Leitfaden zum Whitelisting von Anwendungen und die beste Whitelisting-Software
Anwendungs-Whitelistingist eine Technologie, die entwickelt wurde, um Computersysteme vor potenziell schädlichen Anwendungen zu schützen
Eine Anwendungs-Whitelist ist eine Liste autorisierter oder zugelassener Anwendungen, die gemäß einer genau definierten Baseline auf einem Host installiert oder ausgeführt werden dürfen. Das Ziel der Whitelisting-Technologien für Anwendungen besteht darin, die Ausführung von Malware und anderen nicht autorisierten Anwendungen zu stoppen.
Im Gegensatz zum Blacklisting von Anwendungen, das die Ausführung unerwünschter Anwendungen blockiert, sollen Technologien zum Whitelisting von Anwendungen sicherstellen, dass nur explizit zugelassene Anwendungen ausgeführt oder ausgeführt werden. Tatsächlich setzen Sie mit einer Anwendungs-Whitelist im Wesentlichen alles andere außer den Anwendungen, die Sie aktivieren, auf die schwarze Liste. Die zur Durchsetzung von Anwendungs-Whitelists verwendeten Technologien werden aufgerufenWhitelisting-Software.
Hier ist unsere Liste der fünf besten Software-Whitelists für Anwendungen:
- WAHL DES AppLocker-REDAKTORSDies ist eine Funktion von Windows und in das Betriebssystem integriert, um den Zugriff auf Anwendungen und Dateien auf einem Computer zu steuern. Es weist eine Reihe von Ressourcen zu, die jedes Benutzerkonto ausführen kann. Integriert in Windows 10 und höher und Windows Server 2016 und höher.
- Luftschleuse DigitalEin vernetztes Paket von Einheiten, die den Benutzerzugriff auf Anwendungen und Daten steuern und gleichzeitig einen zentralen Zugriff für einen Administrator ermöglichen. Läuft unter Windows und Linux.
- ManageEngine Application Control PlusEin „Least Privilege“-Paket, das das Cloud-Konzept von Zero Trust Access für lokale Endpunkte implementiert. Läuft auf Windows Server.
- Faronics Anti-ExecutableDieses Paket erstellt mehrere Zugriffsebenen auf ausführbare Dateien und ermöglicht es einem Administrator, Benutzern diese Zugriffsrechte zuzuweisen. Verfügbar für Windows und macOS oder als SaaS-Paket.
- McAfee-AnwendungskontrolleDieses Paket verhindert, dass alle außer autorisierten Anwendungen auf einem geschützten Gerät ausgeführt werden, und steuert, welche Benutzerkonten welche Anwendungen ausführen können. Läuft unter Windows, macOS, Android und iOS.
Die Whitelisting-Software kann anhand verschiedener Anwendungsdatei- und Ordnerattribute wie Dateiname, Dateipfad, Dateigröße usw. zwischen zugelassenen und unzulässigen Anwendungen unterscheiden. Digitale Unterschrift oder Herausgeber und kryptografischer Hash.
Die Anwendung dieser Kontrollebene ist einer der modernen Cybersicherheitsansätze zur Abwehr mehrerer kritischer Bedrohungen.Whitelisting wird normalerweise auf Schicht 7 des OSI-Modells erzwungen. Der Zweck dieses Artikels besteht darin, Organisationen dabei zu helfen, die richtige Anwendungs-Whitelisting-Lösung für ihr Unternehmen zu verstehen, zu bewerten, auszuwählen und zu implementieren.
Warum ist das Whitelisting von Anwendungen wichtig?
Heutzutage gilt ein signaturbasierter Sicherheitsansatz nicht mehr als stark genug, um Systeme vor modernen Cyber-Bedrohungen zu schützen. Aus diesem Grund übernehmen viele Organisationen die Prinzipien des Zero-Trust Sicherheitsmodell in ihrer Sicherheitsstrategie. Die jüngsten Malware-Statistiken und Cyberkriminalitätstrends zeigen jedoch, dass sie weltweit immer noch ein erhebliches Problem darstellen. Mit über Täglich werden 350.000 neue Malware entdeckt ist es für Antivirenanwendungen praktisch unmöglich, diese neuen und aufkommenden Bedrohungen im Auge zu behalten. Hier spielt das Whitelisting von Anwendungen eine Schlüsselrolle.
Anwendungs-Whitelisting ist ein leistungsstarkes Tool zum Schutz Ihrer Systeme vor bekannten und unbekannten Bedrohungen wie Malware, Advanced Persistent Threats (APTs) , Dateilose Angriffe , Zero-Day- und Ransomware-Angriffe, insbesondere in Hochrisikoumgebungen, in denen maximale Sicherheit erforderlich ist. Wenn festgestellt wird, dass die Reputation eines Antrags unbekannt ist, wird seine Ausführung verweigert. Die Default-Deny-Richtlinie der Whitelisting-Technologien für Anwendungen erschwert die Ausführung von Zero-Day- und Ransomware-Angriffen.
Der Umfang des Anwendungs-Whitelisting endet nicht nur beim Schutz vor Malware. Sie bieten außerdem einen vollständigen Einblick in die Anwendungen und Prozesse auf Ihren Hostsystemen und ermöglichen Ihnen die Überwachung von Änderungen an diesen Anwendungsdateien. Sie können entweder verhindern, dass die Dateien geändert werden, oder Sicherheitsteams zur weiteren Untersuchung benachrichtigen. Dies hilft Sicherheitsadministratoren, ihre Sicherheitsrichtlinien zu optimieren und ihre Whitelists entsprechend zu aktualisieren.
Warum nutzt nicht jeder das Whitelisting für Anwendungen?
Das Whitelisting von Anwendungen schützt zwar hervorragend vor bösartigen Anwendungen, kann jedoch sehr restriktiv sein. Jedes Mal, wenn der Benutzer eine legitime Anwendung ausführen muss, die nicht auf der Whitelist steht, muss er sich an den Administrator wenden. Dies kann die Nutzung eines Systems erschweren und zu betrieblichen Engpässen, Ineffizienz und Frustration am Arbeitsplatz führen, insbesondere in großen Unternehmen. Darüber hinaus kann die Whitelisting-Lösung ein massiver Misserfolg sein, wenn Endbenutzer ständig nicht in der Lage sind, wesentliche Geschäftsfunktionen im Alltag auszuführen.
Das Erstellen und Aktualisieren einer umfassenden Whitelist kann für den Sicherheitsadministrator eine ziemlich herausfordernde und anspruchsvolle Aufgabe sein. Dies erklärt, warum die meisten Unternehmen es vorziehen, Blacklists einzuführen, anstatt sich die Mühe zu machen, die mit Whitelists einhergeht. Diese Probleme können jedoch erheblich verringert werden, wenn die Whitelisting-Lösung bereits über Richtlinienvorlagen verfügt oder Sicherheitsadministratoren die Möglichkeit bietet, bekannte Anwendungen, die als sicher gelten, vorab zu genehmigen. Wenn Benutzer dann versuchen, sie zu installieren, erfolgt die Installation ohne Einschränkungen.
Was ist erforderlich, um die Whitelisting-Lösung für Anwendungen erfolgreich einzusetzen?
Die Implementierung einer Anwendungs-Whitelisting-Lösung erfordert eine ordnungsgemäße Planung für eine erfolgreiche Bereitstellung. Während des Implementierungsprozesses sollten mehrere Best Practices eingehalten werden. Eine davon ist die Verwendung eines schrittweisen Implementierungsansatzes, der unvorhergesehene Probleme zu Beginn des Prozesses minimiert. Die USA Rahmenwerk des National Institute of Standards and Technology (NIST) zum Whitelisting von Anwendungen empfiehlt folgende Planungs- und Umsetzungsphasen:
- Einleitung Der Zweck dieser Phase besteht darin, durch eine Anforderungsanalyse den aktuellen und zukünftigen Bedarf an Anwendungs-Whitelisting zu ermitteln und zu bestimmen, wie dieser Bedarf am besten erfüllt werden kann, einschließlich eines Richtliniendokuments, das alle diese Entscheidungen festhält. Das Ergebnis der Anforderungsanalyse sollte dabei helfen, die Arten von Bedrohungen zu bestimmen, vor denen die Anwendungs-Whitelisting schützen soll. die Arten von Anwendungen oder Anwendungskomponenten (ausführbare Dateien, Bibliotheken, Registrierungseinträge, Konfigurationsdateien usw.), die überwacht werden müssen; und die Arten des Anwendungs-Whitelistings, die verwendet werden sollten, um Sicherheit, Benutzerfreundlichkeit und Wartbarkeit in Einklang zu bringen. Am Ende dieser Phase sollten Sie eine geeignete Whitelisting-Technologie für Anwendungen identifizieren, die Ihr Unternehmen benötigt.
- Design Sobald die Anforderungen ermittelt und die geeigneten Whitelisting-Technologien für Anwendungen ausgewählt wurden, besteht der nächste Schritt darin, eine Lösung zu entwerfen, die diese Anforderungen erfüllt. Zu den kritischen Designentscheidungen, die es zu berücksichtigen gilt, gehören Lösungsarchitektur, Whitelist-Management, Kryptografierichtlinie und Sicherheit. Wenn diese Designentscheidungen fehlerhaft sind, ist die Implementierung der Anwendungs-Whitelist anfälliger für Fehler.
- Testen Nachdem die Lösung entworfen wurde, besteht der nächste Schritt darin, einen Prototyp der Designlösung zu testen, um sicherzustellen, dass sie den Designanforderungen und der Lösungsarchitektur in kritischen Bereichen wie Funktionalität, Verwaltung, Leistung, Sicherheit und Benutzerfreundlichkeit entspricht. Die Tests sollten vor der Migration auf Produktionssysteme oder Server in einer Testumgebung durchgeführt werden.
- Einsatz Sobald die Tests abgeschlossen sind und alle Probleme gelöst sind, besteht der nächste Schritt darin, die Anwendungs-Whitelisting-Lösung bereitzustellen. NIST empfiehlt eine schrittweise Einführung der Lösung. Dies bietet Sicherheitsadministratoren die Möglichkeit, die Auswirkungen der Lösung zu messen und Probleme vor der unternehmensweiten Bereitstellung zu beheben. Dazu gehört auch die Zeit, in der das IT-Personal und die Benutzer geschult werden und sich an den Betriebslebenszyklus der Implementierung gewöhnen können.
- Management Nachdem die Lösung bereitgestellt wurde, ist es nun an der Zeit, sie während ihres gesamten Lebenszyklus zu verwalten. Die Ausführung der Lösung umfasst den Betrieb der Anwendung, die Aktualisierung der Whitelist, der Richtlinien, der Software und anderer Lösungskomponenten. Weitere wichtige Aktivitäten umfassen Patch-Management, Schlüsselverwaltung und die Anpassung von Richtlinien bei sich ändernden Anforderungen. Der gesamte Implementierungsprozess wird wiederholt, wenn Erweiterungen oder wesentliche Änderungen in die Lösung integriert werden müssen.
Evaluierung von Anwendungs-Whitelisting-Lösungen
Da es zahlreiche Tools zum Whitelisting von Anwendungen gibt, kann es eine Herausforderung sein, das richtige Tool für Ihr Unternehmen und Ihr Budget auszuwählen. Was in Bezug auf Preis, Ausstattung und Funktionalität für ein Projekt oder Unternehmen perfekt passt, funktioniert möglicherweise nicht für ein anderes. Daher müssen Sie bei der Bewertung und Auswahl einer Anwendungs-Whitelisting-Lösung sicherstellen, dass die verschiedenen Funktionen Ihren Sicherheitsrisiken und Richtlinienanforderungen gerecht werden. Darüber hinaus möchten Sie nicht in den Verkaufs- und Marketingrummel verwickelt werden, der die meisten Sicherheitsprodukte umgibt.
Es ist von entscheidender Bedeutung, die Kompetenzen in Bezug auf bestimmte Produktfunktionen wie gewünschte Funktionen, Integration und Produktunterstützung zu vergleichen. Geeignete Softwarefunktionen zur Anwendungs-Whitelisting sind für eine erfolgreiche Bereitstellung von entscheidender Bedeutung. Laut NIST sollten „Organisationen bereits in das Betriebssystem integrierte Whitelisting-Technologien für Anwendungen in Betracht ziehen, insbesondere für zentral verwaltete Hosts (Desktops, Laptops, Server), da die Verwaltung dieser Lösungen relativ einfach ist und nur minimale zusätzliche Kosten verursacht.“ Wenn integrierte Whitelisting-Funktionen für Anwendungen nicht verfügbar sind oder sich als ungeeignet erweisen, besteht die Alternative darin, Lösungen von Drittanbietern mit robusten zentralisierten Verwaltungsfunktionen zu prüfen.“ Weitere wichtige Fragen, die bei der Bewertung der Wirksamkeit potenzieller Whitelisting-Lösungen für Anwendungen, wie sie im NIST-Framework empfohlen werden, zu berücksichtigen sind, sind in der folgenden Tabelle aufgeführt:
Wie leicht kann eine Lösung umgangen werden? | Eine Lösung, die leicht umgangen werden kann, erleichtert die Ausführung nicht autorisierter Software, was Malware Tür und Tor öffnet |
Wie komplex ist eine Lösung (Hash-basiert versus signaturbasiert usw.)? | Je komplexer die Lösungen, desto schwieriger ist es für einen Angreifer, sie zu umgehen. Der Nachteil besteht darin, dass komplexe Lösungen möglicherweise einen höheren Verwaltungs- und Wartungsaufwand verursachen |
Wie hoch sind die relativen Kosten einer Lösung? | Dies sollte sowohl die Implementierungskosten als auch die Betriebskosten einer Lösung umfassen |
Welchen Einfluss hat die Lösung auf die Standardleistung? | Die Lösung kann ein massiver Misserfolg sein, wenn die Endbenutzer ständig nicht in der Lage sind, wesentliche Geschäftsfunktionen im Alltag auszuführen |
Welche Auswirkungen hat die Lösung auf das Geschäft/die Mission? | Berücksichtigen Sie die Auswirkungen des Risikos, das mit falsch-positiven und falsch-negativen Ergebnissen einhergeht |
Wie nutzbar ist die Lösung sowohl für Benutzer als auch für Administratoren? | Eine großartige Lösung schafft ein Gleichgewicht zwischen Benutzerfreundlichkeit und Sicherheit und berücksichtigt gleichzeitig das Budget |
Welche langfristigen Wartungsanforderungen bestehen für den Betrieb der Lösung? | Dies ist angesichts der erheblichen Wartungskosten wichtig. Der Wartungsaufwand muss mit der Wirksamkeit der Lösung in Einklang gebracht werden. |
Tabelle 1.0 Wichtige Überlegungen bei der Bewertung potenzieller Whitelisting-Lösungen
Beste Lösung für das Whitelisting von Anwendungen
Unsere Methodik zur Auswahl von Anwendungs-Whitelisting-Software
Wir haben den Markt für Anwendungs-Whitelisting-Systeme untersucht und die Optionen anhand der folgenden Kriterien analysiert:
- Ein Dienst, der nicht autorisierte Software blockieren kann
- Ein Zugangskontrollsystem, das mehrere Zugangsebenen bietet
- Ein Zugriffsrechte-Manager, der Benutzerkonten Zugriffsebenen zuordnet
- Kontrolle über den Zugriff auf Dateien und andere Datenquellen
- Ein Administratorkonto, das Zugriffskontrollen und -rechte einrichten und verwalten kann
- Eine kostenlose Testversion oder ein Demokonto für eine risikofreie Bewertungsmöglichkeit
- Ein preiswerter Dienst, der sowohl Malware blockiert als auch die Manipulation autorisierter Anwendungen durch Eindringlinge verhindert.
1. AppLocker
AppLocker ist eine Anwendungs-Whitelisting-Technologie von Microsoft. Es ist in den Enterprise-Editionen von Windows enthalten, einschließlich der Windows 10 Education und Enterprise Edition sowie den Editionen Windows Server 2008, 2012, 2012 R2, 2016 und 2019. Leider wird AppLocker unter Windows 10 Home und Professional Edition nicht unterstützt.
Hauptmerkmale:
- In Windows integriert
- Steuert den Zugriff auf das Betriebssystem
- Blockiert nicht autorisierte ausführbare Dateien
- Automatische Zugriffsberechtigung
- Ermöglicht uneingeschränkten Zugriff für autorisierte Benutzer
Mit AppLocker können Sicherheitsadministratoren basierend auf dem Pfad, dem Dateinamen, dem Herausgeber oder dem Hash des Programms einschränken, welche Programme Benutzer ausführen können. Daher ist AppLocker ideal für Organisationen, die derzeit Gruppenrichtlinien zur Verwaltung ihrer PCs verwenden. Interne Windows-Anwendungen werden automatisch auf die Whitelist gesetzt, wodurch die Benutzererfahrung weniger kompliziert wird.
Microsoft empfiehlt Folgendes Szenarien als ideal für den Einsatz von AppLocker :
- Die Sicherheitsrichtlinien Ihres Unternehmens schreiben die Verwendung ausschließlich lizenzierter Software vor. Daher müssen Sie verhindern, dass Benutzer nicht lizenzierte Software ausführen, und lizenzierte Software auf autorisierte Benutzer beschränken.
- Ihre Organisation unterstützt eine App nicht mehr. Darüber hinaus müssen Sie verhindern, dass sie von allen genutzt wird.
- Das Potenzial, dass unerwünschte Software in Ihre Umgebung eingeführt werden kann, ist hoch, daher müssen Sie diese Bedrohung reduzieren.
- Die Lizenz für eine App wurde widerrufen oder sie ist in Ihrer Organisation abgelaufen. Sie müssen also verhindern, dass sie von jedem verwendet wird.
- Eine neue App oder eine neue Version einer App wird bereitgestellt und Sie müssen verhindern, dass Benutzer die alte Version ausführen.
- Bestimmte Softwaretools sind innerhalb der Organisation nicht zulässig oder nur bestimmte Benutzer sollten auf diese Tools zugreifen.
- Ein einzelner Benutzer oder eine kleine Gruppe von Benutzern muss eine bestimmte App verwenden, die allen anderen verwehrt bleibt.
- In Ihrem Unternehmen teilen sich Menschen einige Computer mit unterschiedlichen Anforderungen an die Softwarenutzung, und Sie müssen bestimmte Apps schützen.
Ungeachtet dessen kann jeder mit Administratorrechten für sein lokales Gerät AppLocker-Richtlinien untergraben. AppLocker kann auch mit folgenden Techniken leicht umgangen werden:
- Schreiben eines nicht genehmigten Programms an einen Speicherort auf der Whitelist
- Verwendung eines Programms auf der Whitelist als Delegierter zum Starten eines nicht genehmigten Programms
- Kapern der von einer vertrauenswürdigen Anwendung geladenen DLLs in einem nicht vertrauenswürdigen Verzeichnis
Vorteile:
- Kostenlose Nutzung für Windows-Geräte
- Bietet ein zentrales Controller-Konto für mehrere Endpunkte
- Bindet sich in die Zugriffsrechteverwaltung ein
- Verhindert, dass Benutzer Software installieren
- Schützt den Kernel
Nachteile:
- Funktioniert nur unter Windows
- Kann programmgesteuert umgangen werden
DIE WAHL DES HERAUSGEBERS
AppLockerist unsere erste Wahl für ein Softwarepaket zum Whitelisting von Anwendungen, da es in Windows integriert ist und somit in die Konsolen integriert ist, die Systemadministratoren derzeit verwenden und verstehen. Durch die Kontrolle des Anwendungszugriffs auf das Betriebssystem kann dieses Tool einfach und effizient verhindern, dass sie vom Prozessor des geschützten Computers ausgeführt werden. Dies ist ein sehr effektiver Systemschutzmechanismus.
Herunterladen: Kostenlose Nutzung
Offizielle Seite: https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/applocker/applocker-overview
DU:Windows und Windows Server
2. Luftschleuse Digital
Luftschleuse Digital ist ein in Australien ansässiges Cybersicherheitsunternehmen, das sich auf die Bewältigung von Whitelist-Herausforderungen für Anwendungen konzentriert. Airlock erleichtert Unternehmen die Erstellung und Verwaltung sicherer Anwendungs-Whitelists und bietet gleichzeitig eine zentrale Sichtbarkeit aller Dateien in sich dynamisch ändernden Computerumgebungen.
Hauptmerkmale:
- Vernetzte Steuerungen
- Blockiert Eindringlingssonden
- Notfall-Bypass
- Blocklisting gegen Angriffe
Das Airlock Digital-System erzwingt Ausführungskontrollen für alle ausführbaren Dateien, Anwendungsbibliotheken, Installationsprogramme und Skripte.
Das Paket beinhaltet LiveAktivitätsüberwachungund präsentiert Tools für Administratoren, mit denen sie vorübergehende Maßnahmen bezüglich Berechtigungen ergreifen können, um systemische Beschlagnahmungen oder Head-Off-Angriffe zu verhindern. Dies unterstützt schnellePolitikmanagementÄnderungen, um Zeit für eine längerfristige Analyse und Neufassung der Politik zu gewinnen.
Funktionen zur Ausnahmebehandlung (Bypass) ermöglichen es Administratoren, Geräte über die Airlock One Time Pad (OTP)-Funktion vorübergehend von der Whitelist auszuschließen, um die Geschäftskontinuität sicherzustellen. Eine Blacklisting-Funktion implementiert vordefinierte Regeln, die auf das Mitre Attack-Framework und die von Microsoft empfohlenen Blockierungsregeln abgestimmt sind. Es ist auch möglich, eigene benutzerdefinierte Regeln zu erstellen.
Administratoren erhalten die Kontrolle darüber, wo und wie sie Trust-Hash, Herausgeber, Pfad oder Prozess anwenden. Einzigartige Konfigurationsfunktionen erschweren es böswilligen Akteuren, ihre Angriffe zu testen und zu validieren.
- Airlock Server – Installiert auf Servern (physisch oder virtuell)
- Airlock Enforcement Agent – wird auf Workstations und Servern installiert, um Schutz zu bieten
- Airlock Application Capture (optional) – Wird auf einer bekanntermaßen vertrauenswürdigen Workstation oder einem Server installiert, um die Verwaltung von Anwendungs-Whitelisting-Regelsätzen zu unterstützen.
Du kannst Fordern Sie eine personalisierte Demo an damit Sie ein Gefühl für die Software bekommen, bevor Sie finanzielle Verpflichtungen eingehen.
Vorteile:
- Zentralisieren Sie die Kontrolle über eine Flotte von Endpunkten, die mit einem Netzwerk verbunden sind
- Kontrollieren Sie den Zugriff auf das Betriebssystem für Software und blockieren Sie nicht autorisierte Anwendungen
- Notfall-Workaround zur Verhinderung unternehmensweiter Aussperrungen
- Verwirrende Strategien, um Hacker und Eindringlinge zu blockieren
Nachteile:
- Kontrollumgehungen könnten die Sicherheit des Dienstes schwächen
Eine voll funktionsfähige Eine kostenlose 30-Tage-Testversion ist verfügbar zum Download. Das Lizenzmodell basiert auf einem jährlichen Fixkostenabonnement inklusive Support oder einer einmaligen (unbefristeten) Lizenzgebühr + jährlichen Wartungskosten (AMS).
3. ManageEngine Application Control Plus
Application Control Plus-Software ist eine lokale Lösung, die die Prinzipien von Least Privilege und Zero Trust kombiniert, um es Unternehmen zu ermöglichen, den Whitelisting-Prozess für Anwendungen zu automatisieren. Steuert Fence-Anwendungen einzeln, umzäunt sie und erlaubt nur autorisierten Zugriff auf sie und die damit verbundenen Berechtigungen.
Das Application Control Plus-System ist in zwei Modulen implementiert: einem Controller (Server) und einem Endpunktagenten (Client). Agenten scannen jeden Endpunkt in einem LAN und stellen eine Liste der darin installierten Anwendungen sowie Details zu allen ihren ausführbaren Dateien bereit. Dies hilft Unternehmen dabei, Richtlinien zur Kontrolle und Autorisierung des Anwendungszugriffs durchzusetzen, Malware-Bedrohungen zu verhindern und Produktivitätsverluste zu bewältigen.
Hauptmerkmale:
- Zentralisierte Kontrollen
- Automatische Erkennung
- Zugriffskontrollen pro Anwendung
Whitelists werden als Anwendungsregeln implementiert, die für jede autorisierte Anwendung und nicht für den gesamten Endpunkt eingerichtet werden. Das System setzt nicht autorisierte Anwendungen automatisch auf die schwarze Liste, da nichts außerhalb des Anwendungskontrollsystems Zugriff auf das Betriebssystem hat. Diese Funktion verhindert nicht nur, dass Benutzer ihre eigene Software installieren, sondern blockiert auch vollständig Versuche, Malware zu installieren.
Die zentralisierte Verwaltung aller Endpunkte blockiert lokale Administratorkonten und verhindert so, dass Benutzer, Eindringlinge oder Malware in die Steuerung des Geräts gelangen.
Während eine Seite des Systems Anwendungen abschirmt, verwaltet der andere Aspekt der Zugriffskontrolle Benutzerkonten. Jedem Konto ist eine Zugriffsebene zugewiesen, und diese Spezifikationen können vom Benutzer nicht nach Belieben auf Systemprivilegien erhöht werden.
Ein Übergangsstatus für Privilegienverwaltung und Zugriffsrechte ermöglicht den kurzfristigen Zugriff auf eine neue zu untersuchende Anwendung. Diese können mit einem Enddatum versehen werden, um zu verhindern, dass geistesabwesende Administratoren diese kurzfristigen Berechtigungen auf unbestimmte Zeit zulassen.
Die vordefinierten Regeln, die in der Administratorkonsole von Application Control Plus verfügbar sind, bieten einem Systemmanager eine schnelle Lösung zum Einrichten funktionsfähiger Anwendungskontrollen, während er sich gleichzeitig mit dem System vertraut macht. Diese können später durch Anpassung verfeinert werden.
Vorteile:
- Erstellt eine Virtualisierung/einen Container für jede Anwendung
- Alles außerhalb genehmigter Anwendungen wird für den Zugriff auf das Betriebssystem gesperrt
- Autodiscovery und voreingestellte Regeln bieten schnelle Lösungen, um Anwendungskontrollen schnell zum Laufen zu bringen
Nachteile:
- Gilt nicht für Cloud-Dienste
Der Controller für ManageEngine Application Control Plus läuft auf Windows Server und Endpunktagenten sind für Windows und macOS verfügbar. Es gibt eine kostenlose Version der Software, die auf die Überwachung von bis zu 25 Geräten beschränkt ist. Eine voll funktionsfähige Eine kostenlose 30-Tage-Testversion ist verfügbar zum Download. Das Lizenzmodell basiert auf einem jährlichen Fixkostenabonnement inklusive Support oder einer einmaligen (unbefristeten) Lizenzgebühr + jährlichen Wartungskosten (AMS).
4. Faronics Anti-Executable
Faronics Anti-Executable ist eine ausgereifte Whitelist-Anwendung, die komplexe Bedrohungen wie Zero-Day-, APT- und Ransomware-Angriffe blockiert, indem sie sicherstellt, dass nur genehmigte Anwendungen auf einem Computer ausgeführt werden.
Das Faronics-Paket verwaltet speziell den Betriebssystemzugriff für Programmdateien mit den Dateierweiterungen .exe, .dll, .com, .scr, .jar und .bat. Hierbei handelt es sich um ein zugelassenes Virtualisierungssystem, bei dem nur verwaltete Anwendungen zum Starten Zugriff auf das Betriebssystem erhalten. Daher kann jede Software, die installiert wird, ohne die Phase der Registrierung im Anti-Executable-System durchlaufen zu haben, einfach nicht ausgeführt werden.
Hauptmerkmale:
- Abgestufte Berechtigungsstufen
- Standard-Berechtigungsregeln
- Umfangreiche Aktivitätsprotokollierung
Um zu verhindern, dass strenge Kontrollen den Betrieb des Unternehmens behindern, gibt es eine Graylisting-Option, die automatisch angewendet werden kann. Verwenden Sie diese Funktion jedoch mit Vorsicht und nur für den kurzfristigen Gebrauch, damit Software vor der vollständigen Freigabe getestet werden kann – beispielsweise während einer kostenlosen Testphase vor dem Kauf.
Das Faronics-System verfügt über einen hohen Automatisierungsgrad, um den Verwaltungsprozess zu beschleunigen. Es bietet automatisches Scannen von Endpunkten, das eine Liste der installierten Software erstellt und es einem Administrator ermöglicht, die Liste durchzugehen und jedes Paket zuzulassen oder zu blockieren. Diese Schnelllösung wendet einen Standardregelsatz an, der Zeit für detaillierte Untersuchungen verschafft, bevor jedes Paket vollständig genehmigt wird.
Die Verwaltung der Benutzerzugriffsrechte kann über Active Directory implementiert werden. Zulässige Anwendungen können Gruppen zugewiesen werden, wodurch effektiv ein Standardmenü von Diensten erstellt wird, die jeder Benutzergruppe zugewiesen werden können.
Das System bietet eine umfassende Aktivitätsprotokollierung, einschließlich Rollback-Speicher für Konsolen- oder AD-Änderungen. Diese Aufzeichnungen fließen in die Compliance-Berichterstattung ein.
Faronics Anti-Executable ist sowohl als eigenständige Version (vor Ort) als auch erhältlich Cloud-Editionen und wird auf MAC- und Windows-Betriebssystemen unterstützt. Windows Server-Editionen von Anti-Executable können nicht auf einem Nicht-Server-Betriebssystem installiert werden. Im Gegensatz dazu können Nicht-Server-Editionen von Anti-Executable nicht auf einem Server-Betriebssystem installiert werden. Die On-Premise- und Cloud-Editionen sind wie folgt:
- Standard: Ein einzelner eigenständiger Computer, auf dem ein Nicht-Server-Betriebssystem installiert ist.
- Server-Standard: Ein einzelner eigenständiger Computer, auf dem ein Server-Betriebssystem installiert ist
- Unternehmen: Mehrere Computer, auf denen Nicht-Server-Betriebssysteme installiert sind.
- Server Enterprise: Mehrere Computer mit Server-Betriebssystemen
- Faronics Anti-Executable Cloud: Durch maschinelles Lernen unterstütztes Whitelisting von Anwendungen
Vorteile:
- Autodiscovery und Softwareinventurerstellung
- Schnelles Graylisting für kurzfristige Zugriffszuschüsse
- Massengenehmigungen für vertrauenswürdige Softwaremarken
Nachteile:
- Graylisting könnte missbraucht werden, um die Entscheidungsfindung zu verzögern
Eine voll funktionsfähige kostenlose 30-Tage-Testversion steht zum Download bereit. Um die Anwendung anschließend weiter ausführen zu können, ist ein gültiger Lizenzschlüssel erforderlich.
5. McAfee Application Control
McAfee-Anwendungskontrolle Software ist eine zentral verwaltete Whitelisting-Lösung, die Zero-Day- und APT-Angriffe verhindert, indem sie die Ausführung nicht autorisierter Anwendungen auf Servern, Unternehmens-Desktops und Geräten mit fester Funktion wie Point-of-Sale (POS) und Kundendienstterminals blockiert. McAfee Application Control verwendet dynamische Whitelists, um sicherzustellen, dass nur vertrauenswürdige Anwendungen ausgeführt werden dürfen. Dadurch erhält die IT Transparenz und Kontrolle über die Clients und trägt zur Durchsetzung der Softwarelizenz-Compliance bei.
Hauptmerkmale:
- Betriebssystemzugriff nur für genehmigte Software
- Automatische Malware-Blockierung
- Automatisierte Genehmigungsregeln
Das McAfee-System untersucht alle ausführbaren Dateien und listet sie zur Kontrolle auf. Alles, was in der Verwaltungskonsole nicht mit Steuerelementen belegt ist, wird vom Betriebssystem ausgeschlossen. Diese Steuerelemente erstrecken sich auf Binärdateien, Kernelkomponenten, DLLs, ActiveX-Steuerelemente, Skripts und Java-Komponenten.
Administratoren unter Zeitdruck werden die dynamische Whitelisting-Funktion in der Managementkonsole zu schätzen wissen. Auf diese Weise können bestimmte Anwendungen sofort genehmigt werden, ohne dass ein manuelles Eingreifen durch eine Reihe von Regeln erforderlich ist. Ein Unternehmen könnte beispielsweise beschließen, keine Zeit mit der Bewertung des Sicherheitsrisikos der Installation von Microsoft-Produkten zu verschwenden.
Bei beschleunigten Genehmigungen wird einer bestimmten Standardbenutzergruppe der Zugriff darauf gestattet. Dieses Privileg kann bestimmten Gruppen zugeordnet werden, sodass der Administrator entscheiden kann, ob er auch anderen Gruppen Zugriff auf die neue Anwendung gewähren möchte.
Das McAfee Application Control-System lässt sich in Ihren Patch-Manager integrieren, sodass Sie Ihre regelmäßigen Patch-Zyklen beibehalten können. Dadurch wird verhindert, dass Anwendungen, die auf der Whitelist stehen, durch Speicherpufferüberlaufangriffe auf Windows 32- und 64-Bit-Systemen ausgenutzt werden.
Das McAfee-System umfasst außerdem ein Optionsbenachrichtigungssystem, das Benutzern Erklärungen dazu liefert, warum ihnen die Installation von Software auf ihren Workstations verweigert wird oder welche Schritte sie durchlaufen müssen, um Zugriff auf ein zulässiges Paket zu erhalten, für das sie derzeit gesperrt sind.
Vorteile:
- Ein schneller Automatisierungs-Stream für Genehmigungen
- Popups mit Benutzerinformationen
- Starke Blockaden beim Zugriff auf das Betriebssystem
Nachteile:
- Gehen Sie bei der Genehmigungsautomatisierung mit Vorsicht vor
A Die kostenlose Testversion steht zum Download bereit um Ihnen eine Probefahrt mit dem Produkt zu ermöglichen.
Häufig gestellte Fragen zum Whitelisting von Anwendungen
Warum ist das Whitelisting von Anwendungen wichtig?
Das Whitelisting von Anwendungen ist ein Ersatz für den herkömmlichen Ansatz, dem Benutzer Zugriff auf einen Endpunkt zu gewähren und dann auf jedem Computer Antivirensysteme zu installieren, um nicht autorisierte Software zu blockieren. Das Whitelisting von Anwendungen kombiniert die Verwaltung von Zugriffsrechten mit der Kontrolle des Softwarebestands. Jede Anwendung ist durch unabhängige Zugriffslisten geschützt und nur geschützte Anwendungen sind für den Zugriff auf das Betriebssystem zugelassen. Ohne Zugriff auf die Dienste des Betriebssystems können ausführbare Dateien nicht ausgeführt werden. Daher ist jede Software, die heimlich installiert wird, nutzlos und kann keinen Schaden anrichten.
Wie wird die Anwendungs-Whitelist implementiert?
Wenn Sie Cloud-Assets verwalten und Zero Trust Access für diese implementiert haben, werden Sie sofort verstehen, wie das Whitelisting von Anwendungen funktioniert. Dies ist die lokale Version von ZTA. Standardmäßig ist jegliche Software daran gehindert, auf das Betriebssystem zuzugreifen. Wenn Sie in die Whitelist aufgenommen werden, ist der gesamte Zugriff auf diese Anwendung standardmäßig blockiert. Benutzer werden dann für jede Anwendung einzeln oder über eine Benutzergruppe zugelassen.
Was ist der Unterschied zwischen Anwendungs-Whitelisting und Blacklisting?
Durch das Whitelisting von Anwendungen wird die Ausführung sämtlicher Software blockiert. Anschließend fügt ein Administrator jedes Paket einer genehmigten Liste hinzu, wodurch es aktiviert wird. Blacklisting erfolgt in einer Umgebung, in der die gesamte Software ausgeführt werden darf, mit Ausnahme der Pakete, die speziell benannt wurden.