Zwar verfügt Windows 7 über ein ordentliches Sicherheits- und Berechtigungssystem, und die Installation von Programmen ist generell Administratorbenutzern vorbehalten. Viele Anwendungen lassen sich aber ohne diese Rechte installieren. Manche Anwendungen benötigen nicht mal eine Installation, sondern lassen sich problemlos auch mit Benutzerrechten direkt über die ausführbare Exe-Datei starten und per USB-Stick in Unternehmen bringen.
Das können Spiele sein oder auch unerwünschte und nicht getestete Browser oder Systemprogramme. Wenn solche Anwendungen auch noch auf das Internet zugreifen können, besteht die Gefahr, dass sie sensible Daten ins Internet übertragen oder Befehle aus dem Internet erhalten, um das Netzwerk zu beeinträchtigen. Ein weiteres Problem ist, dass unerlaubt ausgeführte Anwendungen auch Unternehmensapplikationen beeinträchtigen können. Unkontrolliertes Ausführen von Anwendungen im Benutzermodus gefährdet in Unternehmen also den Datenschutz sowie die Sicherheit.
Windows 7 verfügt in den Editionen Enterprise und Ultimate über eine Funktion mit der Bezeichnung AppLocker, die dazu dient, Programme für Anwender zu sperren. Das gilt auch für die Möglichkeit der Installation oder das Ausführen von Skripten. Sie können AppLocker-Richtlinien als Gruppenrichtlinie in Windows Server 2008 R2 vorgeben und im Unternehmen automatisiert verteilen.
Hinweis: Die Richtlinien lassen sich aber nicht in anderen Windows 7-Editionen, einschließlich Windows 7 Professional, oder Vorgängerversionen verwenden.
In diesem Fall müssen Sie mit den Softwareeinschränkungsrichtlinien arbeiten. Administratoren können über Richtlinien im Unternehmen festlegen, welche Benutzergruppe Zugriff auf die verschiedenen Programme hat und diese starten darf, oder bestimmten Gruppen die Ausführung von Programmen untersagen. Die Konfiguration findet über Gruppenrichtlinien statt. In diesen legen Administratoren Regeln fest, welche die angebundenen Windows 7-Computer dann ausführen. Die gleichen Funktionen sind übrigens auch weiterhin in Windows 8 verfügbar. Das heißt, die Regeln lassen sich bei einer Migration von Windows 7 / Windows Server 2008 R2 zu Windows 8 weiterverwenden.
Sperren von Programmen mit AppLocker
Mit AppLocker können Sie nicht nur neue Programme sperren, sondern auch bestimmte Bordmittel in Windows, zum Beispiel den Registry-Editor.
Um Programme zu sperren, erstellen Administratoren am besten eine neue Gruppenrichtlinie und verknüpfen diese mit der Domäne oder den entsprechenden Organisationseinheiten. Natürlich besteht die Möglichkeit, die entsprechenden Einstellungen in einer bereits vorhandenen Gruppenrichtlinie durchzuführen. Allerdings leidet darunter die Übersicht, vor allem, wenn Sie mehrere Regeln erstellen wollen.
Um Gruppenrichtlinien zu bearbeiten, öffnen Sie auf dem Server die Gruppenrichtlinienverwaltung. Geben Sie dazu im Suchfeld des Startmenüs zum Beispiel den Befehl gpedit.msc ein. Öffnen Sie die Bearbeitung der entsprechenden Richtlinie und navigieren zu Computerkonfiguration/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Anwendungssteuerungsrichtlinien. Klicken Sie auf den Konsoleneintrag AppLocker. An dieser Stelle finden Sie alle notwendigen Einstellungen, um Richtlinien im Netzwerk festzulegen. Darüber hinaus ist an dieser Stelle eine umfangreiche Hilfe verfügbar.
