Branch Cache, Direct Access, Bitlocker to go und Co.
Windows 7: Die Funktionen für Unternehmen
Applocker
Mit Applocker können Administratoren festlegen, welche Software von Standard-Benutzern verwendet werden darf. Applocker ist eine Weiterentwicklung der bereits seit Windows XP verfügbaren Richtlinien für Softwareeinschränkungen. Allerdings kennt Applocker mehr Optionen und die Abstufungen sind feiner.
Administratoren können etwa zunächst alles verbieten und die Zulassungen explizit setzen (Whitelisting), angesichts der schieren Menge an vorhandener Malware ein besseres Verfahren ist als das Führen und Verwalten einer Software-Verbotsliste. Ob eine Datei ausgeführt werden darf, kann dann nach drei Kriterien festgelegt werden:
-
Datei-Hash, also die Prüfsumme jeder Datei. Diese muss allerdings bei jedem Update erneuert werden.
-
Pfadregel: Entscheidet je nach genauem Dateinamen plus Pfad, ob eine Datei ausgeführt werden kann. Kann allerdings durch Kopieren der betreffenden Datei unterlaufen werden.
-
Herausgeber: Entscheidet die Ausführbarkeit je nach Zertifikat einer Datei, das jede ausführbare Datei im Kontextmenü über die Registerkarte „Eigenschaften“ anzeigt. Hier sind sehr feine Abstufungen möglich: So können Sie etwa verfügen, dass alle Microsoft-Programme, die eine Windows-Komponente sind, ausgeführt werden dürfen. Das ersparet potentiellen Update-Ärger. Umgekehrt können Sie aber sogar von einer bestimmten EXE-Datei Mindest-Versionsnummern verlangen, um etwa eine Software zwar prinzipiell zu erlauben, jedoch nicht die Ausführung veralteter Versionen mit eventuell bekannten Sicherheitslücken.
Applocker kennt einen Audit-Modus: Bevor der Administrator die Regeln wirklich in Kraft setzt, kann er erst eine Weile anhand von Log-Dateien beobachten, wie sie sich auswirken würden.