Windows-Sicherheit erhöhen

Windows-Praxis: Mit AppLocker Programme per Richtlinien sperren

Mithilfe der Windows-7-Funktionalität AppLocker können Administratoren die Ausführung unerwünschter Programme auf Clients verhindern. Das klappt mit zu installierenden Anwendungen ebenso wie mit portablen oder Batch-Dateien. Unser Praxis-Workshop erläutert detailliert die notwendigen Schritte.

Zwar verfügt Windows 7 über ein ordentliches Sicherheits- und Berechtigungssystem, und die Installation von Programmen ist generell Administratorbenutzern vorbehalten. Viele Anwendungen lassen sich aber ohne diese Rechte installieren. Manche Anwendungen benötigen nicht mal eine Installation, sondern lassen sich problemlos auch mit Benutzerrechten direkt über die ausführbare Exe-Datei starten und per USB-Stick in Unternehmen bringen.

Das können Spiele sein oder auch unerwünschte und nicht getestete Browser oder Systemprogramme. Wenn solche Anwendungen auch noch auf das Internet zugreifen können, besteht die Gefahr, dass sie sensible Daten ins Internet übertragen oder Befehle aus dem Internet erhalten, um das Netzwerk zu beeinträchtigen. Ein weiteres Problem ist, dass unerlaubt ausgeführte Anwendungen auch Unternehmensapplikationen beeinträchtigen können. Unkontrolliertes Ausführen von Anwendungen im Benutzermodus gefährdet in Unternehmen also den Datenschutz sowie die Sicherheit.

Windows 7 verfügt in den Editionen Enterprise und Ultimate über eine Funktion mit der Bezeichnung AppLocker, die dazu dient, Programme für Anwender zu sperren. Das gilt auch für die Möglichkeit der Installation oder das Ausführen von Skripten. Sie können AppLocker-Richtlinien als Gruppenrichtlinie in Windows Server 2008 R2 vorgeben und im Unternehmen automatisiert verteilen.

Hinweis: Die Richtlinien lassen sich aber nicht in anderen Windows 7-Editionen, einschließlich Windows 7 Professional, oder Vorgängerversionen verwenden.

In diesem Fall müssen Sie mit den Softwareeinschränkungsrichtlinien arbeiten. Administratoren können über Richtlinien im Unternehmen festlegen, welche Benutzergruppe Zugriff auf die verschiedenen Programme hat und diese starten darf, oder bestimmten Gruppen die Ausführung von Programmen untersagen. Die Konfiguration findet über Gruppenrichtlinien statt. In diesen legen Administratoren Regeln fest, welche die angebundenen Windows 7-Computer dann ausführen. Die gleichen Funktionen sind übrigens auch weiterhin in Windows 8 verfügbar. Das heißt, die Regeln lassen sich bei einer Migration von Windows 7 / Windows Server 2008 R2 zu Windows 8 weiterverwenden.

Sperren von Programmen mit AppLocker

Mit AppLocker können Sie nicht nur neue Programme sperren, sondern auch bestimmte Bordmittel in Windows, zum Beispiel den Registry-Editor.

Um Programme zu sperren, erstellen Administratoren am besten eine neue Gruppenrichtlinie und verknüpfen diese mit der Domäne oder den entsprechenden Organisationseinheiten. Natürlich besteht die Möglichkeit, die entsprechenden Einstellungen in einer bereits vorhandenen Gruppenrichtlinie durchzuführen. Allerdings leidet darunter die Übersicht, vor allem, wenn Sie mehrere Regeln erstellen wollen.

Regulativ: Sie können über Richtlinien Anwendungen sperren.
Regulativ: Sie können über Richtlinien Anwendungen sperren.

Um Gruppenrichtlinien zu bearbeiten, öffnen Sie auf dem Server die Gruppenrichtlinienverwaltung. Geben Sie dazu im Suchfeld des Startmenüs zum Beispiel den Befehl gpedit.msc ein. Öffnen Sie die Bearbeitung der entsprechenden Richtlinie und navigieren zu Computerkonfiguration/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Anwendungssteuerungsrichtlinien. Klicken Sie auf den Konsoleneintrag AppLocker. An dieser Stelle finden Sie alle notwendigen Einstellungen, um Richtlinien im Netzwerk festzulegen. Darüber hinaus ist an dieser Stelle eine umfangreiche Hilfe verfügbar.

An dieser Stelle haben Sie drei Möglichkeiten, Programme zu sperren: Ausführbare Regeln, Windows Installer-Regeln und Skriptregeln. Mit Ausführbare Regeln erstellen Sie einen Regelsatz, über den Sie festlegen, welche Programme Anwender ausführen dürfen oder welche Sie blockieren wollen. Mit diesem Bereich erfassen Sie Dateien mit den Endungen *.exe und *.com.

Über Windows Installer-Regeln legen Sie fest, welche Anwendungen Benutzer installieren dürfen. Diese Regeln erfassen Dateien mit den Endungen *.msi und *.msp. Der dritte Bereich schließlich, Skriptregeln, kann Skripte sperren. Hier erfasst AppLocker Dateien mit den Endungen *.js, *.ps1, *.vbs, *.cmd und *.bat.