Wissenswertes über die Kontrolle ausführbarer Dateien

In diesem Abschnitt werden folgende Themen behandelt:

Vertrauenswürdiger Besitz
Sicherheitsstufen
Zulässige und verweigerte Elemente

Vertrauenswürdiger Besitz

Beim Abgleichen der Regeln wird die Prüfung auf vertrauenswürdigen Besitz auf Dateien und Ordner angewendet. Dadurch soll sichergestellt werden, dass der Besitz der Elemente mit der Liste der vertrauenswürdigen Besitzer übereinstimmt, die in der Standardregelkonfiguration festgelegt wurde.

Beispiel: Wird ein Abgleich zwischen der auszuführenden Datei und einem zulässigen Element durchgeführt, wird durch eine zusätzliche Sicherheitsprüfung sichergestellt, dass der Dateibesitz auch mit der Liste der vertrauenswürdigen Besitzer abgeglichen wird. Wurde eine echte Datei manipuliert oder wurde eine Datei, die eine Sicherheitsbedrohung darstellt, umbenannt, damit sie für eine zulässige Datei gehalten wird, wird diese Irregularität durch die Prüfung auf vertrauenswürdigen Besitz identifiziert und die Ausführung der Datei wird verhindert.

Netzwerkordner/-freigaben werden standardmäßig verweigert. Befindet sich die Datei also in einem Netzwerkordner, muss die Datei oder der Ordner als zulässiges Element zur Regel hinzugefügt werden. Anderenfalls verhindert die Regel den Zugriff, auch wenn die Datei die Prüfung auf vertrauenswürdigen Besitz besteht.

Die Prüfung auf vertrauenswürdigen Besitz ist bei Elementen mit Dateisignaturen nicht erforderlich, da diese nicht imitiert werden können.

Folgende Besitzer gelten standardmäßig als vertrauenswürdig:

SYSTEM
BUILTIN\Administrators
%ComputerName%\Administrator
NT Service\TrustedInstaller

Das bedeutet, dass Application Control standardmäßig Dateien vertraut, die der Gruppe BUILTIN\Administrators und dem lokalen Administrator gehören. Application Control führt keine Gruppensuchen nach vertrauenswürdigen Besitzern durch. Benutzern, die Mitglied der Gruppe BUILTIN\Administrators sind, wird NICHT standardmäßig vertraut. Andere Benutzer müssen, selbst wenn sie der Gruppe der Administratoren angehören, explizit hinzugefügt werden, um als vertrauenswürdige Besitzer zu gelten. Sie können die obige Liste um weitere Benutzer oder Gruppen erweitern.

Technologie

Application Control verwendet sichere Filtertreiber und Microsoft NTFS-Sicherheitsrichtlinien, um sämtliche Ausführungsanforderungen abzufangen. Ausführungsanforderungen durchlaufen den Application Control Hook und alle unerwünschten Anwendungen werden gesperrt. Die Anwendungsberechtigung basiert auf dem Besitz der Anwendung, wobei Administratoren in der Regel standardmäßig als vertrauenswürdige Besitzer gelten. Bei Verwendung dieser Methode wird die aktuelle Richtlinie für den Zugriff auf eine Anwendung durchgesetzt, ohne dass Skripte erstellt oder Listen verwaltet werden müssen. Dies wird als vertrauenswürdiger Besitz bezeichnet. Zusätzlich zu ausführbaren Dateien verwaltet Application Control auch die Berechtigungen für Anwendungsinhalte wie VBScripts, Batchdateien, MSI-Pakete und Konfigurationsdateien für die Registrierung.

Vertrauenswürdiger Besitz ist die Standardmethode zum Steuern des Zugriffs auf Anwendungen in Application Control. Dabei kommt das DAC-Modell zum Einsatz (Discretionary Access Control). Das Modell untersucht das Besitzerattribut der Datei und vergleicht es mit einer vordefinierten Liste vertrauenswürdiger Besitzer. Ist der Besitzer der Datei in der Liste enthalten, wird die Ausführung der Datei gewährt, anderenfalls verweigert.

Ein wichtiges Merkmal dieser Sicherheitsmethode ist die Möglichkeit, den Inhalt der Datei an sich unberücksichtigt zu lassen. Dadurch ist Application Control in der Lage, bekannte und unbekannte Anwendungen zu kontrollieren. Herkömmliche Sicherheitssysteme, wie Virenschutzanwendungen, vergleichen Dateimuster mit denen, die in einer Liste bekannter Muster aufgeführt sind, um potenzielle Bedrohungen zu identifizieren. Der damit gebotene Schutz ist folglich direkt proportional zur Genauigkeit der für den Vergleich herangezogenen Liste. Ein Großteil der Schadsoftware wird nie oder bestenfalls erst nach einer gewissen Zeit identifiziert, während die Systeme weiterhin anfällig sind. lässt standardmäßig die Ausführung ALLER lokal installierten ausführbaren Inhalte zu, VORAUSGESETZT, der Besitzer der ausführbaren Datei ist in der konfigurierten Liste der vertrauenswürdigen Besitzer aufgeführt. Der Administrator muss dann eine Liste der Anwendungen bereitstellen, die nicht vom Subsystem der lokalen Festplatte ausgeführt werden sollen. Dies sind in der Regel administrative Anwendungen wie mmc.exe, eventvwr.exe, setup.exe usw.

