• Artikel

Meister aller Klassen AppLocker: ’S IT erste Security Allheilmittel?

Greg Shields

Inhalt

Whitelisting Anwendungen
AppLocker: Mehr als SRP Version 2
Eine einfache Bereitstellung von AppLocker

Es ’s ein langjähriges Spruch in unserer Branche, dass nichts Allheilmittel ist. Laut Definition eine “ Lösung für alle Diseases, Evils oder Schwierigkeiten beim eingeben, würde das Allheilmittel oft angeboten jedoch Neverrealized IT-Lösung So beenden Sie alle Lösungen darstellen.

Es ist konventionellen Weisheit, die kein einzelnes Produkt jemals vollständig Sie, dass eine Stop-Update für alle Probleme unabhängig davon anbieten kann, wie hart Verkäufer für das Produkt möglicherweise versucht, andernfalls verleiten. In erkunden die neue AppLocker-Funktionalität in Windows 7 und Windows Server 2008 R2, muss ich noch gefragt, ob Microsoft schließen gelangt ist.

Überlegen Sie die Grundlagen der Verwaltung der Systemsicherheit, um die Leistungsfähigkeit von AppLocker vollständig zu verstehen. Malware ist eine Konstante Bedrohung. Ihre Systeme über einen Internetbrowser infiziert oder über einen Wurm-Stil Angriff abgelegt, überflutet es manchmal sogar die besten Firewalls und Antimalware-Module. Sogar mit einem mehrstufigen Ansatz zur Sicherheit in Ihrer Umgebung, kann die Kombination dieser Tools, niemals für die gefürchtete Zero-Day-Angriffe vorbereitet werden.

Es gibt noch einen gemeinsamen Thread zwischen praktisch alle Teile von Malware: Der Code hat, Ihre Systeme beschädigen verarbeitet werden.

Diese einzelnen Punkt löst die Frage für Administratoren: "Wenn praktisch alle Malware Verarbeitung gefährlich sein erfordert, konnte ich selbst schützen, indem die Verarbeitung erfolgt in erster Linie verhindern?"

Die Antwort lautet: Absolut. Und die Lösung für dieses Problem ist AppLocker.

Whitelisting Anwendungen

AppLocker hat seinen Stamm in der Gruppenrichtlinien-Technologie, Software für Sicherheitsrichtlinien (SRP), die mit Windows XP und Windows Server 2003 führte aufgerufen. SRP führte das Konzept von Blacklists und Whitelists in Bezug auf nicht erlaubt und ausführbaren Dateien in einer Windows-Domäne zulässig. Das Konzept ist einfach:

  • Mit einer Sperrliste, identifizieren Sie Administrator, die bestimmten ausführbaren Dateien, die nicht zulässig sind auf Computern in Ihrer Domäne ausführen. Zum Zeitpunkt Markteinführung werden Prozesse anhand der Sperrliste überprüft, bevor Sie ausgeführt wird. Ist ein Prozess auf der Sperrliste, Ausführung wird verhindert, und der Benutzer wird stattdessen eine Fehlermeldung angezeigt.
  • Mit einer Whitelist wird das Gegenteil true. Verwenden einer Whitelist, geben Sie stattdessen die Prozesse, die auf Ihren Computern ausführen dürfen. Gestartete Prozesse werden anhand der Positivliste vor der Ausführung überprüft. Nur die auf der Positivliste dürfen ausgeführt werden;Diese werden nicht auf der Positivliste verhindert ausgeführt.

Mit SRP war eines dieser beiden Paradigmen möglich, mit dem Schwerpunkt auf das Sperren von Anwendungen. Im Laufe der Zeit war es jedoch offensichtlich, dass das Konzept Whitelisting erheblich leistungsfähiger sein kann. Während Whitelisting mehr Arbeit, beteiligt da jede Anwendung genehmigt ausführen musste in der Richtlinie eingegeben werden, war es eine potent-Methode für alles andere verhindern.

Durch Nutzung des SRP Whitelisting Paradigma, könnten in eine Umgebung angeben, welche Anwendungen mussten wurde getestet, überprüft und genehmigt von den Administratoren und Sicherheitsrichtlinien. Alles andere – einschließlich der Ausführung von Malware und anderen quasi-legitimate Anwendungen, die nicht genehmigt durch die meisten Formulare IT, würde die Ausführung explizit verweigert werden. Keine Verarbeitung, keine Malware, keine Infektion.

