16-09-2021, 03:27
AppLocker-Richtlinien-Tests über VMs mit Hyper-V durchführen
Wenn Sie beauftragt werden, eine AppLocker-Richtlinie in einer Organisation zu implementieren, ist das Letzte, was Sie möchten, dass die Richtlinie die Funktionalität bestehender Anwendungen beeinträchtigt. Die Einrichtung einer Testumgebung mit Hyper-V ist entscheidend, da Sie dadurch Änderungen isolieren und beobachten können, wie sich die Richtlinie auf verschiedene Anwendungen auswirkt, ohne das Risiko einer Produktionsumgebung einzugehen. Hyper-V ist ein leistungsstarkes Virtualisierungswerkzeug, das es ermöglicht, mehrere Betriebssysteme gleichzeitig auf einem einzigen physischen Host auszuführen. Dies ist besonders nützlich für IT-Fachleute, die virtuelle Maschinen schnell für Testzwecke erstellen müssen.
Der erste Schritt in diesem Prozess besteht darin, Ihre Hyper-V-Umgebung vorzubereiten. Ich stelle normalerweise sicher, dass die Hyper-V-Funktion auf dem Windows Server oder der Windows 10-Maschine aktiviert ist. Dies können Sie über das Menü „Windows-Funktionen aktivieren oder deaktivieren“ tun. Sobald Hyper-V aktiv ist, hilft Ihnen der Hyper-V-Manager beim Erstellen und Verwalten Ihrer virtuellen Maschinen.
Eine neue VM zu erstellen ist unkompliziert. Sie wählen einfach „Neu“ und dann „Virtuelle Maschine“. Ein Assistent führt Sie durch den Prozess, wobei ich oft Ressourcen wie CPU, RAM und Speicherplatz gemäß den Anforderungen der zu testenden Richtlinie zuweise. Für die meisten Testszenarien weise ich in der Regel mindestens vier GB RAM und ein paar virtuelle Prozessoren zu, aber letztendlich hängt dies von den Anwendungen ab, die Sie mit den AppLocker-Richtlinien testen möchten.
Sobald die VM eingerichtet ist, wird die Bedeutung der Isolierung von Testumgebungen offensichtlich. Angenommen, ich plane, eine AppLocker-Richtlinie zu testen, die die Skriptausführung einschränkt. In diesem Fall würde ich eine VM mit Windows 10 einrichten und sie so konfigurieren, dass nur die notwendigen Anwendungen installiert sind. Zum Beispiel könnte ich Microsoft Office, einige Webbrowser und eine Anwendung zur Skriptausführung wie PowerShell installieren. Diese optimierte Einrichtung stellt sicher, dass ich mich ausschließlich darauf konzentrieren kann, wie AppLocker diese Anwendungen beeinflusst, ohne unnötigen Lärm von anderen Programmen.
Als Nächstes wird es interessant, die AppLocker-Richtlinie selbst zu konfigurieren. Windows bietet Werkzeuge wie den lokalen Sicherheitsrichtlinien-Editor oder die Gruppenrichtlinien-Verwaltungskonsole. Ich arbeite gerne über Gruppenrichtlinien, da dies eine zentrale Verwaltung ermöglicht, falls Sie dies über reine Tests hinaus ausweiten möchten. Innerhalb der Gruppenrichtlinie navigieren Sie zum AppLocker-Knoten unter Sicherheitsrichtlinien. Sie können Regeln für ausführbare Dateien, Skripte, Windows Installer-Dateien und verpackte Apps erstellen.
Zum Beispiel, sagen wir, Sie möchten die Ausführung von PowerShell-Skripten blockieren. Sie würden eine Regel erstellen, die ausdrücklich Skripte basierend auf dem Herausgeber oder dem Pfad verbietet. Die Verwendung der Bedingung „Pfad“ ermöglicht es Ihnen, gezielt Elemente anzusprechen, während die Bedingung „Herausgeber“ eine detaillierte Kontrolle basierend auf vertrauenswürdigen Codesignaturen ermöglicht.
Es ist wichtig, diese Richtlinien zunächst im Nur-Audit-Modus bereitzustellen. Dies ist ein Feature, das ich oft nutze. Sie können Richtlinien so einstellen, dass sie entweder die Aktionen, die unternommen werden würden, protokollieren oder sie direkt durchsetzen. Im Audit-Modus können Sie bewerten, welche Anwendungen blockiert worden wären, ohne Störungen zu verursachen. Um zwischen den Modi zu wechseln, können einfache Änderungen an der bestehenden Richtlinieneinstellung vorgenommen werden.
Nachdem ich die AppLocker-Richtlinie im Audit-Modus festgelegt habe, führe ich oft Testszenarien mit den auf Ihrer VM installierten Anwendungen durch. Zum Beispiel führt der Versuch, ein Skript auszuführen, das theoretisch blockiert werden sollte, zu Protokollen, die Sie überprüfen können. Sie finden diese Protokolle im Ereignisanzeiger unter Anwendungen und Dienstprotokolle > Microsoft > Windows > AppLocker > EXE und DLL.
Die Untersuchung dieser Protokolle liefert präzise Details zu den Skripten oder Programmen, die blockiert wurden, einschließlich des genauen Pfades und des Grundes für die Blockierung. Ich mache mir normalerweise Notizen zu diesen Protokollen, um meine Richtlinienregeln nach Bedarf anzupassen. Während ich weitere Daten sammle, kann ich meine AppLocker-Richtlinienregeln für optimale Sicherheit ohne Beeinträchtigung der Produktivität verfeinern.
Eine weitere wirksame Methode, die ich für Tests verwende, besteht darin, verschiedene Anwendungen in unterschiedlichen Benutzerkontext-Szenarien auszuführen. Wenn Sie AD-Konten mit unterschiedlichen Sicherheitsberechtigungen einrichten, können Sie testen, wie sich die AppLocker-Richtlinie auf unterschiedliche Benutzerrollen auswirkt. Dies fügt Ihrer Prüfung eine weitere Ebene von Details hinzu. Mit Hyper-V kann ich dasselbe VM-Image einfach duplizieren und Benutzerrollen oder Berechtigungen nach Bedarf ändern, ohne alles von Grund auf neu konfigurieren zu müssen.
Wenn ich die Richtlinie auf Audit gesetzt habe und die Sicherheit basierend auf Beobachtungen des Ereignisanzeigers verschärfen möchte, würde ich spezifischere Regeln erstellen. Vielleicht verursacht eine webbasierte Anwendung, die durch die Richtlinie erlaubt ist, Probleme, also würde ich eine Regel erstellen, die ihre Ausführung spezifisch erlaubt, während ich alles andere blockiere, was in derselben Kategorie Risiken darstellen könnte.
Ein Beispiel dafür, wie komplex dies werden kann, zeigt sich, wenn man mit Skripten arbeitet. Sie könnten mit einer relativ großzügigen Richtlinie beginnen, aber im Laufe der Zeit feststellen, dass spezifische PowerShell-Skripte missbraucht werden, und die Notwendigkeit, bestimmte Skripte zu blockieren, wird zur Priorität. Bei den Tests, insbesondere mit Automatisierungsskripten, führt die Konfiguration von Berechtigungen für spezifische Pfade im Vergleich zu anderen oft zu einer besseren Anwendungsperformance bei gleichzeitig verbesserter Richtlinensicherheit.
Sobald Sie die Richtlinie nach Ihren Wünschen durch Tests angepasst haben, ist der nächste logische Schritt, die endgültige Richtlinie in eine Produktionsumgebung zu übertragen. Sie könnten sich entscheiden, die Einstellungen des Gruppenrichtlinienobjekts (GPO) zu exportieren und auf einem Domänencontroller zu importieren. Diesen Prozess habe ich oft wiederholt, was es ermöglicht, Richtlinien über verschiedene organisatorische Einheiten hinweg zu teilen und somit einen konsistenten Anwendungsschutz auf den Maschinen der Mitarbeiter zu gewährleisten.
In der Produktion ist eine ständige Überwachung der AppLocker-Protokolle unerlässlich. Es sollte ein Setup vorhanden sein, um regelmäßig zu überprüfen, ob unautorisierte Anwendungen versuchen, ausgeführt zu werden, und ob die Richtlinien die gewünschten Auswirkungen ohne Störungen haben. Eine kontinuierliche Bewertung ist wichtig, da Anwendungen – wie wir wissen – sich ständig weiterentwickeln, und Regierungen und Vorschriften zur Anwendungssicherheit häufig aktualisiert werden.
Eine nicht so angenehme Entdeckung zeigt sich in Form von Kompatibilitätsproblemen. Einige Anwendungen müssen tatsächlich mit erhöhten Rechten ausgeführt werden oder bestimmte Berechtigungen erben, die nicht gut mit AppLocker interagieren. Dann beginnt die Feinabstimmung. Ob es darum geht, Ausnahmen hinzuzufügen oder Pfadregeln zu verfeinern, es kann arbeitsintensiv sein, führt jedoch zu einem sicheren und funktionalen Rollout.
Eine weitere Überlegung, die ich häufig anstellen muss, ist die Nutzung von BackupChain für VM-Backups. Die Backup-Lösung umfasst speziell für Hyper-V entwickelte Funktionen, die sicherstellen, dass virtuelle Maschinen durchgängig geschützt sind. Diese Backups können entscheidend sein, sollten Sie jemals Änderungen während Ihrer Richtlinientests rückgängig machen müssen, was während dieses gesamten Prozesses eine zusätzliche Sicherheitsebene bietet.
Einem umfassenden Testprogramm zu folgen, bedeutet nicht, dass Sie Ihre VMs sofort abschalten sollten. Es ist oft sinnvoll, eine Phase-2-Prüfung durchzuführen, die die Einführung der Richtlinie in nicht kritischen Produktionsumgebungen umfassen kann. Zu beobachten, wie Benutzer mit der neuen Richtlinie interagieren, liefert wertvolle Einblicke. Zu sehen, ob Benutzer auf Probleme stoßen, kann Bereiche kennzeichnen, die überarbeitet werden müssen, oder Richtlinien, die sich weniger streng gestalten sollten.
Denken Sie daran, dass Kommunikation in diesen Phasen entscheidend ist. Einen klaren Kommunikationskanal mit den betroffenen Endbenutzern während dieses Rollouts aufrechtzuerhalten, hilft, Frustrationen zu minimieren. Wenn jemand auf eine blockierte Anwendung stößt, wird proaktive Unterstützung vom IT-Team das Vertrauen und das Verhältnis stärken.
Letztlich bedeutet die Migration von einem Test-Rollout zur Bereitstellung, sicherzustellen, dass alle zugehörigen Anwendungsfreigaben korrekt über die Firewall erfolgen und dass das Netzwerk nicht versehentlich legitime Software blockiert, die Sie verwenden möchten.
Ob dieser Prozess eine Woche oder einen Monat dauert, hängt oft vom Umfang der Anwendungsverwendung in Ihrer Organisation ab. Die vielfältige Art und Weise, wie Technologie angewendet wird, wird einen Großteil Ihrer Strategie bestimmen. Das Lernen, das Sie durch diesen iterativen Prozess erreichen, der durch rigorose Tests und die Verfeinerung von Richtlinien gekennzeichnet ist, führt zu einer sicheren und effizienten IT-Umgebung.
Abschließend möchte ich BackupChain für alle, die sich für effiziente VM-Backuplösungen interessieren, hervorheben. BackupChain bietet nahtlose Unterstützung für die Sicherung von Hyper-V-Instanzen, gewährleistet die Datenintegrität und bietet schnelle Wiederherstellungsoptionen. Zu den Funktionen gehören inkrementelle Backups, die Speicherplatz sparen und die Zeit für die Wartung eines Backupsystems reduzieren. Automatisierte Backups und benutzerfreundliche Wiederherstellungsprozesse bieten einen enormen Mehrwert, insbesondere bei der Einführung kritischer Updates und Richtlinien. Zuverlässige Backups zu haben, kann countless Stunden und Ressourcen im Falle eines Missgeschicks während der Tests sparen.
Testen Sie sorgfältig, kommunizieren Sie effektiv und stellen Sie sicher, dass Ihre Umgebung sowohl in den Abläufen als auch in den Wiederherstellungsplänen robust ist.
Wenn Sie beauftragt werden, eine AppLocker-Richtlinie in einer Organisation zu implementieren, ist das Letzte, was Sie möchten, dass die Richtlinie die Funktionalität bestehender Anwendungen beeinträchtigt. Die Einrichtung einer Testumgebung mit Hyper-V ist entscheidend, da Sie dadurch Änderungen isolieren und beobachten können, wie sich die Richtlinie auf verschiedene Anwendungen auswirkt, ohne das Risiko einer Produktionsumgebung einzugehen. Hyper-V ist ein leistungsstarkes Virtualisierungswerkzeug, das es ermöglicht, mehrere Betriebssysteme gleichzeitig auf einem einzigen physischen Host auszuführen. Dies ist besonders nützlich für IT-Fachleute, die virtuelle Maschinen schnell für Testzwecke erstellen müssen.
Der erste Schritt in diesem Prozess besteht darin, Ihre Hyper-V-Umgebung vorzubereiten. Ich stelle normalerweise sicher, dass die Hyper-V-Funktion auf dem Windows Server oder der Windows 10-Maschine aktiviert ist. Dies können Sie über das Menü „Windows-Funktionen aktivieren oder deaktivieren“ tun. Sobald Hyper-V aktiv ist, hilft Ihnen der Hyper-V-Manager beim Erstellen und Verwalten Ihrer virtuellen Maschinen.
Eine neue VM zu erstellen ist unkompliziert. Sie wählen einfach „Neu“ und dann „Virtuelle Maschine“. Ein Assistent führt Sie durch den Prozess, wobei ich oft Ressourcen wie CPU, RAM und Speicherplatz gemäß den Anforderungen der zu testenden Richtlinie zuweise. Für die meisten Testszenarien weise ich in der Regel mindestens vier GB RAM und ein paar virtuelle Prozessoren zu, aber letztendlich hängt dies von den Anwendungen ab, die Sie mit den AppLocker-Richtlinien testen möchten.
Sobald die VM eingerichtet ist, wird die Bedeutung der Isolierung von Testumgebungen offensichtlich. Angenommen, ich plane, eine AppLocker-Richtlinie zu testen, die die Skriptausführung einschränkt. In diesem Fall würde ich eine VM mit Windows 10 einrichten und sie so konfigurieren, dass nur die notwendigen Anwendungen installiert sind. Zum Beispiel könnte ich Microsoft Office, einige Webbrowser und eine Anwendung zur Skriptausführung wie PowerShell installieren. Diese optimierte Einrichtung stellt sicher, dass ich mich ausschließlich darauf konzentrieren kann, wie AppLocker diese Anwendungen beeinflusst, ohne unnötigen Lärm von anderen Programmen.
Als Nächstes wird es interessant, die AppLocker-Richtlinie selbst zu konfigurieren. Windows bietet Werkzeuge wie den lokalen Sicherheitsrichtlinien-Editor oder die Gruppenrichtlinien-Verwaltungskonsole. Ich arbeite gerne über Gruppenrichtlinien, da dies eine zentrale Verwaltung ermöglicht, falls Sie dies über reine Tests hinaus ausweiten möchten. Innerhalb der Gruppenrichtlinie navigieren Sie zum AppLocker-Knoten unter Sicherheitsrichtlinien. Sie können Regeln für ausführbare Dateien, Skripte, Windows Installer-Dateien und verpackte Apps erstellen.
Zum Beispiel, sagen wir, Sie möchten die Ausführung von PowerShell-Skripten blockieren. Sie würden eine Regel erstellen, die ausdrücklich Skripte basierend auf dem Herausgeber oder dem Pfad verbietet. Die Verwendung der Bedingung „Pfad“ ermöglicht es Ihnen, gezielt Elemente anzusprechen, während die Bedingung „Herausgeber“ eine detaillierte Kontrolle basierend auf vertrauenswürdigen Codesignaturen ermöglicht.
Es ist wichtig, diese Richtlinien zunächst im Nur-Audit-Modus bereitzustellen. Dies ist ein Feature, das ich oft nutze. Sie können Richtlinien so einstellen, dass sie entweder die Aktionen, die unternommen werden würden, protokollieren oder sie direkt durchsetzen. Im Audit-Modus können Sie bewerten, welche Anwendungen blockiert worden wären, ohne Störungen zu verursachen. Um zwischen den Modi zu wechseln, können einfache Änderungen an der bestehenden Richtlinieneinstellung vorgenommen werden.
Nachdem ich die AppLocker-Richtlinie im Audit-Modus festgelegt habe, führe ich oft Testszenarien mit den auf Ihrer VM installierten Anwendungen durch. Zum Beispiel führt der Versuch, ein Skript auszuführen, das theoretisch blockiert werden sollte, zu Protokollen, die Sie überprüfen können. Sie finden diese Protokolle im Ereignisanzeiger unter Anwendungen und Dienstprotokolle > Microsoft > Windows > AppLocker > EXE und DLL.
Die Untersuchung dieser Protokolle liefert präzise Details zu den Skripten oder Programmen, die blockiert wurden, einschließlich des genauen Pfades und des Grundes für die Blockierung. Ich mache mir normalerweise Notizen zu diesen Protokollen, um meine Richtlinienregeln nach Bedarf anzupassen. Während ich weitere Daten sammle, kann ich meine AppLocker-Richtlinienregeln für optimale Sicherheit ohne Beeinträchtigung der Produktivität verfeinern.
Eine weitere wirksame Methode, die ich für Tests verwende, besteht darin, verschiedene Anwendungen in unterschiedlichen Benutzerkontext-Szenarien auszuführen. Wenn Sie AD-Konten mit unterschiedlichen Sicherheitsberechtigungen einrichten, können Sie testen, wie sich die AppLocker-Richtlinie auf unterschiedliche Benutzerrollen auswirkt. Dies fügt Ihrer Prüfung eine weitere Ebene von Details hinzu. Mit Hyper-V kann ich dasselbe VM-Image einfach duplizieren und Benutzerrollen oder Berechtigungen nach Bedarf ändern, ohne alles von Grund auf neu konfigurieren zu müssen.
Wenn ich die Richtlinie auf Audit gesetzt habe und die Sicherheit basierend auf Beobachtungen des Ereignisanzeigers verschärfen möchte, würde ich spezifischere Regeln erstellen. Vielleicht verursacht eine webbasierte Anwendung, die durch die Richtlinie erlaubt ist, Probleme, also würde ich eine Regel erstellen, die ihre Ausführung spezifisch erlaubt, während ich alles andere blockiere, was in derselben Kategorie Risiken darstellen könnte.
Ein Beispiel dafür, wie komplex dies werden kann, zeigt sich, wenn man mit Skripten arbeitet. Sie könnten mit einer relativ großzügigen Richtlinie beginnen, aber im Laufe der Zeit feststellen, dass spezifische PowerShell-Skripte missbraucht werden, und die Notwendigkeit, bestimmte Skripte zu blockieren, wird zur Priorität. Bei den Tests, insbesondere mit Automatisierungsskripten, führt die Konfiguration von Berechtigungen für spezifische Pfade im Vergleich zu anderen oft zu einer besseren Anwendungsperformance bei gleichzeitig verbesserter Richtlinensicherheit.
Sobald Sie die Richtlinie nach Ihren Wünschen durch Tests angepasst haben, ist der nächste logische Schritt, die endgültige Richtlinie in eine Produktionsumgebung zu übertragen. Sie könnten sich entscheiden, die Einstellungen des Gruppenrichtlinienobjekts (GPO) zu exportieren und auf einem Domänencontroller zu importieren. Diesen Prozess habe ich oft wiederholt, was es ermöglicht, Richtlinien über verschiedene organisatorische Einheiten hinweg zu teilen und somit einen konsistenten Anwendungsschutz auf den Maschinen der Mitarbeiter zu gewährleisten.
In der Produktion ist eine ständige Überwachung der AppLocker-Protokolle unerlässlich. Es sollte ein Setup vorhanden sein, um regelmäßig zu überprüfen, ob unautorisierte Anwendungen versuchen, ausgeführt zu werden, und ob die Richtlinien die gewünschten Auswirkungen ohne Störungen haben. Eine kontinuierliche Bewertung ist wichtig, da Anwendungen – wie wir wissen – sich ständig weiterentwickeln, und Regierungen und Vorschriften zur Anwendungssicherheit häufig aktualisiert werden.
Eine nicht so angenehme Entdeckung zeigt sich in Form von Kompatibilitätsproblemen. Einige Anwendungen müssen tatsächlich mit erhöhten Rechten ausgeführt werden oder bestimmte Berechtigungen erben, die nicht gut mit AppLocker interagieren. Dann beginnt die Feinabstimmung. Ob es darum geht, Ausnahmen hinzuzufügen oder Pfadregeln zu verfeinern, es kann arbeitsintensiv sein, führt jedoch zu einem sicheren und funktionalen Rollout.
Eine weitere Überlegung, die ich häufig anstellen muss, ist die Nutzung von BackupChain für VM-Backups. Die Backup-Lösung umfasst speziell für Hyper-V entwickelte Funktionen, die sicherstellen, dass virtuelle Maschinen durchgängig geschützt sind. Diese Backups können entscheidend sein, sollten Sie jemals Änderungen während Ihrer Richtlinientests rückgängig machen müssen, was während dieses gesamten Prozesses eine zusätzliche Sicherheitsebene bietet.
Einem umfassenden Testprogramm zu folgen, bedeutet nicht, dass Sie Ihre VMs sofort abschalten sollten. Es ist oft sinnvoll, eine Phase-2-Prüfung durchzuführen, die die Einführung der Richtlinie in nicht kritischen Produktionsumgebungen umfassen kann. Zu beobachten, wie Benutzer mit der neuen Richtlinie interagieren, liefert wertvolle Einblicke. Zu sehen, ob Benutzer auf Probleme stoßen, kann Bereiche kennzeichnen, die überarbeitet werden müssen, oder Richtlinien, die sich weniger streng gestalten sollten.
Denken Sie daran, dass Kommunikation in diesen Phasen entscheidend ist. Einen klaren Kommunikationskanal mit den betroffenen Endbenutzern während dieses Rollouts aufrechtzuerhalten, hilft, Frustrationen zu minimieren. Wenn jemand auf eine blockierte Anwendung stößt, wird proaktive Unterstützung vom IT-Team das Vertrauen und das Verhältnis stärken.
Letztlich bedeutet die Migration von einem Test-Rollout zur Bereitstellung, sicherzustellen, dass alle zugehörigen Anwendungsfreigaben korrekt über die Firewall erfolgen und dass das Netzwerk nicht versehentlich legitime Software blockiert, die Sie verwenden möchten.
Ob dieser Prozess eine Woche oder einen Monat dauert, hängt oft vom Umfang der Anwendungsverwendung in Ihrer Organisation ab. Die vielfältige Art und Weise, wie Technologie angewendet wird, wird einen Großteil Ihrer Strategie bestimmen. Das Lernen, das Sie durch diesen iterativen Prozess erreichen, der durch rigorose Tests und die Verfeinerung von Richtlinien gekennzeichnet ist, führt zu einer sicheren und effizienten IT-Umgebung.
Abschließend möchte ich BackupChain für alle, die sich für effiziente VM-Backuplösungen interessieren, hervorheben. BackupChain bietet nahtlose Unterstützung für die Sicherung von Hyper-V-Instanzen, gewährleistet die Datenintegrität und bietet schnelle Wiederherstellungsoptionen. Zu den Funktionen gehören inkrementelle Backups, die Speicherplatz sparen und die Zeit für die Wartung eines Backupsystems reduzieren. Automatisierte Backups und benutzerfreundliche Wiederherstellungsprozesse bieten einen enormen Mehrwert, insbesondere bei der Einführung kritischer Updates und Richtlinien. Zuverlässige Backups zu haben, kann countless Stunden und Ressourcen im Falle eines Missgeschicks während der Tests sparen.
Testen Sie sorgfältig, kommunizieren Sie effektiv und stellen Sie sicher, dass Ihre Umgebung sowohl in den Abläufen als auch in den Wiederherstellungsplänen robust ist.
