von Redaktion IT-A…
Lesezeit
2 Minuten
Anwendungen mit AppLocker kontrollieren (1)
In Windows 7 können Anwender auch ohne Administratorrechte Programme installieren. Auch das direkte Starten von Anwendungen über ausführbare Dateien und USB-Sticks ist problemlos möglich – ein Einfallstor für unsichere Software oder verseuchte Anwendungen. AppLocker soll Administratoren daher eine Trennung sicherer von unsicheren Anwendungen ermöglichen. Ein weiterer Nutzen liegt im Sperren nicht lizenzierter Anwendungen. Die Funktion ist lokal verfügbar und lässt sich auch über Gruppenrichtlinien steuern. Wie das geht, lesen Sie in diesem Workshop.
Windows 7 beherrscht AppLocker in den Editionen Enterprise und Ultimate. Andere Editionen, auch die Professional Edition, können keine Anwendungen über AppLocker sperren. Außerdem ist AppLocker in den Editionen Standard, Enterprise und Datacenter von Windows Server 2008 R2 enthalten. Hier lassen sich nicht nur Regeln für AppLocker umsetzen, sondern auf Basis von Gruppenrichtlinien auch Regeln erstellen. Am besten geben Sie AppLocker-Richtlinien als Gruppenrichtlinie in Windows Server 2008 R2 vor und verteilen die Einstellungen auf diesem Weg. Rechner, die nicht kompatibel zu AppLocker sind, werden nicht eingeschränkt, sondern setzen die entsprechenden Regeln einfach nicht um.
Natürlich lassen sich auch lokal Einstellungen vornehmen. Diese sind allerdings nur für einzelne, wenige oder Rechner ohne Active Directory sinnvoll. Die Funktionen sind übrigens auch in Windows 8 verfügbar. Das heißt, die Regeln lassen sich bei einer Migration von Windows 7 / Windows Server 2008 R2 zu Windows 8 weiterhin verwenden. Welche Editionen von Windows 8 allerdings AppLocker beherrschen, ist noch nicht sicher. Es dürfte jedoch wahrscheinlich sein, dass Microsoft hier nichts grundlegend ändern wird.
Gründliche Planung notwendig
Bevor Sie sich an das Sperren von Anwendungen machen, ist es sehr empfehlenswert, AppLocker ausführlich zu testen. Durch zu straffe Regeln sperren Sie ansonsten schnell Anwendungen aus, die Ihre Anwender benötigen. AppLocker zeigt sich sehr flexibel: Sie können auf Basis der Anwendung Richtlinien erstellen, die bestimmte Programme zulassen und alle anderen verweigern; oder Sie gehen den umgekehrten Weg und sperren nur unerlaubte Programme oder Software-Hersteller. Die beiden Regeln lassen sich auch miteinander mischen. Auf Basis von Gruppenrichtlinien können Sie außerdem mehrere Regelsätze erstellen und verschiedenen Benutzern oder Computern zuordnen.
Wer AppLocker noch tiefgehender im Unternehmen einsetzen will, kann sogar einzelne DLL-Dateien sperren lassen. Auch das Filtern auf Basis von Sicherheitsgruppen ist möglich. Administratoren können zum Beispiel einer bestimmten Sicherheitsgruppe die Installation von verschiedenen Anwendungen erlauben, für andere Sicherheitsgruppen aber nicht. So lassen sich Softwareinstallationen einfach durch Mitgliedschaften in Gruppen delegieren, erlauben oder verweigern.
Neben Gruppenrichtlinien können Sie viele Einstellungen von AppLocker über PowerShell-Skripte vorgeben und über Cmdlets steuern. Dazu müssen Sie in der PowerShell mit import-module applocker die entsprechenden Cmdlets laden. Eine Liste der verschiedenen Cmdlets erhalten Sie mit get-command *applocker*. Für die Befehle lassen Sie sich Hilfen und Beispiele anzeigen, wenn Sie get-help {Cmdlet} eingeben. Ausführlichere Anleitungen dazu finden Sie im Blog der Entwickler [1].
Microsoft bietet verschiedene Dokumente zur Planung und Umsetzung zum Download [2] an. Auch im Microsoft TechNet finden sich Anleitungen zum Thema [3]. Ein Video [4], das ebenfalls bei der Einrichtung hilft, finden Sie auf der Internetseite WindowsSecurity.com. Bevor Sie AppLocker produktiv im Unternehmen einsetzen, sollten Sie diese Dokumente durcharbeiten. Erstellen Sie App- Locker-Regeln, setzen die Computer und Benutzerkonten diese um, unabhängig davon, woher die Anwendung kommt, die ein Anwender starten will. Es spielt keine Rolle, ob die entsprechenden Anwender die Programme von einem USB-Stick aus starten, herunterladen, per CD ins Unternehmen bringen oder von einer anderen Quelle installieren oder starten wollen. AppLocker setzt auf dem entsprechenden Computer direkt die Regeln um.
