Application Control Sicherheitsmethoden

In diesem Abschnitt werden folgende Themen behandelt:

Implementieren von Application Control Sicherheitsmethoden
Vertrauenswürdige Besitzer
Vertrauenswürdige Anbieter
Digitale Signaturen
Whitelists
Negativlisten

Implementieren von Application Control-Sicherheitsmethoden

Application Control bietet eine Reihe von Sicherheitsmethoden, die Sie zum Schutz Ihres Systems implementieren können, ohne dass hierfür komplexe Listen oder konstantes Management erforderlich sind. Dazu gehören folgende Methoden:

Vertrauenswürdiger Besitz
Vertrauenswürdige Anbieter
Digitale Signaturen
Erstellen von Positivlisten
Erstellen von Negativlisten

Mit einem Hybridansatz schöpfen Sie Ihre Application Control-Konfiguration maximal aus. Dabei werden die am besten geeigneten Komponenten einer jeden Sicherheitsmethode kombiniert, sodass Sie von einem optimalen Sicherheitsmodell profitieren und gleichzeitig den Verwaltungs- und Konfigurationsaufwand insgesamt reduzieren.

Mit dem Konzept "Vertrauenswürdiger Besitz" lassen sich neue Anwendungen durch vertrauenswürdige Besitzer installieren, ohne dass hierfür Änderungen an der Application Control-Konfiguration erforderlich sind. Gleichzeitig bietet der Ansatz vollwertigen Schutz vor der Einschleusung unbekannter Anwendungen oder Skriptinhalte durch nicht vertrauenswürdige Benutzer. Es wird daher empfohlen, dieses Sicherheitsmodell als Grundlage für den Großteil der Application Control-Konfigurationen zu verwenden. Die Funktionalität wird daher bei allen neuen Application Control-Konfigurationen standardmäßig aktiviert.

Die Erstellung von Positivlisten ist die sicherste Methode, jedoch mit einem hohen Administrationsaufwand verbunden. Falls im Unternehmen keine NTFS-Sicherheit für Dateisysteme zur Anwendung kommt, wird das Erstellen von Positivlisten empfohlen. Hintergrund ist, dass vertrauenswürdiger Besitz auf den Dateibesitzerinformationen beruht, die nur in NTFS vorhanden sind.

Vertrauenswürdiger Besitz eignet sich nur für lokal installierte ausführbare Inhalte, also Anwendungen, die auf den lokalen festen Laufwerken eines Computers vorhanden sind. Ausführbare Dateien oder Skriptinhalte an Netzwerkspeicherorten oder auf entfernbaren Medien wie CDs oder DVDROMs gelten automatisch als nicht vertrauenswürdig und ihre Ausführung wird sofort unterbunden. Jede Anwendung, deren Ausführung durch einen Benutzer möglich sein soll, muss explizit zur Positivliste der Application Control-Konfiguration hinzugefügt werden. Dabei ist der vollständige UNC-Pfad zur jeweiligen ausführbaren Datei anzugeben. Es besteht die Möglichkeit, bei Bedarf optional die Prüfung auf vertrauenswürdigen Besitz für bestimmte Elemente zu deaktivieren oder die Datei während der Laufzeit mithilfe einer SHA-1-, SHA-256- oder Alder-32-Signatur zu überprüfen. Es hat sich bewährt, die Prüfung anhand von digitalen Signaturen für diejenigen Anwendungen durchzuführen, die sich in Netzwerken oder auf entfernbaren Medien befinden, da diese Dateien in der Regel außerhalb des Einflussbereichs des für die Endpunkte des Unternehmens zuständigen Administrators liegen.

Die Prüfung auf vertrauenswürdigen Besitz empfiehlt sich für Entwicklungs- und Testumgebungen, in denen Benutzer regelmäßig unterschiedliche Versionen von Anwendungen und Skriptinhalten des Unternehmens installieren und testen. Durch Signieren der gewünschten ausführbaren Dateien mit einem digitalen Zertifikat lässt sich die Prüfung auf vertrauenswürdigen Besitz so konfigurieren, dass alle signierten Komponenten nach Bedarf ausgeführt werden.

