AppLocker

#client, #server edit this page

In einem meiner letzten Beiträge habe ich kurz über ein paar Neuerungen von Windows 7 berichtet. Mittlerweile habe ich mir das Feature “AppLocker” näher angeschaut:

Mit AppLocker kann man den Clientcomputer noch besser schützen, indem man nun sehr viel genauer vorgeben kann welche Anwendungen ein Benutzer ausführen bzw. installieren darf. AppLocker kann über ein Domänen- oder über die lokale-GPO konfiguriert werden.

Wie man AppLocker verwendet zeige ich Anhand von folgendem Beispiel: Benutzern ist es nur erlaubt Applikationen auszuführen, die sich unter %Programfiles% und %Windir% befinden. Benutzer die der Gruppe “Not Restr Access” angehören ist es außerdem erlaubt das Testprogramm “Excel Viewer 2003” aus dem Verzeichnis “C:\Program Files 2” zu starten.

Als erstes öffnet man das GPO und wechselt zur Option “AppLocker”

image 

Für die Option Executable Rules lassen wir die Standardregeln generieren (“Create default Rules”). Nachdem diese konfiguriert sind, findet man 3 Regeln vor:

1. Admins dürfen alle Programme aufrufen
2. User dürfen Programme aus %Windir% starten
3. User dürfen Programme aus “%Programfiles% starten

image

Jetzt müssen wir eine neue Regel erstellen, die der Benutzergruppe “Not Restr Access” erlaubt unsere Testapplikation zu starten. Über “Create New Rule” wird der entsprechende Wizard gestartet.

image

Wir wählen die Option “Allow” und beziehen die Regel auf die Gruppe “Not Restr Access”.

image

Jetzt haben wir 3 Möglichkeiten. Über die Option Publisher kann ein einzelnes signiertes Programm freigegeben oder gesperrt werden, über die Option Path ein ganzer Pfad und über die Option File Hash eine nicht-signierte Applikation. Im unseren Beispiel wählen wir die Option Publisher, da der Excel Viewer von Microsoft zertifiziert ist. Nachdem die Applikation ausgewählt wurde, kann über einen Schieberegler die Genauigkeit der Prüfung von AppLocker eingestellt werden. (Bsp. AppLocker soll nur den Dateinamen, nicht die Dateiversion prüfen)

image

Wenn nötig können im nächsten Schritt noch Ausnahmen definiert werden. Somit haben wir unsere Regel definiert.

Wichtig: AppLocker ist auf einen Dienst angewiesen der aus Sicherheitsgründen nicht automatisch startet. Damit die Einstellungen greifen, muss der Dienst “Application Identity” gestartet werden. Ich empfehle den Dienst solange im Startmodus “Manuell” zu belassen, bis alle Einstellungen passen.

image

Wenn wir jetzt den Test machen, können Benutzer aus der Gruppe “Not Restr Access” problemlos den Excel Viewer starten. Benutzer, die nicht dieser Gruppe angehören, erhalten eine Fehlermeldung.

image

Grüße, dn