SandyB 9 Geschrieben 17. Mai 2020 Melden Teilen Geschrieben 17. Mai 2020 Ich wollte mal fragen, wie ihr das Thema "Application Whitelisting" unter Windows 2016 und Windows 10 seht und anwendet? Sind die integrierten Windows Mechanismen auch für größere sicherheitskritische Umgebungen brauchbar und nicht allzu einfach zu umgehen? Oder sind Drittherstellertools anzuraten? Danke SandyB Zitieren Link zu diesem Kommentar
MurdocX 953 Geschrieben 17. Mai 2020 Melden Teilen Geschrieben 17. Mai 2020 Also mit Applocker erschlägst du wirklich viel, denn es kommt erst garnicht zur Ausführung der Anwendung. Das halte ich für sehr sinnvoll. 1 Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 17. Mai 2020 Melden Teilen Geschrieben 17. Mai 2020 (bearbeitet) Was möchtest Du denn wissen? Der Applocker arbeitet als Black- und White List ganz wunderbar. EDIT: Und wenn es kein Education oder Enterprise als Clients gibt, dann kann man mit Software Restriction Policies auch sehr viel erreichen. bearbeitet 17. Mai 2020 von Sunny61 1 Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 17. Mai 2020 Melden Teilen Geschrieben 17. Mai 2020 (bearbeitet) Hi, man sollte sich halt regelmäßig mit den entsprechenden AppLocker Bypasses auseinandersetzen und diese ebenfalls blocken: https://oddvar.moe/2017/12/13/applocker-case-study-how-insecure-is-it-really-part-1/ https://oddvar.moe/2017/12/21/applocker-case-study-how-insecure-is-it-really-part-2/ https://oddvar.moe/2017/12/13/harden-windows-with-applocker-based-on-case-study-part-1/ https://oddvar.moe/2017/12/21/harden-windows-with-applocker-based-on-case-study-part-2/ Bzw.: https://github.com/api0cradle/UltimateAppLockerByPassList Gruß Jan bearbeitet 17. Mai 2020 von testperson Zitieren Link zu diesem Kommentar
SandyB 9 Geschrieben 17. Mai 2020 Autor Melden Teilen Geschrieben 17. Mai 2020 (bearbeitet) Ich lese mich momentan in das Thema ein. Man findet einige negative Berichte über die Managebarkeit und Überwindbarkeit zumindest des Applockers und das sogar von einem Microsoft MVP (Oddvar Moe) selbst https://oddvar.moe/2018/05/14/real-whitelisting-attempt-using-applocker/ https://github.com/milkdevil/UltimateAppLockerByPassList Für mich stellt sich die Frage, ob man eine solche Lösung dem Management vorschlagen kann oder ggf. lieber auf einen Dritthersteller ausweicht. An der Technik ansich gibt es keinen Zweifel. bearbeitet 18. Mai 2020 von SandyB Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 17. Mai 2020 Melden Teilen Geschrieben 17. Mai 2020 Alles vermutlich wie immer eine Geldfrage - aber das Whitelisting "überhaupt" mal an den Start zu kriegen, ist schon ein riesen Schritt. Und die Bypasses sind - auf den ersten Blick - ja auch nur löchrige Default Rules. Für die Verified ones gibt es keinen Grund, das für Nicht-Administratoren nicht einfach zu sperren. Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 18. Mai 2020 Melden Teilen Geschrieben 18. Mai 2020 Grndsätzlich bleibe ich lieber beim Hersteller, bei einem 3rd Party Produkt habe ich im Fall des Falles zwei Anbieter, die sich gegenseitig die Schuld zuschieben. Vorschlagen muss man das heutzutage dem Management, es ist genügend Mist in den Benutzerprofilen abgelegt, von dem man nichts weiß. Mit der Aktivierung der Standardregeln taucht genug auf, und das sehr schnell. ;) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.