Applocker
Mit Applocker können Administratoren festlegen, welche Software von Standard-Benutzern verwendet werden darf. Applocker ist eine Weiterentwicklung der bereits seit Windows XP verfügbaren Richtlinien für Softwareeinschränkungen. Allerdings kennt Applocker mehr Optionen und die Abstufungen sind feiner.
So funktioniert’s: Administratoren können etwa zunächst alles verbieten und die Zulassungen explizit setzen (Whitelisting), angesichts der schieren Menge an vorhandener Malware ein besseres Verfahren als das Führen und Verwalten einer Software-Verbotsliste. Ob eine Datei ausgeführt werden darf, kann dann nach drei Kriterien festgelegt werden:
-
Datei-Hash, also die Prüfsumme jeder Datei. Diese muss allerdings bei jedem Update erneuert werden.
-
Pfadregel: Entscheidet je nach genauem Dateinamen plus Pfad, ob eine Datei ausgeführt werden kann. Kann allerdings durch Kopieren der betreffenden Datei unterlaufen werden.
-
Herausgeber: Entscheidet die Ausführbarkeit je nach Zertifikat einer Datei, das jede ausführbare Datei im Kontextmenü über die Registerkarte „Eigenschaften“ anzeigt. Hier sind sehr feine Abstufungen möglich: So können Sie etwa verfügen, dass alles von Microsoft, das eine Windows-Komponente ist, ausgeführt werden darf, und ersparen sich so potentiellen Update-Ärger. Umgekehrt können Sie aber sogar von einer bestimmten EXE-Datei Mindest-Versionsnummern verlangen, um etwa eine Software zwar prinzipiell zu erlauben, jedoch nicht die Ausführung veralteter Versionen mit eventuell bekannten Sicherheitslücken.
Applocker kennt einen Audit-Modus: Bevor der Administrator die Regeln wirklich in Kraft setzt, kann er erst eine Weile anhand von Log-Dateien beobachten, wie sie sich auswirken würden.