Aber beim einfachen Konzept des SRP-Technologie in Implementierung mühsam war. Trotz seiner Leistungsfähigkeit SRP wurde implementiert, indem nur eine sehr wenigen Umgebungen. Bestimmen den genauen Satz von zulässigen Anwendungen war ein mühsam und komplexen Prozess mit wenig Automatisierungsunterstützung. Sogar einen kleinen Fehler in einer Gruppenrichtlinie SRP vornehmen könnte die Vermeidung von alle Software die Ausführung in der Domäne bedeuten. Zu riskant und in seiner Konfiguration SRP selten administrativ zu komplex war es auf den meisten UmgebungenRadars.

AppLocker: Mehr als SRP Version 2

Der AppLocker Technologie soll Akzeptanz Ebenen durch die Integration bessere Verwaltungsfunktionen zu erhöhen. Viel enger in den Betriebssystemen Windows 7 und Windows Server 2008 R2 integriert, nutzt die AppLocker des SRP Konzepte zum Erstellen einer mehr verwendet werden-Lösung.

Die erste Möglichkeit, die in der AppLocker über SRP verbessert durch das Hinzufügen einer Überwachung Erzwingung Modus ist (siehe Abbildung 1). In diesem Modus Regeln konfigurierten Computern und ausführbare Datei nur Bericht stattfinden, in denen Verletzungen von Richtlinien. Durch Kombinieren des AppLocker nur Erzwingung Überwachungsmodus mit einer leeren Whitelist, ist es möglich, schnell die Typen von Anwendungen identifizieren, die auf Computern in der Domäne ausgeführt werden. Mit Überwachungsinformationen in AppLocker-Ereignisprotokoll des Computers abgelegt werden können Details zu diesen Anwendungen und Ihre ausführbaren Dateien höher Erzwingung dokumentiert werden.

1009fig1.gif

Abbildung 1 AppLocker im Überwachungsmodus nur. (Zum Vergrößern auf das Bild klicken)

Ein zweiter Mechanismus verbessert Regelerstellung durch einen automatisierten Assistenten. In Gruppenrichtlinien des AppLocker gefunden Konsole ist eine Auswahl zu Regeln automatisch generieren (siehe Abbildung 2). Diese Option wird ein Assistent, die alle Dateistruktur auf einem Referenzcomputer Scannen wird nach ausführbaren Dateien gestartet. Jede ausführbare Datei in den zugeordneten Pfad oder seinen Unterordnern gefunden haben eine Regel automatisch für Sie generiert. Zeigen mit diesem Assistenten auf einem Referenzcomputer mit Ihrer Umgebung häufig Software, die automatisch installiert, erzeugt eine Liste von Regeln. Die Liste kann als Ausgangspunkt für die spätere Anpassung verwendet werden.

1009fig2.gif

Abbildung 2 AppLocker automatisch generieren ausführbare Regelassistent (auf das Bild für eine größere Ansicht klicken.)

AppLocker vereinfacht auch die Generierung von Regel durch Verringern der Anzahl der Regel Klassen auf drei. Sie sind dafür vorgesehen, in Kombination verwendet werden, und Sie werden feststellen, dass jede Regelklasse einen anderen Ansatz zum Einschränken von Software Ausführung bereitstellt:

  • Pfad Regel erstellen Sie eine Einschränkung basierend auf dem Namen oder Speicherort der ausführbaren Datei. Beispielsweise können eine Pfadregel für einen bestimmten Dateinamen ("sol.exe") oder eine Kombination von Dateinamen und Platzhalter (sol*.exe) zum Erfassen von begrenzter Änderungen an einem Dateinamen erstellt werden. Platzhalter können auch in Kombination mit Dateipfade (%ProgramFiles%\Microsoft Games\ 1) verwendet werden.
  • Datei Hash Regeln werden erstellt, um einige offensichtlichen Einschränkungen mit Pfadregeln zu überwinden. Verwenden eine Pfadregel, kann eine ausführbare Datei durch Verschieben von es außerhalb des verwalteten Pfad oder durch ausreichend ändern den Dateinamen zugegriffen werden. Mithilfe einer Hashregel Datei wird kryptografischer Hash einer verwalteten Datei erstellt. Formularvorlage Regeln aus der Datei hasht bedeutet, die bleiben, unabhängig davon, wo sich diese auf dem System befinden, sind verwaltete. Während dies die Sicherheit der Gesamtlösung erhöht, wird seine Nachteil offensichtlich, wie Dateien mit der Zeit aufgrund von Patches oder Updates ändern. Aus diesem Grund verwenden Datei Hash Regeln erfordert zusätzliche aufgrund Sorgfalt wie Software wird aktualisiert.
  • Publisher Regeln erfordern, dass die verwaltete ausführbare Datei digital signiert ist. Die digitale Signatur ermöglicht die Datei, eingeschränkt werden, basierend auf seiner Publisher, Produktname, Filename und Datei-Version. Eine gleitende Skalierung und benutzerdefinierten Wert Option bietet, sind Sie die Möglichkeit, welche Merkmale anpassen, die Sie interessieren und die optional. Es ist beispielsweise möglich, eine Datei beim Festlegen des eines Platzhalters für die Dateiversion auf seine Verleger, Produktnamen und Dateiname Grundlage einschränken (siehe Abbildung 3). Das Ergebnis: Höheren Version Aktualisierungen für die Datei werden automatisch genehmigt.

