Teil 25a: Mit AppLocker Browser von Drittanbietern blockieren

Im Unternehmen möchte ich erreichen, dass der Internet Explorer aufgrund seiner Verwaltbarkeit mittels Gruppenrichtlinien und der raschen Reaktionszeit von Microsoft für Sicherheitsupdates als einziger Browser eingesetzt wird. Die einzige Ausnahme soll Mozilla Firefox ab Version 33.0.0.0 sein. Sonst möchte ich mit AppLocker Browser von Drittanbietern blockieren.

Meine Konfiguration und Ausgangspunkt für diesen Teil ist Teil 25.

Auf CLIENT001 sind folgende Browser installiert:

  • Google Chrome
  • Apple Safari
  • Mozilla Firefox 33.0.1
  • Opera

Auf CLIENT002 sind folgende Browser installiert:

  • Mozilla Firefox 30.0
  • Opera

Mit AppLocker Browser von Drittanbietern blockieren – Schritte:

  • AppLocker-Regeln auf CLIENT001 erstellen und exportieren
  • Richtlinie auf SERVER02 importieren und auf CLIENT002 testen

AppLocker-Regeln auf CLIENT001 erstellen und exportieren

  1. Als Administrator an CLIENT001 anmelden
  2. Start > Suche: Secpol.msc > als Administrator starten
  3. Anwendungssteuerungsrichtlinien\AppLocker erweitern
  4. Ausführbare Regeln rechts anklicken > Neue Regel erstellen…
    APPLOCKER_BROWSER-001
  5. Ausführbare Regeln erstellen
    1. Berechtigungen
      1. Aktion: Verweigern > Weiter
        APPLOCKER_BROWSER-002
        Weiterlesen

Teil 25: AppLocker konfigurieren und verwalten

Ab Windows 7 Enterprise kann man AppLocker konfigurieren, um das Ausführen unerwünschter Software im Unternehmen zu verhindern. Unerwünscht hat in diesem Zusammenhang unterschiedliche Bedeutungen:

  • Schutz gegen unerwünschte Software: AppLocker verhindert das Ausführen unerwünschter Software.
  • Einhaltung von Lizenzbestimmungen: Das Ausführen einer Software für die Mitglieder einer Sicherheitsgruppe in Active Directory erlauben, allen anderen verbieten.
  • Softwarestandardisierung: Eine bestimmte Software ab einer bestimmten Version erlauben, andere Versionen verbieten.

In sicheren Umgebungen wird auf einem Referenzrechner die gesamte benötigte Software installiert und eine Art Snapshot erzeugt. Diese Software wird erlaubt und alles andere verboten. Mittels whitelisting werden dann weitere Produkte hinzugefügt. Diese Vorgehensweise finde ich sehr aufwendig.

Anders wird (fast) alles erlaubt, mittels blacklisting bestimmte Software verboten. Genau dieses Szenario werde ich im Folgenden beschreiben. Als Grundlage für die Konfiguration verwende ich Microsoft TechNet: AppLocker.

Meine Vorgabe: Das Ausführen von P2P- (Peer to Peer) Software ist im Unternehmen ein (Sicherheits-) Problem. Ich möchte AppLocker konfigurieren und verhindern, dass diese Programme verwendet werden.

AppLocker konfigurieren und verwalten – Schritte:

  • Eine Liste der unerwünschten P2P-Software erstellen
  • AppLocker Policy auf CLIENT001 erstellen und exportieren
  • Die Funktion der AppLocker-Regeln auf CLIENT001 überprüfen
  • Die AppLocker-Policy auf SERVER02 importieren und verteilen
  • Ausführbare Regeln erzwingen

Eine Liste der unerwünschten P2P-Software erstellen

  1. Für diesen Artikel habe ich mir drei bekannte P2P-Programme herausgesucht und heruntergeladen
    1. BitTorrent von der Firma BitTorrent
    2. μTorrent von der Firma BitTorrent
    3. Vuze von Azureus Software
  2. BitTorrent habe ich auf CLIENT002 bereits installiert

