Vertrauenswürdiger Besitz
In diesem Abschnitt werden folgende Themen behandelt:
- Wissenswertes über vertrauenswürdigen Besitz
- Aktivieren von vertrauenswürdigem Besitz
- Testen von vertrauenswürdigem Besitz
Wissenswertes über vertrauenswürdigen Besitz
Beim Abgleichen der Regeln wird die Prüfung auf vertrauenswürdigen Besitz auf Dateien und Ordner angewendet. Dadurch soll sichergestellt werden, dass der Besitz der Elemente mit der Liste der vertrauenswürdigen Besitzer übereinstimmt, die in der Standardregelkonfiguration festgelegt wurde.
Beispiel: Wird ein Abgleich zwischen der auszuführenden Datei und einem zulässigen Element durchgeführt, wird durch eine zusätzliche Sicherheitsprüfung sichergestellt, dass der Dateibesitz auch mit der Liste der vertrauenswürdigen Besitzer abgeglichen wird. Wurde eine echte Datei manipuliert oder wurde eine Datei, die eine Sicherheitsbedrohung darstellt, umbenannt, damit sie für eine zulässige Datei gehalten wird, wird diese Irregularität durch die Prüfung auf vertrauenswürdigen Besitz identifiziert und die Ausführung der Datei wird verhindert.
Netzwerkordner/-freigaben werden standardmäßig verweigert. Befindet sich die Datei also in einem Netzwerkordner, muss die Datei oder der Ordner als zulässiges Element zur Regel hinzugefügt werden. Anderenfalls verhindert die Regel den Zugriff, auch wenn die Datei die Prüfung auf vertrauenswürdigen Besitz besteht.
Die Prüfung auf vertrauenswürdigen Besitz ist bei Elementen mit digitaler Signatur verzichtbar, da diese nicht imitiert werden kann.
Die Liste der vertrauenswürdigen Besitzer wird im Dialogfeld "Vertrauenswürdige Besitzer" verwaltet, welches über das Menüband "Globale Einstellungen" verfügbar ist. Application Control vertraut standardmäßig den folgenden Besitzern:
- SYSTEM
- BUILTIN/Administrators
- %ComputerName%\Administrator
- NT Service\TrustedInstaller
Standardmäßig vertraut Application Control also Dateien, die der Gruppe "BULTIN\Administrators" und dem lokalen Administrator gehören. Application Control führt keine Gruppensuchen nach vertrauenswürdigen Besitzern durch. Benutzern, die Mitglied der Gruppe BUILTIN\Administrators sind, wird NICHT standardmäßig vertraut. Andere Benutzer müssen, selbst wenn sie der Gruppe der Administratoren angehören, explizit hinzugefügt werden, um als vertrauenswürdige Besitzer zu gelten. Sie können die obige Liste um weitere Benutzer oder Gruppen erweitern.
Wenn Sie Application Control zum ersten Mal verwenden, wird empfohlen, die Standardeinstellungen zu übernehmen. Zum Vermeiden komplexer Anpassungen sollten Sie die Liste der vertrauenswürdigen Besitzer nicht erweitern oder Standardeinstellungen ändern.
Das Dialogfeld enthält die folgenden Optionen:
-
Datei überschreiben und umbenennen – Wenn die Option Besitz an einer Datei nach Überschreibung oder Umbenennung ändern ausgewählt ist, ändert Application Control selektiv den NTFS-Dateibesitz ausführbarer Dateien, wenn diese überschrieben oder umbenannt wurden.
Der Versuch eines Benutzers, der kein vertrauenswürdiger Besitzer ist, eine Datei zu überschreiben, die aufgrund einer Regel für vertrauenswürdigen Besitz oder für ein zulässiges Element als zulässig gilt, kann eine Sicherheitsbedrohung darstellen, wenn sich der Inhalt der Datei geändert hat. Application Control ändert den Besitz an einer überschriebenen Datei in den Benutzer ab, der die Aktion durchgeführt hat. Die Datei gilt dadurch als nicht vertrauenswürdig und die Sicherheit des Systems ist nicht in Gefahr.
Analog kann der Versuch, eine verweigerte Datei in den Namen eines zulässigen Elements umzubenennen, eine Sicherheitsbedrohung darstellen. Application Control ändert auch in dem Fall den Besitz an einer umbenannten Datei in den Benutzer ab, der die Aktion durchgeführt hat. Die Datei gilt dadurch weiterhin als nicht vertrauenswürdig.
Die Aktionen Überschreiben und Umbenennen werden geprüft.
- Datei überschreiben und umbenennen – Treffen Sie eine der folgenden Maßnahmen, um den vertrauenswürdigen Besitz für einzelne Dateien zu ignorieren:
- Deaktivieren Sie das Kontrollkästchen "Vertrauenswürdiger Besitz" in den Unterknoten von "Zulässige Elemente".
