computerwoche.de

Software-Infrastruktur

UAC, BitLocker, AppLocker

Windows 7 erhält mehr Sicherheit

18.03.2009
Von Michael Pietroforte

AppLocker sperrt unerwünschte Programme

AppLocker ist ein neues Feature von Windows 7 Enterprise, mit dem Administratoren festlegen können, welche Anwendungen im Unternehmensnetz ausgeführt werden dürfen. Die "Richtlinien für Softwareeinschränkung" ("Software Restriction Policies") von Windows XP und Vista erfüllen im Prinzip die gleiche Funktion, sind bei Administratoren wegen ihrer aufwändigen Pflege nicht besonders beliebt. Windows 7 unterstützt sie nach wie vor. Dagegen wird es AppLocker für ältere Windows-Versionen nicht geben.

AppLocker kennt drei verschiedene Regeltypen:

  • Path Rules

  • File Hash Rules

  • Publisher Rules

AppLocker erweitert die von XP bekannten Richtlinien für Softwareeinschränkung um Regeln, die sich an der Herkunft eines Programms orientieren.
AppLocker erweitert die von XP bekannten Richtlinien für Softwareeinschränkung um Regeln, die sich an der Herkunft eines Programms orientieren.

Path Rules und File Hash werden bereits von den Richtlinien für Softwareeinschränkung unterstützt. Erstere können die Ausführung von Programmen auf bestimmte Verzeichnisse beschränken. Wenn Benutzer jedoch Anwendungen von einem anderen Verzeichnis als dem "Programme"-Ordner starten müssen, beispielsweise eine Verschlüsselungs-Software von einem USB-Stick, dann kommt der Einsatz von Path Rules nicht in Frage. Bei den File Hash Rules muss der Administrator für alle erlaubten Programme eine Hash-Funktion berechnen. Das ist meist sehr aufwändig, zumal sich die Hash-Werte bei jedem Software-Update ändern.

Die neuen Publisher Rules von AppLocker schaffen Abhilfe für beide Probleme. Programme werden anhand der vom Softwarehersteller vergebenen digitalen Signaturen identifiziert. Die meisten neueren Anwendungen sind inzwischen damit ausgestattet. Der Systemverwalter kann damit den Zugriff auf Anwendungen eines bestimmten Herstellers (beispielsweise Microsoft), den Produktnamen (Word), den Dateinamen (word.exe) und die Versionsnummer (6.0 oder höher) freigeben. Ebenso kann mittels Richtlinien der Start bestimmter Anwendungen verhindert werden.

Alle AppLocker-Regeltypen lassen sich auf Anwendungen (exe), Skriptdateien (ps1, .bat, .cmd, .vbs, .js), Installationsdateien (.msi, msp) und Systembibliotheken (.dll, ocx) anwenden. Darüber hinaus kann der Systemverwalter die Richtlinien auf bestimmte Benutzergruppen beschränken, und es können für jede Regel Ausnahmen definiert werden. Durch Kombination von Zulassungs- und Beschränkungsrichtlinien beziehungsweise Path- und Publisher Rules lässt sich recht präzise definieren, welche Anwendungen im Unternehmensnetz erlaubt sind.

Stärken und Schwächen

Plus

  • Publisher Rules sind einfacher zu handhaben als die Richtlinien für Softwarebeschränkungen;

  • Konfiguration von Ausnahmen und Beschränkung auf Benutzergruppen ist möglich;

  • Assistenten und vordefinierte Regelsätze erleichtern die Erstellung von Richtlinien.

Minus

  • Nur für Windows 7 Enterprise und Ultimate verfügbar

  • Keine Unterstützung für ältere Windows-Versionen