Schließlich sollten Sie noch eine Negativliste anlegen, um den Zugriff bestimmter Benutzer auf Anwendungen zu verhindern, die in der Regel von vertrauenswürdigen Besitzern installiert werden und sich folglich in deren Besitz befinden. Dazu gehören Teile des Betriebssystems wie etwa Tools zum Bearbeiten der Registrierung oder Freigeben von Dateien sowie der Zugriff auf Komponenten der Systemsteuerung. Bei Verwendung zusammen mit Positivlisten und der Funktion für Anwendungslimits kann die Negativliste auch zur Verwaltung von Anwendungslizenzen genutzt werden.

Vertrauenswürdiger Besitz

Das folgende Video bietet eine Einführung in die Konzepte von vertrauenswürdigem Besitz:

Vertrauenswürdiger Besitz – Weshalb? Was? Wie?

Application Control verwendet sichere Filtertreiber und Microsoft NTFS-Sicherheitsrichtlinien, um sämtliche Ausführungsanforderungen abzufangen. Ausführungsanforderungen durchlaufen den Application Control Hook und alle unerwünschten Anwendungen werden gesperrt. Die Anwendungsberechtigung basiert auf dem Besitz der Anwendung, wobei Administratoren in der Regel standardmäßig als vertrauenswürdige Besitzer gelten. Bei Verwendung dieser Methode wird die aktuelle Richtlinie für den Zugriff auf eine Anwendung durchgesetzt, ohne dass Skripte erstellt oder Listen verwaltet werden müssen. Dies wird als vertrauenswürdiger Besitz bezeichnet. Zusätzlich zu ausführbaren Dateien verwaltet Application Control auch die Berechtigungen für Anwendungsinhalte wie VBScripts, Batchdateien, MSI-Pakete und Konfigurationsdateien für die Registrierung.

Application Control bietet nur Unterstützung für PowerShell ab Version 2.0 und muss am Endpunkt installiert werden. Siehe auch Skriptbasierte Bedingungen.

Vertrauenswürdiger Besitz ist die Standardmethode zum Steuern des Zugriffs auf Anwendungen in Application Control. Dabei kommt das DAC-Modell zum Einsatz (Discretionary Access Control). Das Modell untersucht das Besitzerattribut der Datei und vergleicht es mit einer vordefinierten Liste vertrauenswürdiger Besitzer. Ist der Besitzer der Datei in der Liste enthalten, wird die Ausführung der Datei gewährt, anderenfalls verweigert. Die Entscheidung wird unabhängig vom eigentlichen Benutzer getroffen, der versucht, die Datei auszuführen.

Ein wichtiges Merkmal dieser Sicherheitsmethode ist die Möglichkeit, den Inhalt der Datei an sich unberücksichtigt zu lassen. Dadurch ist Application Control in der Lage, bekannte und unbekannte Anwendungen zu kontrollieren. Herkömmliche Sicherheitssysteme, wie Virenschutzanwendungen, vergleichen Dateimuster mit denen, die in einer Liste bekannter Muster aufgeführt sind, um potenzielle Bedrohungen zu identifizieren. Der damit gebotene Schutz ist folglich direkt proportional zur Genauigkeit der für den Vergleich herangezogenen Liste. Ein Großteil der Schadsoftware wird nie oder bestenfalls erst nach einer gewissen Zeit identifiziert, während die Systeme weiterhin anfällig sind. Application Control lässt standardmäßig die Ausführung ALLER lokal installierten ausführbaren Inhalte zu, VORAUSGESETZT, der Besitzer der ausführbaren Datei ist in der konfigurierten Liste der vertrauenswürdigen Besitzer aufgeführt. Der Administrator muss dann eine Liste der Anwendungen bereitstellen, die nicht vom Subsystem der lokalen Festplatte ausgeführt werden sollen. Dies sind in der Regel administrative Anwendungen wie mmc.exe, eventvwr.exe, setup.exe usw.