- Weisen Sie Benutzern und Geräten den Status "Selbstautorisierung" zu, damit die Benutzer und Geräte selbst entscheiden können, ob eine Datei ausführbar sein soll oder nicht.
- Legen Sie die Sicherheitsstufe "Selbstautorisierung" für eine Regel im Knoten für eine Gruppen-, Benutzer-, Geräte-, benutzerdefinierten, Skript- oder Prozessregel fest.
- Vertrauenswürdige Anwendungen übersteuern Einschränkungen, die sich aus Übereinstimmungen mit verweigerten Elementen ergeben.
- Vertrauenswürdige Anbieter übersteuern die Einschränkungen, die sich aus der Prüfung auf vertrauenswürdigen Besitz ergeben.
Whitelists
Wenn Sie lieber einen Ansatz mit Positivlisten verfolgen möchten, bei dem standardmäßig gar nichts ausgeführt werden darf, deaktivieren Sie das Kontrollkästchen Lokale Laufwerke standardmäßig als zulässig festlegen im Dialogfeld "Richtlinieneinstellungen", das über die erweiterten Einstellungen im Menüband "Globale Einstellungen" verfügbar ist. Um Elemente als zulässig festzulegen, fügen Sie sie zum Ordner "Zulässige Elemente" eines Konfigurationsknotens hinzu.
Wenn Sie Positivlisten einsetzen möchten, denken Sie daran, die Ausführung wichtiger Systemdateien zuzulassen, indem Sie eine Gruppenregel für die Gruppe "Jeder" hinzufügen, bei der alle relevanten Dateien oder Ordner zu den zulässigen Elementen hinzugefügt wurden. Andernfalls könnte die Ausführung zahlreicher wichtiger ausführbarer Dateien und DLLs, etwa die, die im Verzeichnis "system32" gespeichert sind, verhindert werden, was sich negativ auf die ordnungsgemäße Funktionsweise des Systems auswirken kann.
Das folgende Video bietet eine Einführung in die Konzepte von vertrauenswürdigem Besitz:
Vertrauenswürdiger Besitz – Weshalb? Was? Wie?
Aktivieren von vertrauenswürdigem Besitz
Wählen Sie zum Aktivieren dieser Funktion im Menüband "Globale Einstellungen" die Option Vertrauenswürdige Besitzer aus und konfigurieren Sie die erforderlichen Einstellungen:
- Prüfung auf vertrauenswürdigen Besitz aktivieren – Wählen Sie diese Option aus, um die Prüfung auf vertrauenswürdigen Besitz einzuschalten. Diese Option ist standardmäßig aktiviert.
-
Besitz an einer Datei nach Überschreibung oder Umbenennung ändern – Wählen Sie diese Option aus, wenn Sie den Besitz an einer vertrauenswürdigen, zulässigen Datei ändern möchten, die von einem nicht vertrauenswürdigen Benutzer, der nicht in der Liste der vertrauenswürdigen Besitzer enthalten ist, überschrieben wurde.
Wird eine verweigerte Datei von einem nicht vertrauenswürdigen Benutzer umbenannt, in der Absicht, die Regel für ein verweigertes Element zu umgehen, wird der Besitzer in den nicht vertrauenswürdigen Benutzer geändert. Nachdem der Besitzer geändert wurde, verhindert die Prüfung auf vertrauenswürdigen Besitz die Ausführung der Datei.
- Vertrauenswürdiger Besitzer – Die Details zum vertrauenswürdigen Besitzer.
- Text-SID – Die Textsicherheitskennung des vertrauenswürdigen Besitzers. Beispiel: S-1-5-32-544.
- Vertrauenswürdigen Besitzer hinzufügen – Über diese Schaltfläche wird das Dialogfeld "Vertrauenswürdige Besitzer hinzufügen" aufgerufen. Geben Sie ein Konto ein, das Sie der Liste der vertrauenswürdigen Besitzer hinzufügen möchten, oder navigieren Sie zu diesem Konto und wählen Sie es aus.
- Vertrauenswürdigen Besitzer löschen – Mit dieser Schaltfläche löschen Sie den ausgewählten vertrauenswürdigen Besitzer.
Testen von vertrauenswürdigem Besitz
- Führen Sie eine oder mehrere Anwendungen unter Verwendung eines Testbenutzerkontos in das System ein.
- Kopieren Sie eine oder mehrere Anwendungen in das Startlaufwerk des Benutzers oder an einen anderen geeigneten Speicherort, etwa die Anwendung "calc.exe" aus demOrdner "System32", oder kopieren Sie eine Datei von einer CD.
- Versuchen Sie, eine der kopierten Dateien auszuführen. Die Anwendung wird verweigert, da die Dateien dem Testbenutzer gehören und nicht Bestandteil der Liste "Vertrauenswürdige Besitzer" sind.
Sie können den Besitz an einer Datei überprüfen, indem Sie deren Eigenschaften über Windows Explorer anzeigen.