c.r.s.
Goto Top

NSA IAD Guides: Application Whitelisting

Alter Hut, aber viele Admins wehren sich noch - als Ergänzung zur Überzeugungsarbeit von @DerWoWusste daher zwei Anleitungen zu dem Thema:

Application Whitelisting Using Miscrosoft AppLocker
Application Whitelisting Using Software Restriction Policies

(Die Leitfäden des NSA-IAD sind generell beachtenswert.)

https://www.nsa.gov/ia/_files/os/win2k/Application_Whitelisting_Using_SR ...

Content-Key: 300342

Url: https://administrator.de/contentid/300342

Printed on: May 18, 2024 at 06:05 o'clock

Member: DerWoWusste
DerWoWusste Mar 31, 2016 updated at 08:54:43 (UTC)
Goto Top
Moin.

Wenn ich im SRP-PDF lese "Audit the Domain to Determine which Applications are Running" und dann allen Ernstes vorgeschlagen wird, mit WMI-Scripting Momentaufnahmen von derzeit laufenden Prozessen zu machen, um daraus dann Regeln zu erstellen, dann kann ich nur sagen: die Jungs haben das nicht durchdacht bzw. eine Anleitung geschrieben, die sie selbst nie durchführen mussten. Momentaufnahmen taugen hier wenig, da sie nicht berücksichtigen, was beim Starten der derzeit gestarteten Prozesse alles benutzt wurde, was derzeit jedoch nicht mehr läuft - und das ist viel. Auch Procmon und Procexp taugen hier nichts, viel zu viel Rauschen. Ich empfehle folgendes Vorgehen:

-Wenn applocker verfügbar ist, Applocker nutzen, das hat einen Auditingmodus eingebaut - diesen zunächst aktivieren (er blockt nicht, sondern loggt nur, was er geblockt hätte). Defaultregeln verwenden (c:\windows\* und c:\progs\* sind erlaubt).
-Per Skript alles starten, was bei 3 nicht auf den Bäumen ist. Logs sammeln und auswerten und daraus Regeln erstellen.

-Wenn nur SRP verfügbar ist, aktivieren, Defaultregeln an, per Skript alle Executables nacheinander starten. Log auswerten, Regeln erstellen, erneut testen, bis nichts mehr geblockt wird.