Bei diesem Ansatz muss der Administrator nicht alle Details zum Ausführungscode kennen, der für die Funktionsfähigkeit des Anwendungssatzes erforderlich ist, da das Modell des vertrauenswürdigen Besitzes den Zugriff entsprechend zulässt oder verweigert.

Wenngleich Application Control in der Lage ist, jedes auf Malware basierende ausführbare Skript zu stoppen, sobald es in ein System eingeschleust wurde, sollte Application Control nicht als Ersatz für bestehende Tools zum Entfernen von Malware verstanden werden, sondern vielmehr als ergänzende, parallel vorhandene Technologie. Obwohl also Application Control beispielsweise in der Lage ist, die Ausführung eines Virus zu stoppen, kann die Lösung den Virus nicht von der Festplatte entfernen.

Application Control und vertrauenswürdiger Besitz

Application Control verwaltet eine Liste der vertrauenswürdigen Besitzer, die im Dialogfeld "Vertrauenswürdige Besitzer" definiert wird. Dieses Dialogfeld wird über das Menüband "Globale Einstellungen" aufgerufen.

Benutzer und Gruppen können je nach Bedarf gelöscht oder hinzugefügt werden.

Sie können nicht alle vertrauenswürdigen Besitzer entfernen. Dies würde dazu führen, dass keine Anwendung des Systems als vertrauenswürdig gilt. Standardbenutzer könnten gar keine Anwendungen mehr ausführen.

Im NTFS-System kann eine Datei einem Benutzer oder einer Gruppe gehören, daher können sowohl ein Benutzer als auch eine Gruppe hinzugefügt werden. Bei der Prüfung auf vertrauenswürdigen Besitz wird die Systemkennung (SID) des Dateibesitzers bestimmt und mit der Liste der SIDs in der Konfiguration der vertrauenswürdigen Besitzer abgeglichen. Application Control bewertet keine Gruppe und bestimmt auch nicht die Benutzer einer Gruppe. Dadurch wird sichergestellt, dass Application Control auch dann ordnungsgemäß funktioniert, wenn die Computer nicht mit dem Netzwerk verbunden und diese Informationen nicht verfügbar sind.

Im Dialogfeld "Vertrauenswürdige Besitzer" gibt es zwei Optionen:

Prüfung auf vertrauenswürdigen Besitz aktivieren – Wählen Sie diese Option aus, um die Prüfung auf vertrauenswürdigen Besitz einzuschalten. Wird diese Option nicht aktiviert, führt Application Control keine Prüfung auf vertrauenswürdigen Besitz durch und es müssen andere Sicherheitsmethoden konfiguriert werden, um die gewünschte Sicherheit zu gewährleisten.
Dateibesitzer bei Überschreibung oder Umbenennung der Datei ändern – Die Standardeinstellung bestimmter Betriebssysteme sieht vor, den Dateibesitzer beizubehalten, wenn die Datei überschrieben oder umbenannt wird. Dies kann insofern als Sicherheitslücke betrachtet werden, als NTFS-Berechtigungen ggf. zulassen, dass ein Benutzer eine legitimierte Datei mit einer Datei überschreibt, die anderenfalls blockiert werden würde. Wählen Sie diese Option aus, damit bei derartiger Handhabung einer legitimierten Datei der Besitz der Datei auf den betreffenden Benutzer übergeht und die Funktion "Vertrauenswürdiger Besitz" die Ausführung der Datei verhindert.

Regel für vertrauenswürdigen Besitz

Beim Modell "Vertrauenswürdiger Besitz" kommt es nicht unbedingt auf den angemeldeten Benutzer an. Es spielt keine Rolle, ob der angemeldete Benutzer ein vertrauenswürdiger Besitzer oder Administrator ist oder nicht. Beim vertrauenswürdigen Besitz geht es darum, welcher Benutzer (oder welche Gruppe) eine Datei oder eine Festplatte besitzt. Dies ist in der Regel der Benutzer, der die Datei erstellt hat.

