Businessfunktionen

Windows 7 für Profis

18.10.2011
Von Andreas Kroschel

Applocker

Was dürfen Standard-Benutzer? Mit Applocker legen es Administratoren detailliert fest
Was dürfen Standard-Benutzer? Mit Applocker legen es Administratoren detailliert fest

Mit Applocker können Administratoren festlegen, welche Software von Standard-Benutzern verwendet werden darf. Applocker ist eine Weiterentwicklung der bereits seit Windows XP verfügbaren Richtlinien für Softwareeinschränkungen. Allerdings kennt Applocker mehr Optionen und die Abstufungen sind feiner.

So funktioniert’s: Administratoren können etwa zunächst alles verbieten und die Zulassungen explizit setzen (Whitelisting), angesichts der schieren Menge an vorhandener Malware ein besseres Verfahren als das Führen und Verwalten einer Software-Verbotsliste. Ob eine Datei ausgeführt werden darf, kann dann nach drei Kriterien festgelegt werden:

  • Datei-Hash, also die Prüfsumme jeder Datei. Diese muss allerdings bei jedem Update erneuert werden.

  • Pfadregel: Entscheidet je nach genauem Dateinamen plus Pfad, ob eine Datei ausgeführt werden kann. Kann allerdings durch Kopieren der betreffenden Datei unterlaufen werden.

  • Herausgeber: Entscheidet die Ausführbarkeit je nach Zertifikat einer Datei, das jede ausführbare Datei im Kontextmenü über die Registerkarte „Eigenschaften“ anzeigt. Hier sind sehr feine Abstufungen möglich: So können Sie etwa verfügen, dass alles von Microsoft, das eine Windows-Komponente ist, ausgeführt werden darf, und ersparen sich so potentiellen Update-Ärger. Umgekehrt können Sie aber sogar von einer bestimmten EXE-Datei Mindest-Versionsnummern verlangen, um etwa eine Software zwar prinzipiell zu erlauben, jedoch nicht die Ausführung veralteter Versionen mit eventuell bekannten Sicherheitslücken.

Applocker kennt einen Audit-Modus: Bevor der Administrator die Regeln wirklich in Kraft setzt, kann er erst eine Weile anhand von Log-Dateien beobachten, wie sie sich auswirken würden.

Zur Startseite