verfügung!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.