SID-500

Home » Security » Mit AppLocker Programme sperren

Mit AppLocker Programme sperren

In diesem Beitrag soll Step-by-Step demonstriert werden, wie mithilfe von AppLocker das Ausführen von Programmen verhindert werden kann. Dabei konzentriere ich mich auf den Einsatz von AppLocker in Unternehmensnetzwerken.

Grundlegendes zu AppLocker

AppLocker ist ein Feature, welches ab Windows 7 und Windows Server 2008R2 verfügbar ist. Für ältere Betriebssysteme stehen Software Restriction Policies zur Verfügung.

AppLocker kann das Ausführen von Programmen auf drei verschiedene Arten sperren:

Für Nicht IT-Pros: Zum Thema Digitale Signatur und Datei-Hashes gibts einen Artikel von mir: Cyber Security / Pen Testing (Teil 2): Grundlagen der Kryptographie.

Weiters muss, um Programme zu sperren, ein Dienst gestartet sein. Dieser Dienst nennt sich Anwendungsidentität und ist per Standard nicht gestartet.

AppLocker Dienst mithilfe von Gruppenrichtlinien aktivieren

Meine Umgebung besteht aus einem Windows Server 2016 Domain-Controller und einem Windows 10 Client. In der folgenden Anleitung werde ich AppLocker mit einer Pfad-Regel aktiveren und die Konfiguration testen.

Aktivieren des Dienstes Anwendungsidentität

Dazu muss die Gruppenrichtlinien-Verwaltungskonsole (gpmc.msc) geöffnet werden. Dann wird ein neues Gruppenrichtlinien-Objekt erstellt. Dort navigiert man zu Computerkonfiguration – Richtlinien – Windows-Einstellungen – Sicherheitseinstellungen – Systemdienste und stellt den Starttyp des Dienstes Anwendungsidentität  auf Automatisch.

Unbenannt.PNG

Jetzt verknüpft man die Gruppenrichtlinie mit der OU in welcher sich der Client-Computer befindet. (in meinem Fall ist das die OU Workstations).

Unbenannt.PNG

Testen der Richtlinie (optional, aber empfohlen)

Jetzt am Windows 10 Client die Konfiguration überprüfen. Dazu den Client neu starten oder mithilfe von gpupdate die neu erstellte Gruppenrichtlinie holen.

gpupdate /force

Der Dienst Anwendungsidentität muss gestartet sein und der Starttyp muss auf Automatisch festgelegt sein.

Unbenannt.PNG

Falls hier Probleme auftreten, dann hilft gpresult am Client.

gpresult /r

Bei den Computer-Einstellungen sollte die AppLocker Regel aufscheinen. Ist das nicht der Fall dann sollte kontrolliert werden, ob die Verknüpfung der OU richtig ist bzw. ob sich der Client-Computer in der OU befindet.

Unbenannt.PNG

Erstellen einer AppLocker Regel (Pfad-Regel)

Jetzt erstellt man ein weiteres GPO Objekt und darin die AppLocker Regel. Ich benenne die Regel nach dem was sie tun wird. Ich sperre für einen Benutzer Petra das Programm write.exe (WordPad).

1.PNG

Dann zu Computerkonfiguration – Windows-Einstellungen – Sicherheitseinstellungen – Anwendungssteuerungsrichtlinien – AppLocker navigieren.

1.PNG

Dort mit der rechten Maustaste auf Ausführbare Regeln klicken und Neue Regel erstellen… wählen.

Bei Berechtigungen füge ich den Benutzer Petra mit der Berechtigung Verweigert hinzu.

1.PNG

Bei Bedingungen wähle ich Pfad.

1.PNG

Bei Pfad gebe ich den Pfad zu write.exe ein. (anstelle von C:\Windows\write.exe kann auch %WINDIR%\write.exe eingegeben werden).

1.PNG

In meinem Fall gibt es keine Ausnahmen. Jetzt muss ein Name vergeben werden.

1.PNG

Wenn jetzt auf Erstellen geklickt wird dann kommt folgende Meldung:

111.png

Ich würde dringend Ja empfehlen. Es werden Ausnahmen festgelegt, welche auch angezeigt werden.

1

Die Regel wurde jetzt zwar erstellt, aber noch nicht aktiviert. Dazu bei AppLocker auf Regelerzwingung konfigurieren klicken.

1.PNG

Und anschließend Ausführbare Regeln aktivieren.

1.PNG

So jetzt noch das GPO mit der OU verknüpfen in der sich der Client-Computer befindet (bei mir: OU Workstations).

1.PNG

Beide GPOs zeigen auf die OU Workstation, der Dienst Anwendungsidentität wurde aktiviert und das GPO mit der AppLocker Regel wurde ebenfalls verknüpft.

Testen der AppLocker Pfad-Regel

Der Client-Computer sollte jetzt neu gestartet werden oder man führt gpupdate aus.

gpupdate /force

Jetzt melde ich mich mit Petra am Client-Computer an und versuche WordPad vom Pfad C:\Windows\write.exe zu öffnen.

1.PNG

Voila!

Fazit

AppLocker zu konfigurieren ist keine Sache die man so nebenbei macht.

Viel Spaß beim Herumspielen mit AppLocker. Und nicht vergessen: Die Standard-Regeln sind deine Freunde. Ich hatte mal einen Kursteilnehmer, der konnte nach Aktivierung von AppLocker den Computer nicht mehr starten.


Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

Categories

Who is the blogger?

My name is Patrick Grünauer (pewa2303). I am from Austria. On sid-500 I write about Windows, Cisco and IT-Security in English and German. Have fun while reading!

Patrick Gruenauer
Follow SID-500 on WordPress.com