SandyB 9 Geschrieben 17. Mai 2020 Melden Geschrieben 17. Mai 2020 Ich wollte mal fragen, wie ihr das Thema "Application Whitelisting" unter Windows 2016 und Windows 10 seht und anwendet? Sind die integrierten Windows Mechanismen auch für größere sicherheitskritische Umgebungen brauchbar und nicht allzu einfach zu umgehen? Oder sind Drittherstellertools anzuraten? Danke SandyB Zitieren
MurdocX 965 Geschrieben 17. Mai 2020 Melden Geschrieben 17. Mai 2020 Also mit Applocker erschlägst du wirklich viel, denn es kommt erst garnicht zur Ausführung der Anwendung. Das halte ich für sehr sinnvoll. 1 Zitieren
Sunny61 816 Geschrieben 17. Mai 2020 Melden Geschrieben 17. Mai 2020 (bearbeitet) Was möchtest Du denn wissen? Der Applocker arbeitet als Black- und White List ganz wunderbar. EDIT: Und wenn es kein Education oder Enterprise als Clients gibt, dann kann man mit Software Restriction Policies auch sehr viel erreichen. bearbeitet 17. Mai 2020 von Sunny61 1 Zitieren
testperson 1.758 Geschrieben 17. Mai 2020 Melden Geschrieben 17. Mai 2020 (bearbeitet) Hi, man sollte sich halt regelmäßig mit den entsprechenden AppLocker Bypasses auseinandersetzen und diese ebenfalls blocken: https://oddvar.moe/2017/12/13/applocker-case-study-how-insecure-is-it-really-part-1/ https://oddvar.moe/2017/12/21/applocker-case-study-how-insecure-is-it-really-part-2/ https://oddvar.moe/2017/12/13/harden-windows-with-applocker-based-on-case-study-part-1/ https://oddvar.moe/2017/12/21/harden-windows-with-applocker-based-on-case-study-part-2/ Bzw.: https://github.com/api0cradle/UltimateAppLockerByPassList Gruß Jan bearbeitet 17. Mai 2020 von testperson Zitieren
SandyB 9 Geschrieben 17. Mai 2020 Autor Melden Geschrieben 17. Mai 2020 (bearbeitet) Ich lese mich momentan in das Thema ein. Man findet einige negative Berichte über die Managebarkeit und Überwindbarkeit zumindest des Applockers und das sogar von einem Microsoft MVP (Oddvar Moe) selbst https://oddvar.moe/2018/05/14/real-whitelisting-attempt-using-applocker/ https://github.com/milkdevil/UltimateAppLockerByPassList Für mich stellt sich die Frage, ob man eine solche Lösung dem Management vorschlagen kann oder ggf. lieber auf einen Dritthersteller ausweicht. An der Technik ansich gibt es keinen Zweifel. bearbeitet 18. Mai 2020 von SandyB Zitieren
daabm 1.386 Geschrieben 17. Mai 2020 Melden Geschrieben 17. Mai 2020 Alles vermutlich wie immer eine Geldfrage - aber das Whitelisting "überhaupt" mal an den Start zu kriegen, ist schon ein riesen Schritt. Und die Bypasses sind - auf den ersten Blick - ja auch nur löchrige Default Rules. Für die Verified ones gibt es keinen Grund, das für Nicht-Administratoren nicht einfach zu sperren. Zitieren
Sunny61 816 Geschrieben 18. Mai 2020 Melden Geschrieben 18. Mai 2020 Grndsätzlich bleibe ich lieber beim Hersteller, bei einem 3rd Party Produkt habe ich im Fall des Falles zwei Anbieter, die sich gegenseitig die Schuld zuschieben. Vorschlagen muss man das heutzutage dem Management, es ist genügend Mist in den Benutzerprofilen abgelegt, von dem man nichts weiß. Mit der Aktivierung der Standardregeln taucht genug auf, und das sehr schnell. ;) Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.