1
NSA IAD Guides: Application Whitelisting
Alter Hut, aber viele Admins wehren sich noch - als Ergänzung zur Überzeugungsarbeit von @DerWoWusste daher zwei Anleitungen zu dem Thema:
Application Whitelisting Using Miscrosoft AppLocker
Application Whitelisting Using Software Restriction Policies
(Die Leitfäden des NSA-IAD sind generell beachtenswert.)
https://www.nsa.gov/ia/_files/os/win2k/Application_Whitelisting_Using_SR ...
Application Whitelisting Using Miscrosoft AppLocker
Application Whitelisting Using Software Restriction Policies
(Die Leitfäden des NSA-IAD sind generell beachtenswert.)
https://www.nsa.gov/ia/_files/os/win2k/Application_Whitelisting_Using_SR ...
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 300342
Url: https://administrator.de/contentid/300342
Printed on: April 19, 2024 at 18:04 o'clock
1 Comment
Moin.
Wenn ich im SRP-PDF lese "Audit the Domain to Determine which Applications are Running" und dann allen Ernstes vorgeschlagen wird, mit WMI-Scripting Momentaufnahmen von derzeit laufenden Prozessen zu machen, um daraus dann Regeln zu erstellen, dann kann ich nur sagen: die Jungs haben das nicht durchdacht bzw. eine Anleitung geschrieben, die sie selbst nie durchführen mussten. Momentaufnahmen taugen hier wenig, da sie nicht berücksichtigen, was beim Starten der derzeit gestarteten Prozesse alles benutzt wurde, was derzeit jedoch nicht mehr läuft - und das ist viel. Auch Procmon und Procexp taugen hier nichts, viel zu viel Rauschen. Ich empfehle folgendes Vorgehen:
-Wenn applocker verfügbar ist, Applocker nutzen, das hat einen Auditingmodus eingebaut - diesen zunächst aktivieren (er blockt nicht, sondern loggt nur, was er geblockt hätte). Defaultregeln verwenden (c:\windows\* und c:\progs\* sind erlaubt).
-Per Skript alles starten, was bei 3 nicht auf den Bäumen ist. Logs sammeln und auswerten und daraus Regeln erstellen.
-Wenn nur SRP verfügbar ist, aktivieren, Defaultregeln an, per Skript alle Executables nacheinander starten. Log auswerten, Regeln erstellen, erneut testen, bis nichts mehr geblockt wird.
Wenn ich im SRP-PDF lese "Audit the Domain to Determine which Applications are Running" und dann allen Ernstes vorgeschlagen wird, mit WMI-Scripting Momentaufnahmen von derzeit laufenden Prozessen zu machen, um daraus dann Regeln zu erstellen, dann kann ich nur sagen: die Jungs haben das nicht durchdacht bzw. eine Anleitung geschrieben, die sie selbst nie durchführen mussten. Momentaufnahmen taugen hier wenig, da sie nicht berücksichtigen, was beim Starten der derzeit gestarteten Prozesse alles benutzt wurde, was derzeit jedoch nicht mehr läuft - und das ist viel. Auch Procmon und Procexp taugen hier nichts, viel zu viel Rauschen. Ich empfehle folgendes Vorgehen:
-Wenn applocker verfügbar ist, Applocker nutzen, das hat einen Auditingmodus eingebaut - diesen zunächst aktivieren (er blockt nicht, sondern loggt nur, was er geblockt hätte). Defaultregeln verwenden (c:\windows\* und c:\progs\* sind erlaubt).
-Per Skript alles starten, was bei 3 nicht auf den Bäumen ist. Logs sammeln und auswerten und daraus Regeln erstellen.
-Wenn nur SRP verfügbar ist, aktivieren, Defaultregeln an, per Skript alle Executables nacheinander starten. Log auswerten, Regeln erstellen, erneut testen, bis nichts mehr geblockt wird.
