1
NSA IAD Guides: Application Whitelisting
Alter Hut, aber viele Admins wehren sich noch - als Ergänzung zur Überzeugungsarbeit von @DerWoWusste daher zwei Anleitungen zu dem Thema:
Application Whitelisting Using Miscrosoft AppLocker
Application Whitelisting Using Software Restriction Policies
(Die Leitfäden des NSA-IAD sind generell beachtenswert.)
https://www.nsa.gov/ia/_files/os/win2k/Application_Whitelisting_Using_SR ...
Application Whitelisting Using Miscrosoft AppLocker
Application Whitelisting Using Software Restriction Policies
(Die Leitfäden des NSA-IAD sind generell beachtenswert.)
https://www.nsa.gov/ia/_files/os/win2k/Application_Whitelisting_Using_SR ...
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 300342
Url: https://administrator.de/contentid/300342
Ausgedruckt am: 25.11.2024 um 11:11 Uhr
1 Kommentar
Moin.
Wenn ich im SRP-PDF lese "Audit the Domain to Determine which Applications are Running" und dann allen Ernstes vorgeschlagen wird, mit WMI-Scripting Momentaufnahmen von derzeit laufenden Prozessen zu machen, um daraus dann Regeln zu erstellen, dann kann ich nur sagen: die Jungs haben das nicht durchdacht bzw. eine Anleitung geschrieben, die sie selbst nie durchführen mussten. Momentaufnahmen taugen hier wenig, da sie nicht berücksichtigen, was beim Starten der derzeit gestarteten Prozesse alles benutzt wurde, was derzeit jedoch nicht mehr läuft - und das ist viel. Auch Procmon und Procexp taugen hier nichts, viel zu viel Rauschen. Ich empfehle folgendes Vorgehen:
-Wenn applocker verfügbar ist, Applocker nutzen, das hat einen Auditingmodus eingebaut - diesen zunächst aktivieren (er blockt nicht, sondern loggt nur, was er geblockt hätte). Defaultregeln verwenden (c:\windows\* und c:\progs\* sind erlaubt).
-Per Skript alles starten, was bei 3 nicht auf den Bäumen ist. Logs sammeln und auswerten und daraus Regeln erstellen.
-Wenn nur SRP verfügbar ist, aktivieren, Defaultregeln an, per Skript alle Executables nacheinander starten. Log auswerten, Regeln erstellen, erneut testen, bis nichts mehr geblockt wird.
Wenn ich im SRP-PDF lese "Audit the Domain to Determine which Applications are Running" und dann allen Ernstes vorgeschlagen wird, mit WMI-Scripting Momentaufnahmen von derzeit laufenden Prozessen zu machen, um daraus dann Regeln zu erstellen, dann kann ich nur sagen: die Jungs haben das nicht durchdacht bzw. eine Anleitung geschrieben, die sie selbst nie durchführen mussten. Momentaufnahmen taugen hier wenig, da sie nicht berücksichtigen, was beim Starten der derzeit gestarteten Prozesse alles benutzt wurde, was derzeit jedoch nicht mehr läuft - und das ist viel. Auch Procmon und Procexp taugen hier nichts, viel zu viel Rauschen. Ich empfehle folgendes Vorgehen:
-Wenn applocker verfügbar ist, Applocker nutzen, das hat einen Auditingmodus eingebaut - diesen zunächst aktivieren (er blockt nicht, sondern loggt nur, was er geblockt hätte). Defaultregeln verwenden (c:\windows\* und c:\progs\* sind erlaubt).
-Per Skript alles starten, was bei 3 nicht auf den Bäumen ist. Logs sammeln und auswerten und daraus Regeln erstellen.
-Wenn nur SRP verfügbar ist, aktivieren, Defaultregeln an, per Skript alle Executables nacheinander starten. Log auswerten, Regeln erstellen, erneut testen, bis nichts mehr geblockt wird.
