Link: Suche und Kontakt

[Beginn des Inhalts]

"Versiegeln" von Windows-Systemen mittels Applocker

Applocker ist die Version 2 der Windows Software Restrictions, welche seit Windows XP in jedem Windows enthalten sind. Applocker ist ab Windows 7 Enterprise/Ultimate und Windows Server 2008 R2 Standard/Enterprise/Datacenter/Itanium in Windows integriert.

Applocker eignet sich besonders, um das System mittels Zertifikats- und Hashregeln zu "versiegeln", d.h. anschließend sind nur noch die Programme startbar, die dem System bekannt gemacht wurden. Dazu wird für alle ausführbaren Dateien eine Regel gebildet und in einer Liste (Software Whitelist) abgelegt.

Das "Versiegeln" von Windows-Systemen ist vor allem für die Arbeit als Administrator ein wirksamer Schutz vor unerwünschter Software, wie z.B. Viren oder Malware.

Weiterhin ist die "Versiegelung" von Systemen ein wirksamer Schutz gegen bisher unbekannte Angriffe (0-Day-Exploits), welche naturgemäß weder von Virenscannern oder Anti-Malware verhindert werden können.
 
Weitere Informationen zu Applocker finden Sie unter:

Einrichtung der "Versiegelung"

1. Melden Sie sich als Administrator an.

2. Starten die das Gruppenrichtlinien Snap-In mithilfe des Aufrufs gpedit.msc .

3. Welchseln Sie zum Applocker-Snap-In.

4. Klicken Sie auf "Executable rules", klicken Sie auf die rechte Maustaste und wählen Sie den Befehl "Automatically Generate Rules...".

5. Geben Sie jetzt den Pfad an, für dessen Programme die Applocker-Regeln erstellt werden sollen.

6. Sie können jetzt entscheiden, ob Sie z.B. ausschließlich Hashregeln erstellen möchten. Die Standardeinstellung führt zur Erstellung von Zertifikatsregeln für signierte Programme und zur Erstellung von Hashregeln für nichtsignierte Programme. Es spricht nichts gegen die Standardeinstellung.
Klicken Sie auf den Knopf "Next". 

7. Hash- und Zertifikatsregeln werden für das Verzeichnis "C:\Program files" erstellt.

8. Eine Zusammenfassung der erstellten Regeln wird angezeigt.
 

9. Klicken Sie auf den Befehl "Create". Die Regeln werden gespeichert.

10. Anschließend werden wird nach der Erzeugung von Standardpfadregeln gefragt. Diese Abfrage beantworten Sie mit "No"! Dies ist erfoderlich, da sonst die "Versiegelung" aufgebrochen wird.

11. Die Liste der gespeicherten Regeln wird angezeigt.

12. Wiederholen Sie die Schritte 4 bis 9 für Script Rules.

13. Wechseln Sie jetzt zurück zum Folder "Applocker".

14. Klicken Sie Links auf den Befehl "Configure Link Enforcement".

15. Schalten Sie alle Regeln auf "Configured" und "Enforce rules".

16. Klicken Sie auf den Knopf "OK".

17. Achtung! Starten Sie den Dienst "Application Identity" (Anwendungsidentität) und konfigurieren Sie den Dienst auf Starttyp "Automatisch". Ohne diesen Dienst werden die Hashregeln nicht durchgesetzt.

18. Starten Sie die "cmd.exe" und führen Sie den Befehl "gpupdate.exe /force" aus.

19. Testen Sie die "Versiegelung" Ihres Systems, indem Sie ein "unversiegeltes" Programm starten, d.h ein Programm für das es weder eine Zertifikats- noch eine Hashregel gibt.


Der Start des Programms sollte mit folgender Meldung unterbunden werden:

Applocker-Scripting

Applocker lässt sich auch per Skripts automatisiert konfigurieren, so dass Sie auch mehrere Systeme parallel "versiegeln" können.

Informationen zur Konfiguration von Applocker mittels Powershell-Skripts finden Sie hier:

 

Bei Fragen oder Hinweisen zu diesem Dokument melden Sie sich bitte per E-Mail bei joerg.maletzky(at)uni-rostock.de.

[Ende des Inhalts]

Zusatzinformationen

Nach oben