An dieser Stelle haben Sie drei Möglichkeiten, Programme zu sperren: Ausführbare Regeln, Windows Installer-Regeln und Skriptregeln. Mit Ausführbare Regeln erstellen Sie einen Regelsatz, über den Sie festlegen, welche Programme Anwender ausführen dürfen oder welche Sie blockieren wollen. Mit diesem Bereich erfassen Sie Dateien mit den Endungen *.exe und *.com.
Über Windows Installer-Regeln legen Sie fest, welche Anwendungen Benutzer installieren dürfen. Diese Regeln erfassen Dateien mit den Endungen *.msi und *.msp. Der dritte Bereich schließlich, Skriptregeln, kann Skripte sperren. Hier erfasst AppLocker Dateien mit den Endungen *.js, *.ps1, *.vbs, *.cmd und *.bat.
Mit AppLocker-Regeln arbeiten
In einer produktiven Umgebung arbeiten Sie mit einem Satz aus verschiedenen Regeln. In sicheren Umgebungen erstellen Sie am besten zunächst eine Regel, mit der Sie zunächst alles verbieten, und dann nach und nach weitere Regeln, mit denen Sie die einzelnen Anwendungen, die Anwender nutzen sollen, explizit erlauben (Whitelists). Gehen Sie den umgekehrten Weg, also erlauben Sie Anwendern alle Programme bis auf die, die Sie in den Regeln blocken (Blacklists), haben Sie das Problem, eine sehr große Menge an Regeln erstellen zu müssen, damit sich alle Programme zuverlässig blockieren lassen. Es gibt aber auch den Weg, in Black- oder Whitelists mit Ausnahmen zu arbeiten, sodass sich AppLocker-Regeln sehr flexibel erstellen lassen.
Am effizientesten ist es also, eine Regel zu erstellen, die zunächst alles verweigert. Achten Sie aber darauf, dass Verweigerungs-Regeln die Zulassungs-Regeln immer überschreiben. Wenn Sie zum Beispiel allen Benutzer die Ausführung des Registry-Editors verweigern, können Sie nicht einfach eine Regel erstellen, die einer anderen Gruppe mit einer Teilmenge der Benutzer die Ausführung erlaubt. In diesem Fall können Sie aber mit den Ausnahmen arbeiten, die Sie für jede Regel erstellen. Erlauben Sie mit einer Regel etwa für alle Benutzer alle Windows-Programme, können Sie als Ausnahme den Registry-Editor hinterlegen. Dann dürfen die Anwender sämtliche Programme ausführen, außer regedit.exe. Erstellen Sie zusätzlich eine zweite Regel, die die Ausführung von regedit.exe für eine Gruppe erlaubt. Dadurch dürfen die Benutzer, die Mitglied dieser Gruppe sind, den Registry-Editor ausführen. Das gilt auch dann, wenn diese ebenfalls in der Gruppe Mitglied sind, die Sie zuerst erstellt haben, und den Registry-Editor als Ausnahme verweigern.
AppLocker unterstützt Gruppen in Active Directory. Das heißt, Sie können bestehende Gruppen verwenden oder neue Gruppen erstellen, in denen Sie die Benutzerkonten aufnehmen, die Sie mit den Regeln erfassen wollen. Wenn Sie eine neue AppLocker-Regel erstellen, hinterlegen Sie die entsprechende Benutzergruppe. Wollen Sie, dass ein Benutzer von dieser Regel erfasst wird, zum Beispiel eine bestimmte Anwendung ausführen darf, müssen Sie ihn nur in die Gruppe aufnehmen, ohne Änderungen an den AppLocker-Regeln vornehmen zu müssen.
Regeln für AppLocker erstellen
Der erste Einstieg ist in den meisten Fällen das Erstellen von Regeln über Ausführbare Regeln. Hier können Sie Programme auf den Computern sperren oder erlauben. Gehen Sie dazu folgendermaßen vor:
1. Klicken Sie mit der rechten Maustaste auf Ausführbare Regeln.
2. Wählen Sie im Kontextmenü Neue Regel erstellen aus.
3. Bestätigen Sie die Startseite des Assistenten.
4. Wählen Sie auf der nächsten Seite Verweigern als Grundlage für die Regel aus. Haben Sie die Regel erstellt, erzeugen Sie eine weitere Regel und wählen Zulassen. In dieser Regel nehmen Sie dann die Benutzergruppen auf, die die entsprechenden Anwendungen ausführen dürfen. In die Benutzerkonten nehmen Sie dann wiederum einfach die entsprechende Gruppe auf.
5. Wählen Sie im Dropdown-Menü die Gruppe oder den Benutzer aus, für die oder den Sie den Zugriff sperren wollen. In der ersten Regel also am besten eine Gruppe im Active Directory, die alle Benutzerkonten enthält, die die Anwendungen dieser Regel nicht ausführen dürfen.
6. Auf der nächsten Seite wählen Sie aus, auf welcher Basis Windows die zu sperrenden Programme filtern soll. Hier haben Sie drei verschiedene Möglichkeiten:
• Herausgeber - Durch diese Auswahl können Sie Anwendungen auf Basis ihres Zertifikats filtern. Dazu muss die Anwendung jedoch signiert sein. Bei Standardsoftware ist das kein Problem, beim Einsatz unternehmenseigener Software müssen Sie hier unter Umständen nacharbeiten. Diese Auswahl ist am besten geeignet, da Sie sich nur schwer aushebeln lässt. Die Zertifikate einer ausführbaren Datei lassen sich von normalen Benutzern nicht aushebeln. Diese Auswahl ist also empfehlenswert.
• Pfad - Mit dieser Auswahl können Sie alle Programme in einem bestimmten Verzeichnis sperren lassen. Das ist zwar einfach, aber Benutzer können solche Regeln ganz einfach aushebeln. Kopiert ein Benutzer die Datei in ein anderes Verzeichnis, funktioniert die Regel schon nicht mehr. Diese Auswahl ist also nicht zu empfehlen.
• Dateihash - Diese Auswahl nimmt sozusagen den Fingerabdruck der Datei. Dieser ändert sich allerdings mit jeder neuen Version. Wenn Sie diese Auswahl treffen, müssen Sie die Regel jedes Mal ändern, sobald Sie die entsprechende Anwendung aktualisieren. Das macht die Regeln nur unnötig kompliziert.
Sie können natürlich auch mehrere Regeln erstellen und verschiedene Filtermöglichkeiten verwenden. Allerdings ist der Filter Herausgeber am besten geeignet.
Im nächsten Fenster wählen Sie ein Referenzprogramm des Herstellers aus. Mit dem Schieberegler legen Sie die Version des Programms fest, das Sie in der Regel erfassen wollen. Der Regler erlaubt das Sperren ab einer bestimmten Version oder darunter. Achten Sie aber darauf, dass nicht alle Versionen unterstützt werden, das ist abhängig vom entsprechenden Programm. Wenn Sie den Schieberegler nach unten setzen und die Option Benutzerdefinierte Werte verwenden aktivieren, können Sie genau bestimmen, ab oder bis zu welcher Version Sie das Programm in der Regel erfassen wollen. Im Bereich Produktname können Sie zum Beispiel bei der Auswahl eines Microsoft-Programmes alle Programme erlauben, die zum Betriebssystem gehören. Dazu erstellen Sie zunächst eine Regel, die alles verweigert, und anschließend eine Regel, mit der Sie Produkte von Microsoft erlauben, die zum Betriebssystem gehören. Dazu wählen Sie einfach eine *.exe-Datei von Microsoft aus und stellen den Schieberegler auf Produktname.
Auf der nächsten Seite legen Sie fest, ob Sie bestimmte Ausnahmen des Herstellers genehmigen wollen oder nicht. Haben Sie schließlich die Regel erstellt, erscheint diese im Bereich der ausführbaren Regeln. Per Doppelklick können Sie jede Regel nachträglich bearbeiten und auf diesem Weg Programme hinzufügen oder Versionen ändern.
