Whitelisting mit AppLocker?
Robert Jasiek
SoftwareRestrictionPolicies, aber das Whitelisten von SRPs auf
AppLocker zu �bertragen ist mir nicht gelungen. Im Einzelnen:
Ich habe drei Benutzer "MyAdmin", "MyPrivat", "MyInternet". Die ersten
beiden sollen alles d�rfen, w�hrend MyInternet nur bestimmte
Anwendungen ausf�hren darf. Mit SRPs habe ich das auch bei Win7 so
l�sen k�nnen: Mit einem Gruppenrichtlinienobjekt-SnapIn angewendet auf
Lokaler Computer f�r MyPC\MyInternet habe ich dort diese Regeln
gesetzt:
\Program Files Verboten
\Program Files\InternetAPP1 Erlaubt
\Program Files\InternetAPP2 Erlaubt
\Program Files\InternetAPP3 Erlaubt
Nun habe ich versucht, das auf AppLocker zu �bertragen:
Jeder Default-Regel f�rs Windows-Verzeichnis
Administratoren Default-Regel f�r alle Dateien
MyInternet \Program Files Verboten
MyInternet \Program Files\InternetAPP1 Erlaubt
MyInternet \Program Files\InternetAPP2 Erlaubt
MyInternet \Program Files\InternetAPP3 Erlaubt
Das aber funktioniert nicht, wohl weil bei AppLocker (im Unterschied
zu den SRPs) die Verbotsregel Vorrang hat vor den
Unterverzeichnis-Erlaubnis-Regeln.
Blacklisten ist m�glich gewesen:
Jeder Default-Regel f�rs Windows-Verzeichnis
Administratoren Default-Regel f�r alle Dateien
Jeder Default-Regel f�rs Programm-Verzeichnis (Erlaubt)
MyInternet \Program Files\LokaleAPP1 Verboten
MyInternet \Program Files\LokaleAPP2 Verboten
MyInternet \Program Files\LokaleAPP3 Verboten
Nun macht Blacklisten als Anti-Malware-Strategie aber keinen Sinn. Ich
will also weiterhin Whitelisten. Geht das f�r bestimmte
Standard-Benutzer mit AppLocker �berhaupt und wie?
Andernfalls w�re zu hoffen, dass SRPs nicht nur aus
Kompatibilit�tsgr�nden, sondern dauerhaft erhalten bleiben.