Whitelisting: Mehr Schutz für Deinen PC

Computer sind heute vielfältigen Bedrohungen ausgesetzt. Deswegen setzen viele Nutzer auf einen Schutz durch klassische Sicherheitssoftware wie Windows Defender. Derartige Programme durchsuchen den Computer nach potenziell verdächtigen Aktivitäten. Auf Grundlage einer Datenbank identifizieren sie bekannte Schadprogramme und verhindern deren Installation oder Ausführung. 

Welche Schwächen hat Sicherheitssoftware wie Microsoft Defender? Ein Schutz, wie ihn die skizzierten Sicherheitsprogramme bieten, ist zwar gut und wichtig. Er ist jedoch nicht umfassend. Denn es gibt vor allem folgende zwei Probleme: 

Neue Schadsoftware: Programme wie Microsoft Defender greifen in der Regel auf eine spezielle Datenbank zurück, um Malware, Viren und Co aufzuspüren. Diese wird zwar stetig und meistens auch relativ schnell aktualisiert. Allerdings ist es immer noch möglich, dass Du es mit neuartiger Schadsoftware zu tun hast. Falls diese noch nicht in der Datenbank auftaucht, bleibt Dein System gefährdet. Denn die Malware ist dann vorerst nicht als solche gebrandmarkt und wird dementsprechend möglicherweise auch nicht als solche erkannt. 

Programminstallationen oder -starts durch Nutzer: Zudem verhindert eine Sicherheitslösung vom Typ Microsoft Defender nicht, dass Benutzer selbst Schadsoftware auf dem System installieren oder ausführen. Das muss noch nicht einmal in böswilliger Absicht geschehen. Oft tarnen sich derartige Programme nämlich als legitime und interessante Software. In diesem Fall ist – in Anlehnung an die griechische Mythologie – auch von Trojanern die Rede. 

Was ist Whitelisting und wie erhöht sich damit der Schutz von Computersystemen? Mit einer sogenannten Whitelist kannst Du die Schwachstellen klassischer Sicherheitssoftware stopfen. Hierbei legt ein Administrator fest, welche Anwendungen Nutzer auf dem jeweiligen Computer verwenden bzw. installieren dürfen. So kannst Du etwa ein Whitelisting von der Basiskonfiguration eines Windows-PCs erstellen. 

Wenn nun jemand versucht, ein neues Programm auf dem Computer zu installieren oder zu starten, geschieht das nicht direkt. Zunächst erfolgt eine Überprüfung, bei der es zwei Möglichkeiten gibt: 

a) Die Anwendung findet sich auf der Whitelist: In diesem Fall erlaubt das System die Ausführung oder Installation des Programms. Durch das Whitelisting gilt die Software als unbedenklich. Stelle Dir das als einen angesagten Club vor, bei dem Du auf der Gästeliste stehst. 

b) Das Programm ist nicht auf der Whitelist: Ist das der Fall, verweigert das System nicht nur die Installation, sondern auch die Ausführung der Software. Dementsprechend lässt sich die jeweilige Anwendung nicht auf dem Computer nutzen. Dabei ist es unerheblich, ob es sich wirklich um ein Schadprogramm handelt. 

Für welche Computer eignet sich Whitelisting als Schutzmechanismus? Es ist wichtig zu betonen, dass eine Whitelist nicht die Eier legende Wollmilchsau für alle Computer ist. Zwar kann das Whitelisting einen umfassenderen Schutz gegen unbekannte Schadsoftware und die Installationen von Malware bieten. Wer allerdings öfter Programme aus vertraulichen Quellen installieren möchte, wird ausgebremst. 

Deswegen sollte das Whitelisting vor allem auf Computern zum Einsatz kommen, zu denen mehrere oder unkundige Nutzer Zugang haben. Typischerweise sind diese nicht bezüglich der Gefahren sensibilisiert oder einfach unachtsam. Bei solchen Nutzergruppen kann es sich etwa um Mitarbeiter in Unternehmen, aber auch Schulklassen oder Familienangehörige – beispielsweise Kinder oder Senioren – handeln. Diesen kannst Du etwa Nutzerkonten mit Whitelisting-Restriktionen zuweisen, während Du mit einem Administrator-Account keine solchen Beschränkungen hast. 