Meist wird die Gruppe BUILTIN\Administrators in der Application Control-Konsole als Dateibesitzer angezeigt. Der Dateibesitzer kann aber auch das Konto eines einzelnen Administrators sein. Dies führt zu folgenden Situationen:

Besitzer der Datei ist die Gruppe "BUILTINAdministrators", welche als vertrauenswürdiger Besitzer gilt. Das Modell für vertrauenswürdigen Besitz lässt die Ausführung der Datei zu.
Der Dateibesitzer ist ein einzelner Administrator und dieser ist ein vertrauenswürdiger Besitzer. Das Modell für vertrauenswürdigen Besitz lässt die Ausführung der Datei zu.
Besitzer der Datei ist ein einzelner Administrator, der kein vertrauenswürdiger Besitzer ist, jedoch gilt die Gruppe "BUILTIN/Administrators" als vertrauenswürdiger Besitzer. Das Modell für vertrauenswürdigen Besitz lässt die Ausführung der Datei nicht zu.

Im letzten Fall gilt der Dateibesitzer als nicht vertrauenswürdig, obwohl der Administrator, der die Datei besitzt, der Gruppe "BUILTIN/Administrators" angehört. Die Gruppe wird nicht erweitert, um zu ermitteln, ob der einzelne Besitzer vertrauenswürdig ist. Damit die Datei ausgeführt werden kann, müsste der Dateibesitz in dem Fall in "BUILTIN/Administrators" geändert werden.

Vertrauenswürdige Anbieter

Vertrauenswürdige Anbieter können in jedem Application Control-Regelknoten angegeben werden. Vertrauenswürdige Anbieter werden zum Aufführen gültiger digitaler Zertifikate verwendet. Ein digitales Zertifikat ist ein elektronisches Dokument, das mithilfe einer digitalen Signatur einen öffentlichen Schlüssel mit einer Identität verknüpft. Dazu gehören Informationen wie der Name einer Person oder eines Unternehmens, die Adresse usw.Digitale Zertifikate werden von einer Zertifizierungsstelle herausgegeben. Sie verifizieren, ob ein öffentlicher Schlüssel zu einer bestimmten Person gehört. Application Control führt vor jeder Dateiausführung eine Abfrage durch, um festzustellen, ob ein digitales Zertifikat vorhanden ist. Verfügt die Datei über ein gültiges digitales Zertifikat und stimmt der Signierende mit einem Eintrag in der Liste der vertrauenswürdigen Anbieter überein, ist die Ausführung der Datei zulässig. Die Prüfung auf vertrauensvollen Besitz wird übersteuert.

Im Dialogfeld "Eigenschaften" können Sie überprüfen, ob eine Datei über ein digitales Zertifikat verfügt. Eine Datei verfügt dann über ein digitales Zertifikat, wenn die Registerkarte "Digitale Signaturen" angezeigt wird, aus der Details zum Zertifikat hervorgehen. Dazu gehören etwa Informationen zum Signierenden, erweiterte Einstellungen und eine Option zum Anzeigen des Zertifikats.

Weitere Informationen finden Sie unter Hinzufügen eines Zertifikats zu einem vertrauenswürdigen Anbieter.

Digitale Signaturen

Digitale Signaturen bieten eine genaue Methode zum Identifizieren einer Datei anhand des tatsächlichen Inhalts der Datei. Jede Datei wird untersucht. Je nach Inhalt wird ein digitaler Hash erzeugt, der mit einem Fingerabdruck verknüpft werden kann. Application Control verwendet die Industriestandard-Hashes SHA-1, SHA256 und Adler-32. Wird die Datei in irgendeiner Form verändert, ändert sich auch der SHA-1-Hash.