Bei diesem Ansatz muss der Administrator nicht alle Details zum Ausführungscode kennen, der für die Funktionsfähigkeit des Anwendungssatzes erforderlich ist, da das Modell des vertrauenswürdigen Besitzes den Zugriff entsprechend zulässt oder verweigert.

Wenngleich Application Control in der Lage ist, jedes auf Malware basierende ausführbare Skript zu stoppen, sobald es in ein System eingeschleust wurde, sollte Application Control nicht als Ersatz für bestehende Tools zum Entfernen von Malware verstanden werden, sondern vielmehr als ergänzende, parallel vorhandene Technologie. Obwohl also Application Control beispielsweise in der Lage ist, die Ausführung eines Virus zu stoppen, kann die Lösung den Virus nicht von der Festplatte entfernen.

Regel für vertrauenswürdigen Besitz

Beim Modell "Vertrauenswürdiger Besitz" kommt es nicht unbedingt auf den angemeldeten Benutzer an. Es spielt keine Rolle, ob der angemeldete Benutzer ein vertrauenswürdiger Besitzer oder Administrator ist oder nicht. Beim vertrauenswürdigen Besitz geht es darum, welcher Benutzer (oder welche Gruppe) eine Datei oder eine Festplatte besitzt. Dies ist in der Regel der Benutzer, der die Datei erstellt hat.

Meist wird die Gruppe BUILTIN\Administrators in der Application Control-Konsole als Dateibesitzer angezeigt. Der Dateibesitzer kann aber auch das Konto eines einzelnen Administrators sein. Dies führt zu folgenden Situationen:

Der Dateibesitzer ist die Gruppe BUILTIN\Administrators und diese Gruppe ist ein vertrauenswürdiger Besitzer. Das Modell für vertrauenswürdigen Besitz lässt die Ausführung der Datei zu.
Der Dateibesitzer ist ein einzelner Administrator und dieser ist ein vertrauenswürdiger Besitzer. Das Modell für vertrauenswürdigen Besitz lässt die Ausführung der Datei zu.
Der Dateibesitzer ist ein einzelner Administrator und dieser ist kein vertrauenswürdiger Besitzer. Die Gruppe BUILTIN\Administrators ist jedoch ein vertrauenswürdiger Besitzer. Das Modell für vertrauenswürdigen Besitz lässt die Ausführung der Datei nicht zu.

Im letzten Fall ist der Administrator, der die Datei besitzt, zwar Mitglied der Gruppe BUILTIN\Administrators, der Dateibesitzer ist jedoch nicht vertrauenswürdig. Die Gruppe wird nicht erweitert, um zu ermitteln, ob der einzelne Besitzer vertrauenswürdig ist. Damit die Datei ausgeführt wird, müsste in diesem Fall der Besitzer der Datei vertrauenswürdig sein und beispielsweise eine Domäne oder ein lokaler Administrator sein.

Sicherheitsstufen

Application Control -Regeln ermöglichen Ihnen die Festlegung von Sicherheitsstufen. Damit können Sie angeben, wie Anforderungen zum Ausführen unerlaubter Anwendungen durch die Benutzer, Gruppen oder Geräte, die mit einer Regel übereinstimmen, gehandhabt werden.

Selbstautorisierung

In bestimmten Umgebungen müssen Benutzer neue ausführbare Dateien zu einem Computer hinzufügen können. Dies betrifft beispielsweise Entwickler, die interne Software regelmäßig aktualisieren oder testen, oder Poweruser, die Zugriff auf neue oder unbekannte Anwendungen benötigen. Mithilfe der Eigengenehmigung können benannte Poweruser Anwendungen ausführen, die sie in das System eingeführt haben. Diese Poweruser können Anwendungen zu einem gesicherten Endpunkt von außerhalb des Büros hinzufügen, ohne dabei vom IT-Support abhängig zu sein. Dadurch sind Entwicklungsteams, Poweruser und Administratoren flexibel beim Installieren und Testen der Software, während sie gleichzeitig von starkem Schutz vor Malware und bösartigen ausführbaren Dateien profitieren.