Was ist für Whitelisting mit Applocker erforderlich? Es gibt für Windows-Nutzer mehrere Möglichkeiten, eine Whitelist zu erstellen. Wir konzentrieren uns aber zunächst auf das Tool Appblocker, das auch für Einsteiger geeignet ist. Dieses ist bereits Teil von Windows. Das gilt auch für das zweite Hilfsmittel namens Lokale Sicherheitsrichtlinie. Falls Du die Pro- und Enterprise-Versionen von Windows 10 oder 11 verwendest, hast Du es besonders einfach und kannst den folgenden Absatz überspringen. 

Falls Du lediglich die Home-Version von Windows 10 oder 11 hast, kannst Du die Lokale Sicherheitsrichtlinie zwar auch nutzen. Du musst das Tool jedoch erst einbinden. Tippe dazu zunächst den Befehl „cmd“ in das Taskleisten-Suchfenster, um die Eingabeaufforderung zu starten. Wichtig ist, dass Du die Option „Als Administrator ausführen“ wählst. Nun musst Du nur noch nacheinander zwei Eingaben machen und diese jeweils mit der ENTER-Taste bestätigen. Weil diese etwa komplexer ausfallen, solltest Du diese – ohne Anführungszeichen – am besten kopieren und danach einzufügen. Es handelt sich um die Befehle: “FOR %F IN (″%SystemRoot%\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientTools-Package~*.mum″) DO (DISM /Online /NoRestart /Add-Package:″%F″)” und “FOR %F IN (″%SystemRoot%\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientExtensions-Package~*.mum″) DO (DISM /Online /NoRestart /Add- Package:″%F″)” 

Was ist Applocker? Die Lokale Sicherheitsrichtlinie benötigst Du zur Konfiguration des Features Applocker. Dieses ist Teil aller Windows-Versionen seit Windows 10 1809. Beim Applocker handelt es sich um ein regelbasiertes Tool, das ähnlich wie eine Firewall arbeitet. Dieses Werkzeug lässt sich übrigens nicht nur nutzen, um eine Whitelist, sondern auch um eine Blacklist zu erstellen. Dahinter stecken zwei unterschiedliche Vorgehensweisen zum Schutz vor Computern, die wir hier nur kurz verdeutlichen wollen. 

a) Schutz per Blacklist: Die Blacklist lässt generell die Ausführung und Installation sämtlicher Programme zu, solange diese nicht explizit auf der „schwarzen Liste“ stehen. Stelle Dir das wie den Türsteher vor einem Club vor, der nur ihm bekannte Störenfriede abweist. 

b) Schutz per Whitelist: Wie schon beschrieben, funktioniert der Schutz durch eine Whitelist genau andersherum. Hier ist nur die Ausführung und Installation der auf der Liste befindlichen Programme erlaubt. Das ist sicherer, da es jeden Tag eine vierstellige Anzahl von Schadsoftware mit neuen Namen gibt. Nur wer auf der „Gästeliste“ steht, kommt also herein. 

So erstellst Du eine Whitelist für mehrere Ordner mit dem Applocker

Zunächst musst Du die Lokale Sicherheitsrichtlinie starten. Am einfachsten funktioniert das, wenn Du die Anweisung „secpol.msc“ in das Taskleisten-Suchfeld eingibst. Wechsle nun zu „Anwendungsrichtlinien“ und dann zu „Applocker“. Klicke anschließend mit der rechten Maustaste auf den Ordner „Ausführbare Regeln“ und selektiere danach „Standardregeln erstellen“. Nach einem weiteren Rechtsklick auf „Ausführbare Regeln“ wählst Du die Option „Regeln automatisch generieren“. 

Damit hast Du einen Assistenten gestartet, der Dich bei den weiteren Schritten unterstützt. In dem Fenster, das jetzt erscheint, ist standardmäßig der Pfad C:\Program File – bei deutschen Windows-Installationen heißt dieser C:\Programme – ausgewählt. Wechsel jetzt mit einem Klick auf die Schaltfläche „Weiter“ zu den „Regeleinstellungen“. Hier ist standardmäßig die Option „Dateihash“ und nicht „Pfad“ ausgewählt. Das ist sinnvoll, da Applocker so Anwendungen über den sogenannten Hashwert von ausführbaren Dateien identifiziert und sich bei der Einordnung nicht auf den Installationsort verlässt. Bestätige deshalb diese Voreinstellung mit einem erneuten Klick auf „Weiter“. 