Weitere Algorithmen können aus den Dropdownmenü des Dialogfelds "Erweiterte Einstellungen" ausgewählt werden.

Digitales Hashing gilt aufgrund seiner Genauigkeit als ultimative Sicherheitsmethode. Es identifiziert jede Datei unabhängig von allen anderen Faktoren, die nicht die Datei selbst betreffen. Beispiel: Ein Administrator erstellt einen digitalen Hash für alle ausführbaren Dateien auf einem Computersystem und erfasst diese. Anschließend versucht ein Benutzer, eine Anwendung auszuführen. Der digitale Hash der Anwendung wird berechnet und mit den erfassten Werten verglichen. Bei Übereinstimmung darf die Anwendung ausgeführt werden, anderenfalls wird die Ausführung verweigert. Diese Methodologie bietet außerdem Zero-Day-Protection, da nicht nur keine neuen Anwendungen eindringen können, sondern auch mit Malware infizierte Anwendungen gesperrt werden.

Wenngleich digitale Signaturen einen ähnlichen Schutz bieten wie vertrauenswürdiger Besitz, sollten Sie auch den Zeit- und Verwaltungsaufwand berücksichtigen, der mit dem Warten der implementierten Sicherheitssysteme einhergeht. Anwendungen werden kontinuierlich mit Servicepacks, Bugfixes und Schwachstellenpatches aktualisiert. Das bedeutet, dass alle damit verbundenen Dateien ebenfalls kontinuierlich aktualisiert werden. Wenn beispielsweise ein Servicepack auf Microsoft Office angewendet wird, müssen neue digitale Hash-Werte der aktualisierten Dateien ermittelt werden, damit die aktualisierten Bereiche funktionieren. Stellen Sie sicher, dass diese dann verfügbar sind, wenn die Aktualisierung verfügbar ist, um Ausfallzeiten zu vermeiden. Es wird empfohlen, zusätzlich die alten Signaturen zu entfernen.

Signaturassistent

Application Control verfügt über einen Signaturassistenten, mit dem Sie digitale Signaturen auf eine einzelne Datei oder eine Gruppe anwenden können. Digitale Signaturen können auf zweierlei Art gruppiert werden: entweder durch Scannen der Ordner und Unterordner oder durch Untersuchen eines laufenden Prozesses.

Der Signaturassistent wird über das Menüband "Gruppen" aufgerufen. Wählen Sie dazu eine Gruppe unter dem Knoten Bibliothek > Gruppenverwaltung aus.

Mithilfe der Option Ordner durchsuchen des Signaturassistenten werden alle ausführbaren und skriptbasierten Dateien im ausgewählten Ordner gescannt und automatisch die digitalen Hash-Werte berechnet. Mithilfe der Option Laufenden Prozess untersuchen können Sie einen derzeit laufenden Prozess auswählen. Es werden der Prozess sowie alle derzeit geladenen ausführbaren Dateien gescannt und die digitalen Hash-Werte berechnet.

Falls eine Datei gefunden wird, deren Signatur bereits berechnet wurde, wird durch eine entsprechende Benachrichtigung auf das Duplikat hingewiesen. In einer Konfiguration werden keine doppelten Hashes benötigt. Falls die Dateien etwa durch ein Servicepack aktualisiert wurden, können Sie die Signaturdateigruppe auswählen und einen neuen Scan initiieren. Alle digitalen Signaturen werden automatisch aktualisiert und die neue Konfiguration kann bereitgestellt werden.

Whitelists

Der Positivlistenansatz verlangt, dass jedes Element des ausführbaren Inhalts vordefiniert sein muss, bevor der Benutzer die Anwendung auf dem Betriebssystem anfordert. Die Details zu dem auf diese Weise identifizierten Inhalt werden in einer Positivliste verwaltet. Diese Liste muss bei jeder Ausführungsanforderung überprüft werden. Befindet sich die ausführbare Datei in der Liste, ist sie zulässig, anderenfalls wird sie verweigert.