Seite 1: Gründliche Planung erforderlich
Seite 2: Gruppenrichtlinien für AppLocker erstellen
Thomas Joos/dr/ln
[1] http://blogs.msdn.com/b/powershell/archive/[...]
[2] www.microsoft.com/download/en/details.aspx?displaylang=en&id=13431
[3] http://technet.microsoft.com/de-de/library/dd723686(WS.10).aspx
[4] www.windowsecurity.com/articles/Video-AppLocker-Tips-Tricks.html
Natürlich lassen sich auch lokal Einstellungen vornehmen. Diese sind allerdings nur für einzelne, wenige oder Rechner ohne Active Directory sinnvoll. Die Funktionen sind übrigens auch in Windows 8 verfügbar. Das heißt, die Regeln lassen sich bei einer Migration von Windows 7 / Windows Server 2008 R2 zu Windows 8 weiterhin verwenden. Welche Editionen von Windows 8 allerdings AppLocker beherrschen, ist noch nicht sicher. Es dürfte jedoch wahrscheinlich sein, dass Microsoft hier nichts grundlegend ändern wird.
Gründliche Planung notwendig
Bevor Sie sich an das Sperren von Anwendungen machen, ist es sehr empfehlenswert, AppLocker ausführlich zu testen. Durch zu straffe Regeln sperren Sie ansonsten schnell Anwendungen aus, die Ihre Anwender benötigen. AppLocker zeigt sich sehr flexibel: Sie können auf Basis der Anwendung Richtlinien erstellen, die bestimmte Programme zulassen und alle anderen verweigern; oder Sie gehen den umgekehrten Weg und sperren nur unerlaubte Programme oder Software-Hersteller. Die beiden Regeln lassen sich auch miteinander mischen. Auf Basis von Gruppenrichtlinien können Sie außerdem mehrere Regelsätze erstellen und verschiedenen Benutzern oder Computern zuordnen.
Wer AppLocker noch tiefgehender im Unternehmen einsetzen will, kann sogar einzelne DLL-Dateien sperren lassen. Auch das Filtern auf Basis von Sicherheitsgruppen ist möglich. Administratoren können zum Beispiel einer bestimmten Sicherheitsgruppe die Installation von verschiedenen Anwendungen erlauben, für andere Sicherheitsgruppen aber nicht. So lassen sich Softwareinstallationen einfach durch Mitgliedschaften in Gruppen delegieren, erlauben oder verweigern.
Neben Gruppenrichtlinien können Sie viele Einstellungen von AppLocker über PowerShell-Skripte vorgeben und über Cmdlets steuern. Dazu müssen Sie in der PowerShell mit import-module applocker die entsprechenden Cmdlets laden. Eine Liste der verschiedenen Cmdlets erhalten Sie mit get-command *applocker*. Für die Befehle lassen Sie sich Hilfen und Beispiele anzeigen, wenn Sie get-help {Cmdlet} eingeben. Ausführlichere Anleitungen dazu finden Sie im Blog der Entwickler [1].
Microsoft bietet verschiedene Dokumente zur Planung und Umsetzung zum Download [2] an. Auch im Microsoft TechNet finden sich Anleitungen zum Thema [3]. Ein Video [4], das ebenfalls bei der Einrichtung hilft, finden Sie auf der Internetseite WindowsSecurity.com. Bevor Sie AppLocker produktiv im Unternehmen einsetzen, sollten Sie diese Dokumente durcharbeiten. Erstellen Sie App- Locker-Regeln, setzen die Computer und Benutzerkonten diese um, unabhängig davon, woher die Anwendung kommt, die ein Anwender starten will. Es spielt keine Rolle, ob die entsprechenden Anwender die Programme von einem USB-Stick aus starten, herunterladen, per CD ins Unternehmen bringen oder von einer anderen Quelle installieren oder starten wollen. AppLocker setzt auf dem entsprechenden Computer direkt die Regeln um.
Seite 1: Gründliche Planung erforderlich
Seite 2: Gruppenrichtlinien für AppLocker erstellen
| Seite 1 von 2 | Nächste Seite >> |
Thomas Joos/dr/ln
[1] http://blogs.msdn.com/b/powershell/archive/[...]
[2] www.microsoft.com/download/en/details.aspx?displaylang=en&id=13431
[3] http://technet.microsoft.com/de-de/library/dd723686(WS.10).aspx
[4] www.windowsecurity.com/articles/Video-AppLocker-Tips-Tricks.html
