Windows 7 - AppLocker

[DeniseM 10]

Hi Julia,

 

gut ins neue Jahr gerutscht? Ich wünsche Dir viel Erfolg und Gesundheit.

 

Und dass Du nicht nur Win7, sondern gleich die prof-Lizenzen bestellt hast, hast Du sehr gut gemacht.

 

Damit verfügt Eure IT-Compliance jetzt nämlich über den AppLocker. Den Damen und Herren ist es nämlich ausgesprochen wichtig, dass auf Euren Rechnern keine unerlaubten, oder sogar Schad-Programme laufen. Das haben sie bisher versucht mühselig über Blacklists zu gewährleisten. Es ist aber ziemlich unmöglich .-> alle Schadprogramme zu blacklisten. Das war für die IT-Compliance immer ein erhebliches Problem.

 

Der neue AppLocker geht einfach den umgekehrten Weg. Er verbietet alle Programme, außer denen, die in einer Whitelist erfasst sind. Und die erlaubten Programme kann jede IT-Compliance recht schnell aufzählen :-)

 

Ein prima Tool, das zu wirklich hoher Sicherheit über eine genial einfache Idee führt. Ich frage mich, warum da nicht schon eher jemand drauf gekomen ist.

 

Viele Grüße,

 

Denise

[DeniseM 10]

Hi Julia, da fällt mir glatt noch etwas ein. Natürlich war es bisher möglich mit Group Policy Objects zu arbeiten, aber die waren gar nicht so einfach zu definieren. Und mit ihnen alles abzugreifen war schlichtweg unmöglich. Der AppLocker erlaubt auch Regeln. Und das Whitlisting von explizit genannten Programmen. Das ist wirklich einfach und vor allem wesentlich sicherer als Blacklisting.

Grüße,

Denise

[zahni 550]

Hallo DeniseM,

 

das hört sich interessant an. Mindestens seit Windows XP gibt es aber ein ähnliches Feature, genannt "Software Restriction Policy". Das kann man über eine Gruppenrichlinie konfiguriern. Wir haben das in unserer Fa. erfolgreich im Einsatz.

Edit: Und wir machen das auch über "White Listing" mit Pfadregeln.

 

Mich (und vielleicht auch Julia) würde nun interessieren, was beim AppLocker neu und besser ist.

 

-Zahni

[DeniseM 10]

Hallo Zahni,

 

sag ich doch oben, mit den Software Restriction Policies kannst Du nie alles abdecken. Außerdem brauchst Du für Ihre Anwendung gute Fachkenntnisse. Es ist zudem wirklich schwer, eine angemessene Balance zwischen einem hohen Sicherheitslevel und Flexibilität, Effizienz sowie einfacher Systempflege zu finden. Deshalb stellen viele Firmen zunächst mal alle Regeln auf "erlaubt" und lassen dann alle Anwendungen unkontrolliert hin und her kommunizieren. Wenn Ihr natürlich entsprechend gute Admin habt, dann können die schon mit den bisherigen Mitteln eine sehr hohe Sicherheit aufbauen. Fraglos.

 

Der AppLocker macht das alles jedoch viel einfacher, bei gleichzeitig wesentlich höherer Sicherheit. Sobald über ihn eine einzige Software erlaubt ist, sind automatisch alle anderen blockiert. Und es ist doch - wie schon gesagt - viel leichter die erlaubte Software zu identifizieren, als alle unzulässigen oder sogar schädlichen Programme, die es so auf der weiten Welt gibt zu identifizieren, zu benennen, oder in Regeln zu fassen.

 

Und wenn Euer Admin einmal übersieht ein "gutes" Prog frei zu geben - kein Problem. Der Anwender bekommt beim Softwarestart die Meldung, dass sein Prog per Gruppenrichtlinie gesperrt ist. Wenn er es trotzdem will wird er sich zwangsläufig an seinen Admin, oder die IT-Hotline wenden und der Admin kann dann in Ruhe entscheiden ob er es zulassen kann, oder besser weiter blockiert lässt.

 

Wenn das keine Vereinfachung ist!

 

Grüße,

 

Denise

[JoNo 11]

Hallo

 

Seit wann gibts es denn Applocker bei Win7pro? In Which versions of Windows 7 is AppLocker available? sagt Andreas Stenhall [stenis] MVP ", AppLocker is only available in Enterprise and Ultimate"

 

Ciao