Jaa

TechEd 2010: Applocker

  • Artikkeli

Jeremy Moskovitz

Das war das gestrige Highlight!

Jeremy hat vor seiner Session mit fast jedem persönlich geplaudert!

Das Demo war dann überzeugend:

Als normaler User ohne Admin-Rechte, Firefox geladen, UAC mit Esc beendet und FF trotzdem installiert!

Das Geheimnis, ein Verzeichnis, wo jeder R/W Rechte hat (%systemroot%\ProgramData), damit ist diese Maßnahme durch die Hersteller von Software auch untergraben (ursprünglich sollte dieses Verzeichnis nur zu Kompatibilitätszwecke verwendet werden, um alte SW zum Laufen zu bringen).

Dadurch, selbst wenn der IE abgesichert wird (der einzige Browser, der via Group Policies gemanaged werden kann), würden z.B. „böse“ Facebook-Apps via Chrome, FF, Safari durch den User ins System eingeschleppt werden – und wir wissen, wie einfallsreich User sind, die zwar ein Druckproblem nicht selbst lösen können, aber die Sicherheitsmaßnahmen des Sysadmins umgehen können!

Auf https://gpanswers.com findet man viele weiter GPOL Infos.

(bisschen irritierend, er verwendet VMware, nun gut, er ist ein MVP, kein MS Mitarbeiter)

Also als Lösung wäre Black-, bzw. White-Listing. Damit können obige Probleme verhindert werden.

Unter XP gab es bereits SRP (Software Restriction Policy), funktioniert noch unter Win7, aber  es gibt keinen Upgrade Pfad (obendrein „zieht“ zuerst AppLocker). Nur für Windows 7 EE + Ultimate und Server 2008 / R2! Ein weiterer Grund für Licensing und/oder InTune.

Reihenfolge, in der die Regeln ziehen:

1. Deny

2. Allow

3. Deny, wenn nicht erlaubt

Step1:

Execute and install Default rules (not necessary, but…)

Step 2:

Hinzufügen eigener Regeln

Step 3:

Starten des “Anwendungsidentität”-Dienst am Client!

(kann via GPOL eingeschalten werden; Achtung: braucht 2 Minuten, bis es aktiv wird)

Safety:

Hash rule am Besten,

dann Publisher (Publisher Cert kann gestohlen werden, siehe Security Bericht),

dann Path, hier kann „zuviel“ freigegeben werden (.DLLs sollten überwacht werden)

Man kann mit Rules explizit z.B. ab einer gewissen Version erlauben, auch dann ganz spezielle Versionen wieder verbieten (z.B. Adobe Reader ab 9.x, aber 9.2.0.1 nicht).

Der „Verboten“ Dialog kann verändert, bzw. ergänzt werden (GPOL).

Man kann eine „saubere“, „perfekte“ Maschine als Template übernehmen.

Policy können exportiert und dann am Server wieder migriert/importiert werden.

Für AppV: sowohl SFXTRAY.exe erlauben, als auch R/W Zugriff auf Q:

Diese Session hat viel gebracht! Fürchtet Euch, Ihr Standard User mit Euren iTunes, Safaris und ach so tollen Performance Apps, das wird nicht mehr gehen!

Mit freundlichen Grüßen
Paul Scholda                  clip_image001