Eine kleine Anzahl von Sicherheitstechnologien funktioniert auf diese Art und Weise. Häufig gibt es jedoch nach der Implementierung Probleme mit der erforderlichen Administrationsstufe. Dies ist durch die Notwendigkeit bedingt, alle Patches, Servicepacks und Upgrades zur Positivliste hinzuzufügen und zu warten.

Application Control bietet vollständige Unterstützung für dieses Kontrollmodell und ergänzt es um wichtige Schritte, die dem Modell zusätzlich Sicherheit verleihen. Eine dieser Neuerungen ist die Möglichkeit zum Einschließen digitaler SHA-1-, SHA-256- und Adler-32-Signaturen. Dies bewirkt, dass nicht nur Anwendungsname und Dateipfad übereinstimmen müssen, auch die digitale Signatur einer ausführbaren Datei muss mit der in einer Datenbank hinterlegten Signatur übereinstimmen. Darüber hinaus fügt Application Control den vollständigen Pfad der ausführbaren Datei zur Liste hinzu, um sicherzustellen, dass alle drei Elemente übereinstimmen, bevor die Anwendung ausgeführt wird:

Dateiname, z. B. winword.exe

Dateipfad, z. B. C:\Programme\Microsoft Office\Office\digital signature

Mit Application Control profitiert die Technologie von einer weiteren Kontrollphase. Die Lösung berücksichtigt nicht nur die Details der ausführbaren Dateien, sondern verlangt, dass der Administrator bestimmte DLLs sowie weiteren ausführbaren Inhalt angibt, wie ActiveX-Steuerelemente, Visual Basic-Skripte und Befehlsskripte.

In Application Control gelten Positivlisten als zulässige Elemente. Zu den zulässigen Elementen gehören:

Dateien
Ordner
Laufwerke
Signaturelemente
Netzwerkverbindungselemente
Windows Store Apps
Gruppen
Vertrauenswürdiger Besitz
Zugriffszeiten

Weitere Informationen finden Sie unter Zulässige Elemente und Regelelemente.

Negativlisten

Im Gegensatz zu Positivlisten sind Negativlisten eine relativ schwache Sicherheitsmaßnahme. Es wird eine Liste generiert und verwaltet, in der die Anwendungen enthalten sind, deren Ausführung verweigert werden soll. Dies ist die wesentliche Schwachstelle dieser Methode, denn es wird grundsätzlich davon ausgegangen, dass alle gefährlichen Anwendungen bekannt sind. Diese Methode ist in den meisten Unternehmen nicht zweckmäßig, insbesondere wenn E-Mail- und Internetzugang vorhanden sind bzw. wenn der Benutzer Dateien und Anwendungen ohne Eingreifen des Administrators einführen kann.

Application Control ist nicht darauf angewiesen, eine Liste mit verweigerten Anwendungen aktiv zu verwalten, da jede Anwendung, die nicht installiert ist und daher im Besitz des Administrators steht, durch das Modell für vertrauenswürdigen Besitz verweigert wird.

Einer der Hauptgründe, Anwendungen über eine Negativliste zu unterbinden, ist die Aktivierung von vertrauenswürdigem Besitz für Zwecke der Lizenzverwaltung. Dabei wird die Ausführung selbst von bekannten Anwendungen (die also als vertrauenswürdig gelten und jemandem gehören) solange verboten, bis der Administrator den Zugriff auf diese Anwendung explizit erlaubt, indem er eine bestimmte Benutzer-/Gruppen- oder Clientregel definiert. Für diesen Schutz ist keine Konfiguration erforderlich, außer um eine externe Anwendung zuzulassen. Eine Negativliste bietet sich außerdem an, um den Zugriff auf Dateien zu verweigern, die zwar vertrauenswürdigen Besitzern gehören, jedoch potenzielle Sicherheitsrisiken bergen. Dazu gehören etwa regedit.exe, ftp.exe usw.