Zurück

Workshop / GePenar: Applocker - Sicherheitslücken umgehen und beheben

04.03.2026 | Autor: Mark Heitbrink

Termin ist in Planung

Dauer: ca 1 Tag
Kosten: 890,00 EUR netto pro Teilnehmer
Mindestteilnehmerzahl: 2 Personen  
Anmeldung:  Formular Anmeldung Schulungen

Im Kampf gegen Ransomeware ist jede eingesetzte Antivirus Lösung mit ihrer Erkennung von Angriffen immer zu spät.
Der Angriff findet längst statt. Die Datei, das Skript wird ausgeführt. Die Hoffnung ist, daß die integrierte und vor allem teuer bezahlte Lösung den Schaden abwendet und die Ausführung stoppt.
Die lokale oder auch cloudbasierte Lösung ist wie ein Airbag im Auto. Der Crash findet statt, der Airbag wird ausgelöst und verhindert Schlimmeres.

Die Frage die man sich stellen muss, ist: 
Wäre es nicht besser den Crash zu verhindern, anstelle darauf zu hoffen, daß der Airbag funktioniert? Keiner möchte auf den Airbag verzichten, er stellt einen wichtigen Teil des Sicherheitskonzepts im Auto dar. Man sollte ihn auf keinen Fall benutzen wollen. Eine Software oder ein Skript das nicht ausgeführt werden darf, kann keinen Airbag auslösen. Simple as that.
Die Administratoren delegieren zu viel Kontrolle und Verantwortung an ein Werkzeug, das ebenfalls immer wieder in den diversen CVEs genannt wird, unabhängig vom Hersteller.
Wer die auszuführende/n Software und Skripte kontrolliert bekommt die Kontrolle und die Hoheit über die Systeme zurück.

Eine Grundsatzlösung muss her: Software Allowlisting.

Inhalt und Ziel des Online GePenars:
- Erste Schritte zur Integration von Applocker
- Aktivierung der Standard Regeln
- Monitoring von Applocker
- Windows Remote Management (WinRM) aktivieren und Windows Event Forwarding (WEF) einrichten
- Regellogik und Regelerstellung
    - Bessere Regeln: Vertrauen ins OS vs 100% Allowlisting
    - Antwort auf die Frage: Wie granular muss ein Regelwerk sein?
    - Pauschalregeln für sichere Pfade und Vertrauenswürdige Herausgeber
    - Selfsigned Certificate als Lösung verstehen
- Korrektur der Sicherheitslücken im Standardregelwerk
    - Bekannte Angriffe gegen Applocker
    - Vervollständigung der Ausnahme Liste (Exceptions)
- Schutz der Admininstrativen Konten mit Applocker

An wen richtet sich das Gepenar:
- Administratoren, die ihre Systeme administrieren möchten
- Administratoren, die das Recht haben eine Gruppenrichtlinie zu editieren

Die gezeigten Techniken und Logiken lassen sich von Applocker auch für Application Control for Business (aka WDAC) übertragen. Da ich meine Systeme mit Gruppenrichtlinien verwalte, ist Applocker das erste Mittel der Wahl, zudem ist es in jedem AD ein vorhandes Werkzeug. Für WDAG benötigt es Intunes, was nicht in seinem Online Kontingent bezahlt hat.

A brief history of time:
Microsoft bietet 3 Werkzeuge, die historisch aufeinander folgten: 
- Software Restriction Policies, eingeführt 2004 mit XPSP2
- Applocker kam 2007 mit Vista und war zunächst ein Enterprise Feature. Seit Monatsupdate Oktober 2022 ist es in auch in der Professional Edition verfügbar
- Application Control for Windows, eingeführt 2017 mit Windows 10 1709. Das Feature hat technisch wenig Veränderung erfahren, dafür aber den Namen häufig gewechselt. Device Guard aka Windows Defender Application Control aka Microsoft Defender Application Control aka App Control for Business.

 

Ähnliche Artikel

03.02.2026 Anstehende Workshops und Veranstaltungen
21.11.2023 Workshop - Active Directory
19.09.2023 Workshop - Gruppenrichtlinien
21.09.2022 Workshop Ransomware mit Boardmitteln verhindern