Teil 25: AppLocker konfigurieren und verwalten

Ab Windows 7 Enterprise kann man AppLocker konfigurieren, um das Ausführen unerwünschter Software im Unternehmen zu verhindern. Unerwünscht hat in diesem Zusammenhang unterschiedliche Bedeutungen:

  • Schutz gegen unerwünschte Software: AppLocker verhindert das Ausführen unerwünschter Software.
  • Einhaltung von Lizenzbestimmungen: Das Ausführen einer Software für die Mitglieder einer Sicherheitsgruppe in Active Directory erlauben, allen anderen verbieten.
  • Softwarestandardisierung: Eine bestimmte Software ab einer bestimmten Version erlauben, andere Versionen verbieten.

In sicheren Umgebungen wird auf einem Referenzrechner die gesamte benötigte Software installiert und eine Art Snapshot erzeugt. Diese Software wird erlaubt und alles andere verboten. Mittels whitelisting werden dann weitere Produkte hinzugefügt. Diese Vorgehensweise finde ich sehr aufwendig.

Anders wird (fast) alles erlaubt, mittels blacklisting bestimmte Software verboten. Genau dieses Szenario werde ich im Folgenden beschreiben. Als Grundlage für die Konfiguration verwende ich Microsoft TechNet: AppLocker.

Meine Vorgabe: Das Ausführen von P2P- (Peer to Peer) Software ist im Unternehmen ein (Sicherheits-) Problem. Ich möchte AppLocker konfigurieren und verhindern, dass diese Programme verwendet werden.

AppLocker konfigurieren und verwalten – Schritte:

  • Eine Liste der unerwünschten P2P-Software erstellen
  • AppLocker Policy auf CLIENT001 erstellen und exportieren
  • Die Funktion der AppLocker-Regeln auf CLIENT001 überprüfen
  • Die AppLocker-Policy auf SERVER02 importieren und verteilen
  • Ausführbare Regeln erzwingen

Eine Liste der unerwünschten P2P-Software erstellen

  1. Für diesen Artikel habe ich mir drei bekannte P2P-Programme herausgesucht und heruntergeladen
    1. BitTorrent von der Firma BitTorrent
    2. μTorrent von der Firma BitTorrent
    3. Vuze von Azureus Software
  2. BitTorrent habe ich auf CLIENT002 bereits installiert

AppLocker Policy auf CLIENT001 erstellen und exportieren

  1. Als Administrator an CLIENT001 anmelden
  2. Start > Suche: secpol.msc > Als Administrator ausführen
  3. Anwendungsrichtlinien\AppLocker erweitern
  4. AppLocker rechts anklicken > Eigenschaften
    APPLOCKER-001
  5. Eigenschaften von AppLocker
    1. Ausführbare Regeln
      1. Konfiguriert aktivieren
      2. Nur überwachen > OK
        APPLOCKER-002
  6. Ausführbare Regeln rechts anklicken > Standardregeln erstellen
    APPLOCKER-003
  7. App-Paketregeln rechts anklicken > Standardregeln erstellen
  8. Ausführbare Regeln rechts anklicken > Neue Regel erstellen…
    APPLOCKER-004
  9. Ausführbare Regeln erstellen
    1. Vorbereitung
      1. Seite standardmäßig überspringen aktivieren > Weiter
    2. Berechtigungen
      1. Aktion: Verweigern > Weiter
        APPLOCKER-005
    3. Bedingungen
      1. Herausgeber > Weiter
        APPLOCKER-006
    4. Herausgeber
      1. Referenzdatei: C:\Sourcen\BitTorrent.exe
      2. Den Schieberegler bis zum Herausgeber schieben > Weiter
        APPLOCKER-008
    5. Ausnahmen > Weiter
      APPLOCKER-009
    6. Name > Erstellen
      APPLOCKER-010
  10. Die Schritte für Vuze BitTorrent Client wiederholen, μTorrent ist vom gleichen Hersteller wie BitTorrent
    APPLOCKER-011
  11. AppLocker rechts anklicken > Richtlinie exportieren…
    APPLOCKER-017
  12. Die Richtlinie nach \\SERVER02\Sourcen\AppLocker\AppLocker-001.xml exportieren
    APPLOCKER-018
  13. Alle Fenster schließen

Die Funktion der AppLocker-Regeln auf CLIENT001 überprüfen

Die Torrent-Clients können immer noch gestartet werden, weil sich die AppLocker-Regeln im Überwachungsmodus befinden. Um das Verhalten zu überprüfen, gibt es ein eigenes Ereignisprotokoll. Alternativ kann folgender PowerShell-Befehl verwendet werden:

Get-AppLockerFileInformation -EventLog -EventType Audit -Statistic

APPLOCKER-024

  1. BitTorrent, μTorrent und Vuze starten und wieder beenden
  2. Auf CLIENT001 die Ereignisanzeige öffnen
  3. Anwendungs- und Dienstprotokolle\Microsoft\Windows\AppLocker erweitern
  4. EXE und DLL anklicken
    1. Einstellungen wurden angewendetAPPLOCKER-012
    2. BitTorrent wurde überwacht
      APPLOCKER-014
    3. μTorrent wurde überwacht
      APPLOCKER-015
    4. Vuze wurde ebenfalls erfolgreich überwacht
      APPLOCKER-016
  5. Alle Fenster schließen

Die AppLocker-Policy auf SERVER02 importieren und verteilen

Damit AppLocker funktioniert, muss auf den Clients der Dienst Anwendungsidentität (Application Identity) gestartet sein. Am einfachsten ist, das in der Gruppenrichtlinie zu konfigurieren.

  1. Als Administrator an SERVER02 anmelden
  2. Server Manager > Tools > Group Policy Management
  3. Ein neues Gruppenrichtlinienobjekt erstellen
    1. Name: AppLocker Settings
  4. GPO zum Bearbeiten öffnen
  5. Computer Configuration\Policies\Windows Settings\Security Settings\System Services markieren
  6. Im Detailbereich den Dienst Application Identity doppelklicken
  7. Application Identity Properties
    1. Define this policy setting > aktivieren
    2. Select service startup mode: Automatic > OK
      APPLOCKER-021
  8. Application Control Policies erweitern
  9. AppLocker rechts anklicken > Import Policy…
    APPLOCKER-022
  10. Die Policy D:\Sourcen\AppLocker\AppLocker-001.xml importieren
  11. Computer Configuration\Policies\Administrative Templates\Windows Components\File Explorer markieren
  12. Im Detailbereich Set a support web page link zum Bearbeiten öffnen
  13. Support web page URL eintragen
    APPLOCKER-030
  14. Group Policy Management Editor schließen
  15. Die Benutzerkonfigurationseinstellungen deaktivieren (User configuration settings disabled), weil in dieser GPO nur Computereinstellungen definiert werden
    APPLOCKER-029
  16. GPO AppLocker Settings auf die OU Einfaches-Netzwerk\Arbeitsstationen verknüpfen
    APPLOCKER-019

In der Praxis sollte die Policy auf eine kleine Gruppe ausgewählter Benutzer angewandt werden. Aufgrund des Feedbacks müssen die Einstellungen angepasst werden, ehe diese auf eine zweite, größere Testgruppe erweitert wird. Erst dann schrittweise auf das gesamte Unternehmen ausrollen.

Ausführbare Regeln erzwingen

  1. Als Administrator an SERVER02 anmelden
  2. Server Manager > Tools > Group Policy Management
  3. GPO AppLocker Settings zum Bearbeiten öffnen
  4. Computer Configuration\Policies\Windows Settings\Security Settings\Application Control Policies erweitern
  5. AppLocker rechts anklicken > Properties
  6. AppLocker Properties
    1. Executable rules
      1. Configured > aktiviert
      2. Enforce rules > OK
        APPLOCKER-025
  7. Alle Fenster schließen
  8. Als Markus an CLIENT002 anmelden
  9. Mit folgendem Befehl die Richtlinien übernehmen
    gpupdate /force
  10. BitTorrent starten > die Ausführung wird blockiert, hinter Weitere Informationen verbirgt sich die Support URL
    APPLOCKER-031
  11. Mit folgendem PowerShell-Befehl die blockierte Anwendung abfragen
    Get-AppLockerFileInformation -EventLog -EventType Denied -Statistics
  12. PowerShell-Command
    APPLOCKER-028

Passt soweit! 🙂

AppLocker konfigurieren und verwalten – Fazit:

Applocker konfigurieren, verwalten und im Unternehmen einzuführen ist keine Sache, die man schnell mal erledigen kann. Weil es keine Definitionsdateien wie z.B. bei der Sophos Application Control gibt, kann AppLocker konfigurieren sehr viel Aufwand sein. Dafür fallen – außer den Windows Enterprise-Lizenzen – keine weiteren Kosten an, AppLocker ist Out-of-the-Box verfügbar.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert