White listing unter Windows - Suche Informationen
Hallo,
da ich durch eine aktuelle Problemstellung darauf gekommen bin möchte ich etwas mehr über dieses "White listing - Verfahren" wissen und kann irgendwie nicht all zu viel darüber finden.
Hat jemand damit Erfahrung? Kann es einen Virenscanner wirklich ersezten? Gibts dort irgendwo Unterlagen dazu ?
da ich durch eine aktuelle Problemstellung darauf gekommen bin möchte ich etwas mehr über dieses "White listing - Verfahren" wissen und kann irgendwie nicht all zu viel darüber finden.
Hat jemand damit Erfahrung? Kann es einen Virenscanner wirklich ersezten? Gibts dort irgendwo Unterlagen dazu ?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 185333
Url: https://administrator.de/forum/white-listing-unter-windows-suche-informationen-185333.html
Ausgedruckt am: 22.12.2024 um 13:12 Uhr
33 Kommentare
Neuester Kommentar
Whitelisting von was?
Moin erstmal. Wenn Du von Virenscannern redest, liegt nahe, dass Du Whitelisting von ausführbaren Dateien meinst. Falls dem so ist, musst Du natürlich auch sagen, auf welchem Betriebssystem und (hier tatsächlich mal wichtig) welcher Edition.
Erste Idee: Du meinst etwas wie applocker.
Moin erstmal. Wenn Du von Virenscannern redest, liegt nahe, dass Du Whitelisting von ausführbaren Dateien meinst. Falls dem so ist, musst Du natürlich auch sagen, auf welchem Betriebssystem und (hier tatsächlich mal wichtig) welcher Edition.
Erste Idee: Du meinst etwas wie applocker.
Gut. Und das ist jetzt eine Antwort an uns beide? Gib mal an, ob Du von pro redest, und ob applocker http://technet.microsoft.com/de-de/library/dd548340(v=ws.10).aspx das ist, was Du meinst. (Ich weiß, applocker ist nicht für xp, aber auf xp pro gibt es die dem ähnlichen Softwareeinschränkungsrichtlinien).
applocker ist doch kein extra Tool, wie Du lesen kannst, gehört es zu Windows 7 (Ultimate/Enterprise). Mit xp pro hast Du die Softwareeinschränkungsrichtlinien zur Verfügung, google mal danach.
Was nicht ausgeführt werden darf, muss auch nicht auf Viren gescannt werden. Jedoch kannst Du erlaubten Prozessen nicht abgewöhnen, dass sie Kindprozesse starten, was beim Browser natürlich mal in die Hose gehen kann. Applocker kann auch dies verhindern, es ist sicherer als die Softwareeinschränkungsrichtlinien.
Was nicht ausgeführt werden darf, muss auch nicht auf Viren gescannt werden. Jedoch kannst Du erlaubten Prozessen nicht abgewöhnen, dass sie Kindprozesse starten, was beim Browser natürlich mal in die Hose gehen kann. Applocker kann auch dies verhindern, es ist sicherer als die Softwareeinschränkungsrichtlinien.
moin speedy,
Ein Virenscanner /-wächter arbeitet ja auch nach "Blacklisting". Was nicht in der Blacklist steht wird durchgelassen.
Alte Definitionsdateien bzw. fehlende Signaturen zur Erkennung der Schädlinge sind daher das Risiko Nummer eins. (mein SpamFilter arbeitet auch nach Blacklist).
Der Türsteher, welcher nach Whitelist arbeitet vergleicht die Namen mit der Gästeliste. Wer darauf verzeichnet ist darf in die Vernissage. Schliesslich kennt man sich ja Persönlich.
Der Türsteher, welcher nach Blacklist arbeitet verlässt sich auf seine Erfahrungen und schickt die wieder nach Hause, welche seiner Erfahrung nach die Party versauen.
Gruß Phil
Ein Virenscanner /-wächter arbeitet ja auch nach "Blacklisting". Was nicht in der Blacklist steht wird durchgelassen.
Alte Definitionsdateien bzw. fehlende Signaturen zur Erkennung der Schädlinge sind daher das Risiko Nummer eins. (mein SpamFilter arbeitet auch nach Blacklist).
Der Türsteher, welcher nach Whitelist arbeitet vergleicht die Namen mit der Gästeliste. Wer darauf verzeichnet ist darf in die Vernissage. Schliesslich kennt man sich ja Persönlich.
App locker lässt sich sehr fein einstellen - Ist nur bei gewünschten Neuzugängen wartungsintensiv.
