Zentrale Sicherheitsfunktionen im neuen Microsoft-Betriebssystem – Teil 2

Windows 7-Sicherheit dank AppLocker und überarbeiteter UAC optimiert

Seite: 2/3

Firmen zum Thema

White- und Blacklisting schränken Software-Installationen ein

Dazu bedient sich der AppLocker einer einfachen Grundstruktur, die drei Regeltypen vorsieht: Erlauben (Allow), Verweigern (Deny) und Ausnahme (Exception). Dazu wird vom Administrator eine Positiv-Liste mit „bekannten, guten Programmen“ gepflegt. Die Erlauben-Regel ermächtigt User Applicationen aus dieser Liste zu installieren.

Es kann aber auch eine Negativ-Liste mit „bekannten, schlechten Programmen“ geführt werden, für die dem entsprechend Verweigern-Regeln gelten. Bei Microsoft geht man davon aus, dass die meisten Unternehmen eine Kombination aus beiden Herangehensweisen fahren werden. Ausnahmen ermöglichen es, bestimmte Programme von den vorgegebenen Listen zu nehmen.

Doch was landet auf den vorgegebenen Listen? AppLocker führt Publisher-Regeln ein, die auf Digitalen Signaturen für Applikationen basieren. Über diese ist es beispielsweise möglich, die Version einer Software zu bestimmen. Dieses ermöglicht wiederum Regeln, wie „Applikation XY ist erlaubt ab Version 9.0“ oder „Applikation ‚Acrobat Reader’ ist erlaubt, wenn sie von Adobe signiert ist.“

Die AppLocker-Security-Software unterstützt mehrere, unabhängig voneinander konfigurierbare Policies, die ausführbare Dateien, Installationsprogramme, Skripte und DLLs (Dynamic Link Library) betreffen. Damit will Microsoft ein Höchstmaß an Flexibilität erzielen.

Mithilfe der Richtlinien lässt sich beispielsweise regeln, dass die Grafikabteilung automatisch Updates für die Photoshop-Software erhält, solange es sich noch um Version 14 handelt. Das ermöglicht einerseits die Hoheit über die eingesetzte Software, gleichzeitig wird diese aber automatisiert Up-to-Date gehalten.

Geregelte Gruppendynamik

Die Möglichkeit, Regeln für bestimmte User-Gruppen zu definieren, ermöglicht es beispielsweise zu regeln, dass die Finanzabteilung eine spezielle Finanz-Version der ERP-Software nutzt. Regeln lassen sich hierbei importieren, exportieren, selbst erstellen, ändern und individualisieren. Administratoren können beispielsweise in einer Testumgebung Regeln für den Software-Einsatz erstellen und diese dann ins Firmennetzwerk exportieren.

Seite 3: Weniger Warnungen durch die Benutzerkontensteuerung UAC

(ID:2040409)