Ab Windows 7 Enterprise kann man AppLocker konfigurieren, um das Ausführen unerwünschter Software im Unternehmen zu verhindern. Unerwünscht hat in diesem Zusammenhang unterschiedliche Bedeutungen:

• Schutz gegen unerwünschte Software: AppLocker verhindert das Ausführen unerwünschter Software.
• Einhaltung von Lizenzbestimmungen: Das Ausführen einer Software für die Mitglieder einer Sicherheitsgruppe in Active Directory erlauben, allen anderen verbieten.
• Softwarestandardisierung: Eine bestimmte Software ab einer bestimmten Version erlauben, andere Versionen verbieten.

In sicheren Umgebungen wird auf einem Referenzrechner die gesamte benötigte Software installiert und eine Art Snapshot erzeugt. Diese Software wird erlaubt und alles andere verboten. Mittels whitelisting werden dann weitere Produkte hinzugefügt. Diese Vorgehensweise finde ich sehr aufwendig.

Anders wird (fast) alles erlaubt, mittels blacklisting bestimmte Software verboten. Genau dieses Szenario werde ich im Folgenden beschreiben. Als Grundlage für die Konfiguration verwende ich Microsoft TechNet: AppLocker.

Meine Vorgabe: Das Ausführen von P2P- (Peer to Peer) Software ist im Unternehmen ein (Sicherheits-) Problem. Ich möchte AppLocker konfigurieren und verhindern, dass diese Programme verwendet werden.

AppLocker konfigurieren und verwalten – Schritte:

• Eine Liste der unerwünschten P2P-Software erstellen
• AppLocker Policy auf CLIENT001 erstellen und exportieren
• Die Funktion der AppLocker-Regeln auf CLIENT001 überprüfen
• Die AppLocker-Policy auf SERVER02 importieren und verteilen
• Ausführbare Regeln erzwingen

Eine Liste der unerwünschten P2P-Software erstellen

1. Für diesen Artikel habe ich mir drei bekannte P2P-Programme herausgesucht und heruntergeladen
   1. BitTorrent von der Firma BitTorrent
   2. μTorrent von der Firma BitTorrent
   3. Vuze von Azureus Software
2. BitTorrent habe ich auf CLIENT002 bereits installiert

AppLocker Policy auf CLIENT001 erstellen und exportieren

1. Als Administrator an CLIENT001 anmelden
2. Start > Suche: secpol.msc > Als Administrator ausführen
3. Anwendungsrichtlinien\AppLocker erweitern
4. AppLocker rechts anklicken > Eigenschaften
   
5. Eigenschaften von AppLocker
   1. Ausführbare Regeln
      1. Konfiguriert aktivieren
      2. Nur überwachen > OK
         
         
6. Ausführbare Regeln rechts anklicken > Standardregeln erstellen
   
7. App-Paketregeln rechts anklicken > Standardregeln erstellen
8. Ausführbare Regeln rechts anklicken > Neue Regel erstellen…
   
9. Ausführbare Regeln erstellen
   1. Vorbereitung
      1. Seite standardmäßig überspringen aktivieren > Weiter
   2. Berechtigungen
      1. Aktion: Verweigern > Weiter
         
   3. Bedingungen
      1. Herausgeber > Weiter
         
   4. Herausgeber
      1. Referenzdatei: C:\Sourcen\BitTorrent.exe
      2. Den Schieberegler bis zum Herausgeber schieben > Weiter
         
   5. Ausnahmen > Weiter
      
   6. Name > Erstellen
      
10. Die Schritte für Vuze BitTorrent Client wiederholen, μTorrent ist vom gleichen Hersteller wie BitTorrent
    
11. AppLocker rechts anklicken > Richtlinie exportieren…
    
12. Die Richtlinie nach \\SERVER02\Sourcen\AppLocker\AppLocker-001.xml exportieren
    
13. Alle Fenster schließen

Die Funktion der AppLocker-Regeln auf CLIENT001 überprüfen

Die Torrent-Clients können immer noch gestartet werden, weil sich die AppLocker-Regeln im Überwachungsmodus befinden. Um das Verhalten zu überprüfen, gibt es ein eigenes Ereignisprotokoll. Alternativ kann folgender PowerShell-Befehl verwendet werden:

Get-AppLockerFileInformation -EventLog -EventType Audit -Statistic

1. BitTorrent, μTorrent und Vuze starten und wieder beenden
2. Auf CLIENT001 die Ereignisanzeige öffnen
3. Anwendungs- und Dienstprotokolle\Microsoft\Windows\AppLocker erweitern
4. EXE und DLL anklicken
   1. Einstellungen wurden angewendet
   2. BitTorrent wurde überwacht
      
   3. μTorrent wurde überwacht
      
   4. Vuze wurde ebenfalls erfolgreich überwacht
      
5. Alle Fenster schließen

Die AppLocker-Policy auf SERVER02 importieren und verteilen

Damit AppLocker funktioniert, muss auf den Clients der Dienst Anwendungsidentität (Application Identity) gestartet sein. Am einfachsten ist, das in der Gruppenrichtlinie zu konfigurieren.

1. Als Administrator an SERVER02 anmelden
2. Server Manager > Tools > Group Policy Management
3. Ein neues Gruppenrichtlinienobjekt erstellen
   1. Name: AppLocker Settings
4. GPO zum Bearbeiten öffnen
5. Computer Configuration\Policies\Windows Settings\Security Settings\System Services markieren
6. Im Detailbereich den Dienst Application Identity doppelklicken
7. Application Identity Properties
   1. Define this policy setting > aktivieren
   2. Select service startup mode: Automatic > OK
      
8. Application Control Policies erweitern
9. AppLocker rechts anklicken > Import Policy…
   
10. Die Policy D:\Sourcen\AppLocker\AppLocker-001.xml importieren
11. Computer Configuration\Policies\Administrative Templates\Windows Components\File Explorer markieren
12. Im Detailbereich Set a support web page link zum Bearbeiten öffnen
13. Support web page URL eintragen
    
14. Group Policy Management Editor schließen
15. Die Benutzerkonfigurationseinstellungen deaktivieren (User configuration settings disabled), weil in dieser GPO nur Computereinstellungen definiert werden
    
16. GPO AppLocker Settings auf die OU Einfaches-Netzwerk\Arbeitsstationen verknüpfen
    

In der Praxis sollte die Policy auf eine kleine Gruppe ausgewählter Benutzer angewandt werden. Aufgrund des Feedbacks müssen die Einstellungen angepasst werden, ehe diese auf eine zweite, größere Testgruppe erweitert wird. Erst dann schrittweise auf das gesamte Unternehmen ausrollen.

Ausführbare Regeln erzwingen

1. Als Administrator an SERVER02 anmelden
2. Server Manager > Tools > Group Policy Management
3. GPO AppLocker Settings zum Bearbeiten öffnen
4. Computer Configuration\Policies\Windows Settings\Security Settings\Application Control Policies erweitern
5. AppLocker rechts anklicken > Properties
6. AppLocker Properties
   1. Executable rules
      1. Configured > aktiviert
      2. Enforce rules > OK
         
7. Alle Fenster schließen
8. Als Markus an CLIENT002 anmelden
9. Mit folgendem Befehl die Richtlinien übernehmen

   gpupdate /force

10. BitTorrent starten > die Ausführung wird blockiert, hinter Weitere Informationen verbirgt sich die Support URL
    
11. Mit folgendem PowerShell-Befehl die blockierte Anwendung abfragen

    Get-AppLockerFileInformation -EventLog -EventType Denied -Statistics

12. PowerShell-Command
    

Passt soweit! 🙂

AppLocker konfigurieren und verwalten – Fazit:

Applocker konfigurieren, verwalten und im Unternehmen einzuführen ist keine Sache, die man schnell mal erledigen kann. Weil es keine Definitionsdateien wie z.B. bei der Sophos Application Control gibt, kann AppLocker konfigurieren sehr viel Aufwand sein. Dafür fallen – außer den Windows Enterprise-Lizenzen – keine weiteren Kosten an, AppLocker ist Out-of-the-Box verfügbar.