AppLocker Policy auf CLIENT001 erstellen und exportieren

  1. Als Administrator an CLIENT001 anmelden
  2. Start > Suche: secpol.msc > Als Administrator ausführen
  3. Anwendungsrichtlinien\AppLocker erweitern
  4. AppLocker rechts anklicken > Eigenschaften
    APPLOCKER-001
  5. Eigenschaften von AppLocker
    1. Ausführbare Regeln
      1. Konfiguriert aktivieren
      2. Nur überwachen > OK
        APPLOCKER-002
        Weiterlesen

Upgrade von Windows XP auf Windows 8.1 mit MDT 2013

Der 8. April 2014 und damit das Support-Ende von Windows XP und Microsoft Office 2003 ist jetzt ein halbes Jahr her. Mit MDT 2013 und der Benutzerdatensicherung mit USMT kann die Migration auf Windows 8.1 durchgeführt werden.

Das Problem dabei ist, dass für die Sicherung von Windows XP maximal USMT 5.0 verwendet werden kann, für die Wiederherstellung auf Windows 8.1 aber USMT 6.3 benötigt wird. Zum Glück kann USMT 6.3 die Dateien von USMT 5.0 lesen. Genau dieses Problem hat Michael Niehaus (Microsoft) in seinem Blog beschrieben und eine Lösung zur Verfügung gestellt.  Ich habe das ausprobiert und dabei mitgeschrieben. 🙂

Meine Konfiguration:

  • CLIENT001: Windows 8.1-Rechner, auf dem ich Windows ADK für Windows 8 installieren werde
  • CLIENT002: Windows XP-Rechner mit Microsoft Office 2003, den ich migrieren möchte
  • SERVER02: Deployment Server mit Windows ADK für Windows 8.1 und MDT 2013 (siehe „Ein einfaches Netzwerk“, Teil 14ff)
  • <architecture> bezeichnet jeweils x86 und amd64

Upgrade von Windows XP auf Windows 8.1 mit MDT 2013 – Schritte:

  1.  Als Administrator an CLIENT001 anmelden
  2. Das Laufwerk Z: mit \\SERVER02\OSD_Prod$ verbinden
  3. Das Windows Assessment and Deployment Kit (ADK) for Windows 8 von http://www.microsoft.com/en-us/download/details.aspx?id=30652 nach C:\Sourcen herunterladen
  4. Die Datei ZTIUserState.zip von http://blogs.technet.com/cfs-filesystemfile.ashx/__key/telligent-evolution-components-attachments/01-5209-00-00-03-62-01-74/ZTIUserState.zip nach D:\Sourcen herunterladen und entpacken
  5. Die Datei C:\Sourcen\adksetup.exe doppelklicken
  6. Assessment and Deployment Kit
    1. Ort angeben > Weiter
      MIGRATE_XP_81-001
    2. Am Programm zur Verbesserung der Benutzerfreundlichkeit teilnehmen > Weiter
    3. Lizenzvertrag > Annehmen
    4. Features
      1. Bereitstellungstools
      2. Windows-EasyTransfer (USMT) > Installation
        MIGRATE_XP_81-003
    5. Willkommen beim Assessment and Deployment Kit > Schließen
  7. Die Dateien im Ordner C:\Program Files (x86)\Windows Kits\8.0\Assessment and Deployment Kit\User State Migration Tool\amd64 nach Z:\Tools\x64\USMTX kopieren
    MIGRATE_XP_81-005
  8. Die Dateien im Ordner C:\Program Files (x86)\Windows Kits\8.0\Assessment and Deployment Kit\User State Migration Tool\x86 nach Z:\Tools\x86\USMTX kopieren
    MIGRATE_XP_81-006
  9. Die Dateien Z:\Tools\<architecture>\USMT5\CUSTOM_MigDaten.xml (siehe „Ein einfaches Netzwerk – Teil 18, Benutzerdaten-Sicherung mit USMT in MDT konfigurieren„) nach Z:\Tools\<architecture>\USMTX kopieren
    MIGRATE_XP_81-007
    Weiterlesen