Der Türsteher, welcher nach Blacklist arbeitet verlässt sich auf seine Erfahrungen und schickt die wieder nach Hause, welche seiner Erfahrung nach die Party versauen.
so muss diese Erfahrung jeden Tag erweitert werden, es kommen ja jeden Tag neue Sachen.
Gruß Phil
Applocker und SRPs machen beide auch Whitelisting. Ja, Whitelisting ist die sicherste Methode. Ob da noch ein Virenscanner gebraucht wird, ist Ansichtssache.
Jetzt kommt mir aber grad der Gedanke: Was aber ist wenn die BS Systeme erneuert werden, dann muss die ganze Arbeit an einer anderen Stelle nochmals gemacht werden.
Wenn Du die Einstellungen auf mehreren Rechnern per GPO regelst, dann kannst Du das Betriebssystem natürlich updaten, ohne dass Du die GPOs erneuern musst. Wenn es ein Einzel-PC ist, musst Du Sie neu machen, stimmt. Hier könnte man allenfalls versuchen, die zugehörigen Registrykeys (falls diese Policies Regkeys benutzen) zu exportieren und im neuen zu importieren.Die White List auf den Geräten sollte ja auch relativ schnell upgedatet werden können. Wenn z.B. ein neues Programm installiert werden soll muss sichergestellt werden dass der PC immernoch clean ist (wie könnte dort das Konzept aussehen?) und dann die Liste auf dem Rechner upgedatet werden.
Wenn Du ein neues Programm installierst, packst Du es auf die Whitelist - ganz simpel. Um sicherzustellen, dass der Rechner clean ist... wie meinst Du das? Wenn Du dem neuen Programm nicht vertraust, kannst Du das nicht sicherstellen, wenn doch, verstehe ich die Frage nicht.
SRP= software restriction policies = Softwareeinschränkungsrichtlinien.
Schädling will sich installieren/starten ->SRPs blockt das ->System loggt das ins Ereignisprotokoll ->Ereignisprotokoll schickt Dir eine Mail.
Das geht zum Beispiel über das tool eventtriggers.exe auch in xp. eventriggers.exe gehört zu windows xp.
Na ich hab mir halt schon Gedanken gemacht wie überprüfe ich ob ein Rechner noch clean ist?
Kinderleicht. Schädlinge wollen auch starten. SRPs verbieten dies aber und loggen auch die verhinderten Startversuche. Du bekommst eine Infektion, sofern erfolgt (wie auch immer) in jedem Falle mit. Am besten konfiguriert man dazu ein eventgetriggertes Logging, also:Schädling will sich installieren/starten ->SRPs blockt das ->System loggt das ins Ereignisprotokoll ->Ereignisprotokoll schickt Dir eine Mail.
Das geht zum Beispiel über das tool eventtriggers.exe auch in xp. eventriggers.exe gehört zu windows xp.
Hi.
In Kürze: Pfadregel ist ok, Hashregel ist noch sicherer.
Startmenü: gib es per Pfadregel komplett frei. Grund: die darin enthaltenen Dateien vom Typ .lnk (Linkdateien) sind als potentiell gefährlich eingestuft.
Richtlinien verwalten/export. - keine Erfahrung. Monitore mit procmon, wo diese abgelegt werden, vermutlich in der Registry.
In Kürze: Pfadregel ist ok, Hashregel ist noch sicherer.
Startmenü: gib es per Pfadregel komplett frei. Grund: die darin enthaltenen Dateien vom Typ .lnk (Linkdateien) sind als potentiell gefährlich eingestuft.
Richtlinien verwalten/export. - keine Erfahrung. Monitore mit procmon, wo diese abgelegt werden, vermutlich in der Registry.
Hashregeln - schau in die Hilfe. Es wird ein Hash der Datei erstellt, damit kann die .exe auf Verfälschung geprüft werden. Vorteil gegenüber der Pfadregel als Beispiel: Du hast den Pfad c:\progs\prog1 freigegeben - der Nutzer schafft es irgendwie, da eigenen Code zu plazieren und darf den starten. Mit Hashregel nicht, weil der Nutzer es nicht schaffen würde dort Code zu plazieren, der den selben Hash hat.
Hast Du ne Idee wie ich testen kann ob das System dann sicher ist?
Wie soll man's schon testen? Wenn Du alles andere nicht zur Ausführung freigibst, wird das nicht starten. Das kannst Du testen. Wo ist jetzt Dein Verständnisproblem?
Ok, dann lies mal http://home.arcor.de/skanthak/safer.html#safer