Jeder als selbstautorisierend konfigurierter Benutzer hat die Option, die Ausführung einer nicht vertrauenswürdigen ausführbaren Datei zu erlauben, sei es einmal, in jeder aktuellen Sitzung oder immer. Die umfassende Prüfung gibt unter anderem Aufschluss über Anwendungsname, Uhrzeit und Datum der Ausführung und Gerät. Darüber hinaus kann eine Kopie der Anwendung zentral zur Untersuchung gespeichert werden.

Zulässige und verweigerte Elemente

Zulässige Elemente

Der Zulassungslistenansatz verlangt, dass jedes Element des ausführbaren Inhalts vordefiniert sein muss, bevor der Benutzer die Anwendung auf dem Betriebssystem anfordert. Die Details zu dem auf diese Weise identifizierten Inhalt werden in einer Zulassungsliste verwaltet. Diese Liste muss bei jeder Ausführungsanforderung überprüft werden. Befindet sich die ausführbare Datei in der Liste, ist sie zulässig, anderenfalls wird sie verweigert.

Eine kleine Anzahl von Sicherheitstechnologien funktioniert auf diese Art und Weise. Häufig gibt es jedoch nach der Implementierung Probleme mit der erforderlichen Administrationsstufe. Dies liegt daran, dass alle Patches, Produktebenen und Upgrades zur Zulassungsliste hinzugefügt und verwaltet werden müssen.

Application Control bietet vollständige Unterstützung für dieses Kontrollmodell und ergänzt es um wichtige Schritte, die dem Modell zusätzlich Sicherheit verleihen. Eine dieser Neuerungen ist die Möglichkeit zum Einschließen digitaler SHA-1-, SHA-256- und Adler-32-Signaturen. Dies bewirkt, dass nicht nur Anwendungsname und Dateipfad übereinstimmen müssen, auch die digitale Signatur einer ausführbaren Datei muss mit der in einer Datenbank hinterlegten Signatur übereinstimmen. Darüber hinaus fügt Application Control den vollständigen Pfad der ausführbaren Datei zur Liste hinzu, um sicherzustellen, dass alle drei Elemente übereinstimmen, bevor die Anwendung ausgeführt wird:

Dateiname, z. B. winword.exe

Dateipfad, z. B. C:\Programme\Microsoft Office\Office\digital signature

Mit Application Control profitiert die Technologie von einer weiteren Kontrollphase. Die Lösung berücksichtigt nicht nur die Details der ausführbaren Dateien, sondern verlangt, dass der Administrator bestimmte DLLs sowie weiteren ausführbaren Inhalt angibt, wie ActiveX-Steuerelemente, Visual Basic-Skripte und Befehlsskripte.

In Application Control gelten Zulassungslisten als zulässige Elemente. Zu den zulässigen Elementen gehören:

Dateien
Ordner
Laufwerke
Datei-Hashes
Regelsammlungen

Verweigerte Elemente

Im Gegensatz zu Zulassungslisten sind Verweigerungslisten eine relativ schwache Sicherheitsmaßnahme. Es wird eine Liste generiert und verwaltet, in der die Anwendungen enthalten sind, deren Ausführung verweigert werden soll. Dies ist die wesentliche Schwachstelle dieser Methode, denn es wird grundsätzlich davon ausgegangen, dass alle gefährlichen Anwendungen bekannt sind. Diese Methode ist in den meisten Unternehmen nicht zweckmäßig, insbesondere wenn E-Mail- und Internetzugang vorhanden sind bzw. wenn der Benutzer Dateien und Anwendungen ohne Eingreifen des Administrators einführen kann.

Application Control ist nicht darauf angewiesen, eine Liste mit verweigerten Anwendungen aktiv zu verwalten, da jede Anwendung, die nicht installiert ist und daher im Besitz des Administrators steht, durch das Modell für vertrauenswürdigen Besitz verweigert wird.

Einer der Hauptgründe, Anwendungen über eine Verweigerungsliste zu unterbinden, ist die Aktivierung von vertrauenswürdigem Besitz für Zwecke der Lizenzverwaltung. Dabei wird die Ausführung selbst von bekannten Anwendungen (die also als vertrauenswürdig gelten und jemandem gehören) solange verboten, bis der Administrator den Zugriff auf diese Anwendung explizit erlaubt, indem er eine bestimmte Benutzer-/Gruppen- oder Clientregel definiert. Für diesen Schutz ist keine Konfiguration erforderlich, außer um eine externe Anwendung zuzulassen. Eine Verweigerungsliste bietet sich außerdem an, um den Zugriff auf Dateien zu verweigern, die zwar vertrauenswürdigen Besitzern gehören, jedoch potenzielle Sicherheitsrisiken bergen. Dazu gehören etwa regedit.exe, ftp.exe usw.