Teil 25a: Mit AppLocker Browser von Drittanbietern blockieren

Im Unternehmen möchte ich erreichen, dass der Internet Explorer aufgrund seiner Verwaltbarkeit mittels Gruppenrichtlinien und der raschen Reaktionszeit von Microsoft für Sicherheitsupdates als einziger Browser eingesetzt wird. Die einzige Ausnahme soll Mozilla Firefox ab Version 33.0.0.0 sein. Sonst möchte ich mit AppLocker Browser von Drittanbietern blockieren.

Meine Konfiguration und Ausgangspunkt für diesen Teil ist Teil 25.

Auf CLIENT001 sind folgende Browser installiert:

  • Google Chrome
  • Apple Safari
  • Mozilla Firefox 33.0.1
  • Opera

Auf CLIENT002 sind folgende Browser installiert:

  • Mozilla Firefox 30.0
  • Opera

Mit AppLocker Browser von Drittanbietern blockieren – Schritte:

  • AppLocker-Regeln auf CLIENT001 erstellen und exportieren
  • Richtlinie auf SERVER02 importieren und auf CLIENT002 testen

AppLocker-Regeln auf CLIENT001 erstellen und exportieren

  1. Als Administrator an CLIENT001 anmelden
  2. Start > Suche: Secpol.msc > als Administrator starten
  3. Anwendungssteuerungsrichtlinien\AppLocker erweitern
  4. Ausführbare Regeln rechts anklicken > Neue Regel erstellen…
    APPLOCKER_BROWSER-001
  5. Ausführbare Regeln erstellen
    1. Berechtigungen
      1. Aktion: Verweigern > Weiter
        APPLOCKER_BROWSER-002
        Weiterlesen

Teil 25: AppLocker konfigurieren und verwalten

Ab Windows 7 Enterprise kann man AppLocker konfigurieren, um das Ausführen unerwünschter Software im Unternehmen zu verhindern. Unerwünscht hat in diesem Zusammenhang unterschiedliche Bedeutungen:

  • Schutz gegen unerwünschte Software: AppLocker verhindert das Ausführen unerwünschter Software.
  • Einhaltung von Lizenzbestimmungen: Das Ausführen einer Software für die Mitglieder einer Sicherheitsgruppe in Active Directory erlauben, allen anderen verbieten.
  • Softwarestandardisierung: Eine bestimmte Software ab einer bestimmten Version erlauben, andere Versionen verbieten.

In sicheren Umgebungen wird auf einem Referenzrechner die gesamte benötigte Software installiert und eine Art Snapshot erzeugt. Diese Software wird erlaubt und alles andere verboten. Mittels whitelisting werden dann weitere Produkte hinzugefügt. Diese Vorgehensweise finde ich sehr aufwendig.

Anders wird (fast) alles erlaubt, mittels blacklisting bestimmte Software verboten. Genau dieses Szenario werde ich im Folgenden beschreiben. Als Grundlage für die Konfiguration verwende ich Microsoft TechNet: AppLocker.

Meine Vorgabe: Das Ausführen von P2P- (Peer to Peer) Software ist im Unternehmen ein (Sicherheits-) Problem. Ich möchte AppLocker konfigurieren und verhindern, dass diese Programme verwendet werden.

AppLocker konfigurieren und verwalten – Schritte:

  • Eine Liste der unerwünschten P2P-Software erstellen
  • AppLocker Policy auf CLIENT001 erstellen und exportieren
  • Die Funktion der AppLocker-Regeln auf CLIENT001 überprüfen
  • Die AppLocker-Policy auf SERVER02 importieren und verteilen
  • Ausführbare Regeln erzwingen

Eine Liste der unerwünschten P2P-Software erstellen

  1. Für diesen Artikel habe ich mir drei bekannte P2P-Programme herausgesucht und heruntergeladen
    1. BitTorrent von der Firma BitTorrent
    2. μTorrent von der Firma BitTorrent
    3. Vuze von Azureus Software
  2. BitTorrent habe ich auf CLIENT002 bereits installiert

AppLocker Policy auf CLIENT001 erstellen und exportieren

  1. Als Administrator an CLIENT001 anmelden
  2. Start > Suche: secpol.msc > Als Administrator ausführen
  3. Anwendungsrichtlinien\AppLocker erweitern
  4. AppLocker rechts anklicken > Eigenschaften
    APPLOCKER-001
  5. Eigenschaften von AppLocker
    1. Ausführbare Regeln
      1. Konfiguriert aktivieren
      2. Nur überwachen > OK
        APPLOCKER-002
        Weiterlesen