Instantly share code, notes, and snippets.

Embed
What would you like to do?
Malware: Effektiver Schutz durch Software-Whitelisting

Die Lizenz von meinem Antivirenprogramm lief nun entgültig ab und ich musste mir was neues suchen. Das war nun ein guter Zeitpunkt um mich mal mit Software-Whitelisting zu beschäftigen. Auf den Seiten der Universtität Rostock findet man viele nützliche Themen zum Thema IT-Sicherheit und Absichern von Windows-Systemen.

Was ist überhaupt Software-Whitelisting

Beim Software-Whitelisting kann nur die Software auf dem Computer ausgeführt werden, die man explizit erlaubt. Ein Gegenbeispiel wäre ein Antivirenprogramm, welches Blacklisting betreibt und nur Programme sperrt, die auf der Blacklist stehen. Wenn ein Antivirenprogramm aber eine Malware nicht erkennt dann kann sie trotzdem noch ausgeführt werden. Beim Software-Whitelisting kann das nicht passieren. Es lässt im Falle eines Scriptes wie QuickWinSec.bat nur Software aus schreibgeschützten Verzeichnissen starten. Malware, die mit Standardrechten ausgeführt wird, kann sich also gar nicht erst in diese zugelassenen Ordner reinkopieren.

QuickWinSec.bat: Gruppenrichtlinie blockiert Ausführung von Software

Vor was schützt Software-Whitelisting

Software-Whitelisting verhindert grob gesagt die Ausführung jeglicher Programme die nicht in den zugelassenen Verzeichnissen liegen. Um trotzdem Software starten zu können die nicht in den zugelassenen Verzeichnissen liegt, muss man die entsprechende Datei mit Adminrechten starten. Hier muss auch gesagt werden, dass man auf jeden Fall ein eingeschränktes Konto zum arbeiten verwenden sollte. Das Adminkonto sollte man nur zum administrieren (z.B. neue Software installieren) verwenden. Um ein Programm zu installieren muss man aber nicht zum Administratorkonto wechseln sondern kann das Programm einfach mit Administratorrechten starten.

Vor was schützt Software-Whitelisting nicht

Es schützt natürlich nicht davor wenn man absichtlich Malware oder ein unseriöses Programm installiert. Wenn man Software-Whitelisting anstelle eines Antivirenprogramms einsetzt sollte man genau wissen, was man installiert. Es schützt auch nicht vor Sicherheitslücken in vertrauenswürdiger Software die bereits ausgeführt wird. Ebenso wenig schützt es z.B. vor Phishingangriffen. Es ist also unabdingbar das man sein Gehirn benutzt. Software-Whitelisting bedeutet nämlich nicht, dass man jetzt alles anklicken kann was nicht bei 3 auf dem Baum ist.

Wie kann man Software-Whitelisting einsetzen

In den Professional-Versionen von Windows gibt es einen Gruppenrichtlinieneditor mit dem man das machen kann. Wie genau kann ich aber nicht sagen da ich nur die Home Premium habe. Aus diesem Grund muss ich auch ein Script wie QuickWinSec.bat benutzen welches das für mich erledigt. QuickWinSec.bat ist eine Batchdatei die das System in einem Ruck abschottet. Das ganze kann man auch wieder rückgängig machen. Standardmäßig sind dann nur noch Anwendungen aus den folgenden Verzeichnissen ausführbar.

|C:\Windows |Standardmäßig | |C:\Program Files |Standardmäßig | |C:\Program Files (x86)|Standardmäßig bei 64-Bit Windows|

Programme nach dem Konfigurieren von Software-Whitelisting installieren

Wenn man das entsprechende Programm als Administrator ausführt dann greifen die Gruppenrichtlinien nicht mehr. Der Administrator darf nämlich Programme installieren so viel er will. Das heißt, dass die Installation von Programmen genau so funktioniert wie sonst auch. Es gibt also keine Einschränkungen außer dass man das Programm dann als Administrator ausführen muss. Deshalb ist es auch so wichtig das man nur Software ausführt, der man vertraut. Wenn das Programm Malware ist dann ist es vorbei mit Friede, Freude, Eierkuchen.

Fazit

Software-Whitelisting kombiniert mit brain.exe ist wohl die beste Lösung gegen Malware. Das heißt nicht, dass ich jedem rate sein Antivirenprogramm in die Tonne zu treten sondern das es halt eine bessere Lösung ist. Allerdings muss man damit vertraut sein. Wenn nicht ist ein Antivirenprogramm immer noch besser als gar keins. Eine genaue Anleitung für die Konfiguration von QuickWinSec.bat werde ich vielleicht noch schreiben und dann hier verlinken. Dieser Artikel sollte das Software-Whitelisting erst einmal nur vorstellen.

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment