Whitelisting 2 NL and ENG

Nederlands

Implement AppLocker Rules in Windows Server 2016

En hoe je de ingevoerde regels weer kan verwijderen.

Posted by Jarrod on May 1, 2017 Leave a comment (1) Go to comments

We kunnen AppLocker regels implementeren met behulp van groepsbeleid in een Windows-domein om de uitvoering van willekeurige uitvoerbare bestanden te beperken. AppLocker neemt de aanpak van het ontkennen van alle uitvoerbare bestanden, tenzij ze specifiek op de witte lijst staan en toegestaan zijn.

AppLocker is beschikbaar in Windows Server 2008 R2 en nieuwer, en Windows 7 Enterprise edition of nieuwer aan de clientzijde. Merk op dat het alleen beschikbaar is voor bepaalde edities, bijvoorbeeld in Windows 10 heeft u Enterprise edition nodig om gebruik te maken van AppLocker. De AppLocker eisen kunt u hier vinden.

U dient zich te realiseren dat, voordat u AppLocker regels implementeert in een productieomgeving, het belangrijk is om grondige testen uit te voeren. AppLocker staat niets toe om te draaien tenzij het expliciet whitelisted is, wat problemen kan veroorzaken in uw omgeving als gebruikers niet in staat zijn om de benodigde software te draaien om hun werk te doen.

Rule Types

Voordat we verder gaan, laten we eerst de soorten regels bespreken die we met AppLocker kunnen maken.
- Executable Regels: Deze regels zijn van toepassing op executables, zoals .exe en .com bestanden.
- Windows Installer Regels: Deze regels zijn van toepassing op bestanden die worden gebruikt voor het installeren van programma's zoals .msi-, .mst- en .msp-bestanden.
- Scriptregels: Deze regels zijn van toepassing op scripts zoals .bat, .js, .vbs, .cmd en .ps1 bestanden.
- Packaged App Rules: Deze regels zijn van toepassing op de Windows-toepassingen die kunnen worden gedownload via de Windows-winkel met de extensie .appx.
Met elk van deze regels kunnen we een whitelist maken op basis van de uitgever, het pad of de hash van het bestand.
- Publisher: Deze methode van whitelisting wordt gebruikt bij het maken van standaard regels zoals we binnenkort zullen zien, het werkt op basis van het controleren van de uitgever (publisher) van de executable en dit toe te staan. Als de publisher, bestandsnaam of versie etc. veranderen dan zal de executable niet meer mogen draaien.
- Path: Executables kunnen op een witte lijst worden gezet door een mappad op te geven, we kunnen bijvoorbeeld zeggen dat alles binnen C:\ecutables mag worden uitgevoerd door een specifieke actieve map gebruikersgroep.
File Hash: Hoewel dit de meest veilige optie is, is het lastig om er mee te werken en te beheren. Als een bestand al verandert, bijvoorbeeld als een uitvoerbaar bestand wordt geüpdatet, zal het niet worden toegestaan om te draaien, omdat de toegestane hash ook is veranderd.
Nu zullen we daadwerkelijk AppLocker regels implementeren met behulp van group policy.
Implementeer AppLocker regels
We beginnen met het openen van Server Manager, het selecteren van Tools, gevolgd door Group Policy Management.

In het venster Group Policy Management dat wordt geopend, selecteren we de map met group policy objects binnen het domein, klikken we met de rechtermuisknop en selecteren we nieuw om een nieuw group policy object (GPO) aan te maken.
In dit geval maken we een AppLocker aan.

Zodra de basis GPO is aangemaakt, klikt u met de rechtermuisknop en selecteert u Bewerken.
Dit opent de Group Policy Management Editor (GPME).
Vanuit GPME selecteert u Computer Configuration > Policies > Windows Settings > Security Settings > AppLocker Control Policies > AppLocker.

Beschrijving: GPME AppLocker

Vanaf hier kunnen we de belangrijkste AppLocker interface bekijken waar we executable, windows installer, script en packaged app regels kunnen maken.
We kunnen beginnen met de standaard instellingen door te klikken op de “Configure rule enforcement” link op dit scherm die het volgende venster opent

. Beschrijving: Configure AppLocker Properties

Standaard is elk van deze vier items niet aangevinkt en niet ingeschakeld, we kunnen het vakje naast “Configured” aanvinken om het in te schakelen.
Dit zal de regel standaard op "Enforce rules" zetten, we kunnen echter optioneel op de drop-down klikken om deze te wijzigen in "Audit only" waardoor uitvoerbare bestanden kunnen worden uitgevoerd en alleen de actie kan worden gelogd.
In dit geval zetten we alle items aan, laten ze op enforcing staan en klikken op OK om de instellingen op te slaan.

Nu de regels worden gehandhaafd, moeten we de eigenlijke regels zelf instellen.
We maken eerst standaard AppLocker regels aan, gevolgd door automatische AppLocker regels, en eindigen met een aangepaste AppLocker regel.

Standaard AppLocker regels

We maken eerst de standaard regels aan, dat is een baseline set van regels die het besturingssysteem en de ingebouwde applicaties nog steeds normaal laten functioneren.
Klik met de rechtermuisknop op de “Executable Rules” en selecteer “Create Default Rules” zoals hieronder weergegeven.

We kunnen de standaardregels zien die hieronder zijn aangemaakt.

Deze standaardregels stellen alle gebruikers in staat om bestanden uit te voeren binnen de Program Files en Windows mappen.
Daarnaast zijn lokale beheerders in staat om alles uit te voeren, dus het is nog steeds belangrijk dat beheerdersaccounts alleen worden gebruikt voor administratieve taken, terwijl standaard gebruikersaccounts overal anders worden gebruikt.
Als 1 van deze acties voor u niet wenselijk is, kunt u de regel gewoon verwijderen of wijzigen.
We kunnen ook rechts klikken op "Windows Installer", "Script Rules" en "Packaged App Rules" en daar ook standaard regels aanmaken.
Met deze standaard regels in de plaats, en als een niet-administratieve gebruiker probeert iets uit te voeren dat niet binnen de hierboven gespecificeerde directories valt, zal die een fout ontvangen.

Beschrijving: AppLocker Blocked Program

Automatically Generate AppLocker Rules

Hoewel deze standaardregels een goed uitgangspunt zijn, zouden we de regels idealiter verder moeten aanpassen aan uw organisatorische eisen. We kunnen deze items met de rechtermuisknop aanklikken, en opnieuw selecteren we “Executable Rules”. In plaats van "“Create Default Rules”" zoals eerder getoond, selecteer je “Automatically Generate Rules”.

Beschrijving: AppLocker Automatically Generate Rules

Note: dat dit aangepaste regels zal genereren op basis van de computer waarop u ze genereert, in dit geval onze domeincontroller waar GPME open is. Idealiter zou u AppLocker regels willen maken op een SOE image zodat gemeenschappelijke elementen die worden ingezet op alle machines regels kunnen laten maken voor hen.
Vanuit het Folder and Permissions window, laten we de standaardinstellingen hieronder staan en klikken we op volgende om verder te gaan.

Beschrijving: AppLocker Folder and Permissions

Vervolgens laten we op het regelvoorkeuren scherm de standaardregels staan en maken we publisher rules aan voor bestanden die digitaal ondertekend zijn. Hoewel het gebruik van hashes als vrij veilig wordt beschouwd, is het ook vrij onhandig omdat er telkens nieuwe hashes nodig zijn als een bestand wordt geüpdatet of gewijzigd.

AppLocker Rule Preferences

Tot slot kunnen we op het venster met de review rules, de regels controleren die zullen worden opgesteld.
Klik op de knop create om verder te gaan.

Beschrijving: AppLocker Review Rules

We zien een AppLocker-waarschuwing met het advies dat we eerst de standaardregels moeten maken, selecteer ja als u deze nog niet heeft gemaakt zoals eerder getoond.

Beschrijving: AppLocker Default Rules Warning

We zien nu dat onze regels zijn opgesteld.

Beschrijving: AppLocker Automatic Rules

Zodra de executable rules zijn gemaakt voor executable rules, kunnen we hetzelfde doen voor Windows Installer Rules, Script Rules en Packaged App Rules.

Aangepaste AppLocker Regels

We kunnen ook volledige aangepaste regels maken door met de rechtermuisknop op een van de 4 regel-items te klikken en “Create Rule” te selecteren.

Beschrijving: Applocker Create New Rule

Klik op de pagina voordat u begint op volgende.
Op de permissions page selecteert u of u de toegang wilt toestaan of weigeren en in welke gebruiker of groep deze moet worden toegepast.

Beschrijving: AppLocker Rule Permissions

Kies op de conditions page, allow or deny op basis van publisher, path, of file hash zoals eerder besproken.

Beschrijving: AppLocker Rule Conditions

In dit voorbeeld heb ik path geselecteerd, dus na het klikken op de browse folders knop, kan ik naar de map bladeren die ik wil toestaan.

Beschrijving: AppLocker Rule Path

We kunnen hier optioneel uitsluitingen toevoegen, zo kunnen we bijvoorbeeld een gebruiker toestaan om alles uit te laten voeren op zijn of haar bureaublad, met uitzondering van een bepaald bestand.

Beschrijving: AppLocker Rule Exceptions

Tot slot kunnen we onze aangepaste regel een naam en beschrijving geven, standaard wordt de naam automatisch ingevuld.

Beschrijving: AppLocker Rule Name and Description

We kunnen nu een samenvatting van onze aangepaste regel zien onder de standaardregels die we eerder hebben gemaakt, wat bevestigt dat deze nu actief is.

Beschrijving: AppLocker Custom Rule

Om de AppLocker regels correct te laten werken, moet de client de AppIDSvc service draaien.
Zelfs als we AppLocker regels met group policy implementeren als de dienst niet daadwerkelijk draait, zullen ze niet worden gehandhaafd.

Samenvatting
We hebben group policy gebruikt om AppLocker regels te implementeren binnen onze Windows omgeving, om te voorkomen dat onbetrouwbare uitvoerbare bestanden worden uitgevoerd, wat zal helpen om zich te weren tegen een heleboel veiligheidsbedreigingen in Windows.