1009fig3.gif

Abbildung 3 erstellen und Anpassen einer Publisher-Regel. (Zum Vergrößern auf das Bild klicken)

Eine endgültige nützliche Ergänzung ist die Fähigkeit spezielle jeder Regel-Klasse zugeordnete Ausnahmen erstellen. Diese Ausnahmen ermöglichen eine weitere Definition der ausführbaren Dateien zulässig sind, für die Ausführung im Gegensatz zu dem daran gehindert werden. Z. B. möglicherweise ermöglichen alle ausführbaren Datei im Ordner "%Programme%\Microsoft Office\ 1", aber insbesondere WINPROJ.EXE aufgrund auf Lizenzierung, Einschränkungen oder aus anderen Gründen verhindern.

Da AppLocker Einstellungen in der Regel über die Gruppenrichtlinie erstellt werden, kann die Zuweisung der Datenausführungsverhinderung Execution Prevention Regeln auf den Computern in Ihrer Umgebung oder der einzelne Benutzer konzentriert. In GPME (der Richtlinie Management-Editor), AppLocker, die für Computer definiert sind Einstellungen im Ordner Computerkonfiguration | Richtlinien | Windows-Einstellungen | Sicherheitseinstellungen | der Anwendungsrichtlinien. Definiert für Benutzer sind am selben Speicherort unter Benutzerkonfiguration. Als solche kann eine beliebige Kombination Benutzer und Computer ausgerichteten Konfigurationen basierend auf der Anwendung von Gruppenrichtlinien vorgenommen werden. Richtlinie-das Zusammenführen ist additiv, Bedeutung, die Gruppenrichtlinie außer Kraft setzen wird nicht oder ersetzen-Regeln in einer verknüpften Gruppenrichtlinienobjekt (GPO) bereits vorhanden. Regeln über Gruppenrichtlinien zugewiesen werden herkömmliche Gruppenrichtlinienobjekte unter die gleichen Anwendung Reihenfolge angewendet.

Jetzt, des AppLocker main Einschränkung bezieht sich auf Betriebssystemversionen, die Ihre Regeln erzwungen werden. Auf dem Client können nur von Windows 7 Ultimate und Windows 7 Enterprise AppLocker Regel erzwingen teilnehmen. Für Server wird eine beliebige Edition von Windows Server 2008 R2 mit Ausnahme von Windows Web Server und Windows Server Foundation AppLocker Regeln erzwungen. Während Microsoft diese Funktionalität in früheren Betriebssystemversionen Back-Port kann, fügt dieses Feature derzeit die Liste der überzeugende Gründe für eine Aktualisierung von Windows 7 hinzu. (Zur Erstellung dieses Dokuments wurde keine Informationen über mögliche Back-Anschluss für frühere Betriebssystemversionen veröffentlicht.)

Ein Teil der gute Kompatibilität News: AppLocker des Gruppenrichtlinien-Foundation erfordert keine Aktualisierung von Domänencontrollern (DCs) um die Verteilung von dessen Richtlinien zu unterstützen. Vorhandene Windows Server 2003 und Windows Server 2008-DCs können Host AppLocker Richtlinien.

Eine einfache Bereitstellung von AppLocker

Wenn des AppLocker Sicherheit Sounds hilfreich, Ihre kleine Umgebung hinzugefügt haben, beinhalten die nächsten Schritte Implementierung der Lösung. Implementierung wird nicht natürlich passieren, bis Sie einen anpassbaren Anteil Ihrer Desktops und Laptops zu Windows 7 aktualisiert haben. Betriebssystemen vor Windows 7 und Windows Server 2008 R2 wird nicht AppLocker Regeln anwenden, aber Sie werden über SRP angewendeten berücksichtigen. Während Regeln SRP und AppLocker nicht direkt konvertiert werden, kann die Informationen über AppLocker des überwachen Modus manuell für die Verwendung in SRP konvertiert werden.

Bereitstellen von AppLocker umfasst mehrere Schritte, beginnend mit bestimmen zum Implementieren der Technologie und erstellen einen Referenzcomputer für Ihre ersten Satz von Anwendungen zu isolieren. Denken Sie daran, dass im Gegensatz zu SRP, Anwendung ­ Locker zu der Annahme standardmäßig, dass Sie einer Whitelist Anwendungen erstellen möchten. Zwar möglich, erstellen eine Sperrliste Architektur dadurch einfach empfohlen wird nicht da diesen Ansatz die gleichen Ausführung Vorbeugung Leistungsfähigkeit von Whitelists angeboten bieten nicht.

In das Dokument mit dem Titel "planen und Bereitstellen von Windows AppLocker Richtlinien"Microsoft stellt eine neun-Schritt-Prozess zum Implementieren von Anwendungen ­ Locker in einer Umgebung. Während der Beta bei diesem Dokument wird, enthält die derzeit verfügbare Version wichtige Details zum ordnungsgemäß eine vollständige AppLocker-Infrastruktur erstellen. Der Einfachheit sind hier jedoch einige Schritte, die Sie beginnen müssen.

Erstellen Sie zunächst eine Liste der Anwendungen, die Ihr Unternehmen für die Ausführung zulässig betrachtet. Sie können diese Liste manuell erstellen, durch die Befragung Anwendungsbesitzer in Ihrer Organisation. Oder Sie können durch Erstellen und Befragen eines Referenzcomputers mit den Allgemein verfügbaren Anwendungen in Ihrem Unternehmen beginnen. Starten, indem BS-Instanz erstellen – oder mit das bevorzugte Bild imaging-Bereitstellung-Lösung – und sicherstellen, dass die richtigen Anwendungen installiert werden. Auf diesen Computer sollten Sie auch Remote Systems Administration Toolkit (RSAT) für Windows 7 Installieren der auf der Microsoft-Website. Die RSAT enthält die GPME-Komponenten zum Erstellen von AppLocker Regeln erforderlich.

Wenn für die Analyse bereit, erstellen Sie ein neues GRUPPENRICHTLINIENOBJEKT und innerhalb des GPME zu starten. Navigieren Sie zu Computerkonfiguration | Richtlinien | Windows-Einstellungen | Sicherheitseinstellungen | der Anwendungsrichtlinien | AppLocker und klicken Sie auf den Link im rechten Fensterbereich für die Regel erzwingen konfigurieren. Kontrollkästchen Sie im Fenster resultierenden die markiert konfiguriert unter Regeln zum Ausführen und die Regel auf nur Überwachung festgelegt. Diese Einstellung gewährleistet, dass Ihre vorhandenen Verhaltensweisen auf verwalteten Systemen AppLocker Regelverletzungen in das lokale Ereignisprotokoll reporting.

Sie werden bemerken, dass dieses Fenster eine Registerkarte Erweitert hat, in der Sie wählen können die DLL-Regelsammlung aktivieren Sie. AppLocker hat die Möglichkeit, Regeln basierend auf DLLs zusätzlich zu ausführbaren Dateien zu erstellen. Während Sie diese Einstellung für zusätzliche Sicherheit implementieren können, wird dadurch ein zusätzlicher Verwaltungsaufwand hinzugefügt, da Sie isolieren und Konfigurieren von Regeln für alle DLLs in Ihrer Umgebung zusätzlich zu ausführbaren Dateien müssen. Da eine ausführbare Datei mehrere DLLs nutzen kann, kann die Aufgabe eine Verwaltung Kopfschmerzen sein. Aktivieren DLL-Regel Auflistung auch Systemleistung beeinträchtigt, da die Verarbeitung von jeder einzelnen DLL Validierung vor Ausführung erforderlich wird.