Regeln automatisch erstellen und AppLocker erzwingen
Neben der Möglichkeit, manuell Regeln zu erstellen, können Sie AppLocker auch so konfigurieren, dass automatisch Regeln für bestimmte Anwendungen erstellt werden. Bei einer solchen Regel legen Sie ein Verzeichnis fest. Dieses scannt AppLocker und nimmt für jede ausführbare Datei eine Regel auf. Um eine solche Regel zu erstellen, klicken Sie mit der rechten Maustaste auf Ausführbare Regeln und wählen Regeln automatisch generieren. Anschließend wählen Sie das Verzeichnis aus, das AppLocker scannen soll, die Benutzergruppe für die Regel und einen Namen für die Regel.
Dann legen Sie auf den weiteren Seiten die Regeleinstellungen fest und lassen die Regel erstellen. Auch hier haben Sie die Möglichkeit, die Regeln jederzeit anzupassen oder zu löschen, wenn zum Beispiel bestimmte Programme im Netzwerk nicht mehr funktionieren.
Der dritte Bereich im Kontextmenü der verschiedenen Regelbereiche ist Standardregeln erstellen. Wählen Sie diese Option aus, erstellt AppLocker automatisch Regeln, die es Administratoren erlauben, Programme auszuführen, auch wenn diese durch eine Regel gesperrt sind. Außerdem erlauben die Standardregeln die Ausführung aller Anwendungen im Programme- und Windows-Verzeichnis auch für Normalanwender.
Wenn Sie direkt auf AppLocker klicken, sehen Sie in der Mitte des Fensters den Link Regelerzwingung konfigurieren. Über diesen Bereich können Sie für die verschiedenen Regeln Einstellungen der Umsetzung vornehmen. Standardmäßig sind keine Einstellungen gesetzt. Aktivieren Sie für eine Regel die Option Konfiguriert, können Sie im Dropdownmenü Einstellungen ändern. Sie haben die Auswahl, explizit Regeln erzwingen zu aktivieren oder die Einstellung Nur überwachen einzustellen. In diesem Modus setzt AppLocker die Regeln nicht um, sondern erfasst nur die betroffenen Anwendungen.
Sobald ein Anwender ein Programm öffnet, das zur Regel passt, erfasst AppLocker das Programm und nimmt eine Meldung in der Ereignisanzeige auf. Sie finden die Meldungen von AppLocker in der Ereignisanzeige über Anwendungs- und Dienstprotokolle\Microsoft\AppLocker. Es findet aber kein Sperrvorgang statt, auch wenn Sie eine Verweigerungsregel erstellt haben. Erst wenn Sie die Regel erzwingen lassen, setzt Windows 7 diese um. Das heißt Sie können über diesen Weg die Regeln zunächst testen und anschließend erst erzwingen lassen.
Unternehmen sollten aber keine Wunder von AppLocker erwarten. So ist derzeit eine Sicherheitslücke bekannt, mit der Schadcode aus Makros von Office-Programmen starten kann, selbst wenn er gesperrt sein sollte. Microsoft bietet dazu einen Patch sowie einen Knowledgebase-Beitrag, auf dem sich Administratoren genauer informieren und System absichern können. Die Sicherheitslücke ist auch nach der Installation von Service Pack 1 für Windows 7 noch aktiv.
AppLocker für Fortgeschrittene und Dokumentationen
Profis, die AppLocker per Skript einsetzen wollen, können auch die PowerShell zur Steuerung von Richtlinien verwenden. Wie Sie dabei vorgehen, lesen Sie in einem Microsoft-Blogbeitrag zu AppLocker.
Microsoft bietet eine technische Dokumentation zum Download an. Auch in der Microsoft TechNet finden sich Anleitungen zum Thema. (mje)