Ihre nächste Schritt ist den Standardsatz von Regeln ausführen konfigurieren. Klicken Sie mit der rechten Maustaste die Unterknoten AppLocker mit dem gleichen Namen und wählen Sie zum Erstellen von Standard-Regeln. Drei Regeln sind standardmäßig erstellt. Zwei ermöglichen die Ausführung aller Dateien in den Ordnern Windows und Programme, während das dritte (dargestellt in Abbildung 4) Mitglieder der lokalen Gruppe Administratoren zum Ausführen aller Anwendungen ermöglicht. Dieser dritte Regel schließt lokale Administratoren effektiv von Regelverarbeitung.

1009fig4.gif

Abbildung 4 Standard-Regel ausschließen lokale Administratoren aus Ausführung verhindern. (Zum Vergrößern auf das Bild klicken)

Sobald dies abgeschlossen ist, klicken Sie erneut mit der rechten Maustaste auf den Knoten ausführen Regeln, und wählen zu Regeln automatisch generieren. Mit diesem Assistenten wird den lokalen Computer für potenzielle ausführbaren Dateien für die Regelerstellung, Abfragen, weshalb es auf dem Referenzcomputer ausgeführt werden muss. Standardmäßig wird der Assistent für ausführbare Dateien im Pfad C:\Programme überprüft, obwohl alternativen Pfade überprüft werden, indem Sie in den Optionen des Assistenten.

Auf Weiter im Assistenten gelangen Sie zu der Regel Einstellungen Bildschirm. Hier haben Sie die Option Publisher-Regeln für Dateien erstellen, die digital signiert sind oder Hash-Regeln für alle Dateien zu erstellen. Pfad Regeln können in diesem Bildschirm, jedoch nur, wenn Dateien bereits digital Ihre Herausgeber signiert wurde noch nicht automatisch erstellt werden. Klicken Sie auf Weiter erneut führt das System durchsucht und Sie gelangen zu einem Bildschirm, in dem Sie die Liste der Regeln überprüfen. Regeln, die Sie erstellen möchten können entfernt werden, indem Sie auf die Verknüpfung zu die Dateien zu überprüfen, die analysiert wurden und anschließend das Kontrollkästchen neben den entsprechenden Dateien deaktivieren. Sobald dies abgeschlossen ist, klicken Sie auf erstellen.

Diese Aufgabe auf einem neu erstellten Windows 7-System fügt vier neue Regeln. Obwohl ein paar weitere ausführbaren Dateien an diesem Speicherort gefunden werden, führt der Assistent durch standardmäßige Gruppe zusammen Regeln um Ihre Anwendung zu vereinfachen. Wenn Sie wie andere ausführbaren Dateitypen überwachen, ist es an dieser Stelle zum Konfigurieren von Regeln für Skripts und Windows Installer-basierten ausführbaren Dateien in dieser gleichen GPME Speicherort möglich.

Zu diesem Zeitpunkt beginnt das GRUPPENRICHTLINIENOBJEKT gezielte Clients basierend auf OU-Mitgliedschaft konfigurieren. Da die Richtlinie erzwingen der Regel auf Überwachung festgelegt ist, wird keine Einschränkung Ausführung tatsächlich auftreten. Während dieses Zeitraums ist es ratsam, Suchen über die Ereignisprotokolle auf verschiedenen verwaltete Systeme, um festzustellen, ob die Regeln für Ihre Umgebung arbeiten oder, ob Ihre Anwendung eine erforderliche ausführbare Datei Ausführung verhindern würde. Verwenden Sie die Informationen, um Ihre vorhandenen Satz von Regeln zu optimieren, so dass Sie für Ihre Umgebung ordnungsgemäß.

Wenn Sie bereit, Verschieben von Melden von ausführbaren Dateien tatsächlich zu verhindern sind, klicken Sie einfach wechseln Sie zurück zum Knoten AppLocker in der GPME, und ändern Sie die Erzwingung-Eigenschaften von Überwachung nur auf Regeln erzwingen.

Natürlich benötigen Sie weitere Projekt planen und Testen von prior to Bereitstellung. Doch diese einfachen Schritte werden Ihnen den Einstieg. AppLocker ist möglicherweise nicht die vollständige Sicherheit Allheilmittel seine Fähigkeiten, damit alle jedoch bedeutet, dass Ihre absolut genehmigten ausführbare Dateien ausgeführt wird, kommt es wirklich, wirklich schließen.

Greg Shields, MVP, ist ein Partner am Concentrated Technology. Erhalten Sie weitere ShieldsFreak von alle Geschäfte Tipps und Tricks ConcentratedTech.com.