Applocker wendet nun die definierten Regeln an. Bestätige den Vorgang mit einem Klick auf die Schaltfläche „Erstellen“. Allerdings gelten die Regelungen bis jetzt nur für den ausgewählten Ordner, also für C:\Program File bzw. C:\Programme. Es gibt allerdings noch weitere Orte, an denen sich Anwendungen „einnisten“ können. Deshalb solltest Du die Prozedur noch für weitere relevante Pfade wiederholen. Am wichtigsten sind hier die Verzeichnisse C:\Windows sowie C:\Programme (x86). 

So aktivierst Du die Anwendungsidentität

Noch funktioniert die Whitelist allerdings nicht. Zuvor musst Du die sogenannte Anwendungsidentität aktivieren. Das klingt komplizierter als es ist. Hierbei gilt es lediglich, den Anwendungsidentitätsdienst von Windows (AppIDSvc) derart zu konfigurieren, dass dieser automatisch startet. 

Der schnellste Weg führt wiederum über das Taskleisten-Suchfeld. Gib hier „Dienste“ ein und klicke danach auf das Suchergebnis. Darauf erscheint eine Liste, in der Du zunächst den Eintrag „Anwendungsidentität“ aufspürst, diesen per Doppelklick auswählst und das Whitelisting mit der Schaltfläche „Starten“ einleitest. 

Was bewirken die Änderungen genau? Immer wenn Du nun eine Anwendung starten willst, die sich nicht in den Pfaden C:\Programme, C:\Windows oder C:\Programme (x86) befindet, verweigert Windows dieses. Dazu erscheint folgende Meldung: „Diese App wurde vom Systemadministrator gesperrt“. Alle Anwendungen in diesen Ordnern befinden sich hingegen auf der Whistelist, sodass Nutzer diese starten können. 

Ohne weitergehende Rechte lassen sich auch keine Programme mehr in den ausgewählten Ordnern installieren. Das ist nur noch Nutzern mit Administratorrechten möglich. Alle können hingegen beispielsweise auf Bild-, Musik-, Text- oder Videodateien zugreifen. 

Was passiert bei Problemen oder sich ändernden Bedürfnissen?

Möglicherweise gibt es aber Probleme. Vielleicht müssen auch normale Nutzer irgendwann ein Programm installieren. Geht das denn ohne größere Eingriffe? Ja, denn es genügt, den Computer neu zu starten. Dann ist der Applocker nämlich nicht mehr aktiviert. Das liegt daran, dass der Starttyp für diesen Anwendungsdienst standardmäßig auf „Manuell“ steht. Dadurch ist der bei jedem Neustart zunächst einmal inaktiv. 

Wie lässt sich Applocker dauerhaft aktivieren? Es kann natürlich nicht im Sinne des Erfinders sein, wenn Nutzer eine Whitelist bzw. den Applocker umgehen können, indem diese nur den Computer neu starten müssen. Deshalb solltest Du bei Bedarf den Applocker dauerhaft aktivieren. Dazu musst Du lediglich den „Starttyp“ von „Manuell“ auf „Automatisch“ stellen und anschließend die Veränderung mit einem Klick auf „OK“ bestätigen. Nun lädt Windows den Dienst automatisch bei jedem Systemstart, sodass dieser sofort aktiv ist. 

Was passiert, wenn Dein System den Zugriff verweigert? In den meisten Fällen sollte das skizzierte Prozedere reibungslos funktionieren. Allerdings kann es vorkommen, dass Dein System auf eine Veränderung des Starttyps mit dem Hinweis „Zugriff verweigert“ reagiert. Aber auch hier lässt sich mit geringem Aufwand Abhilfe schaffen. 

Öffne dazu den Registrierungs-Editor über die ausführbare Datei Regedit.exe. Wechsle anschließend in folgenden Ordner: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AppIDSvc. Dieser bezieht sich auf den Anwendungsidentitätsdienst. Gib bei „Start“ eine „2“ für das automatische oder eine „3“ für das manuelle Laden von Applocker ein. 

Du kommst nicht (mehr) direkt in den Registrierungs-Editor? Dann hilft ein Rechtsklick auf den Start-Button von Windows. Im Sprungmenü, das sich dadurch öffnet, wählst Du die Option „Terminal (Administrator)“. Über die Eingabe „regedit“ gelangst Du zum Registrierungs-Editor und kannst die gewünschten Änderungen vornehmen. 

Wie lässt sich der Applocker permanent ausschalten? Wenn Du den Applocker nicht mehr nutzen möchtest, kannst Du ihn auch dauerhaft deaktivieren. Wechsel dazu wieder in die Lokale Gruppenrichtlinie. Markiere hier alle ausführbaren Regeln und drücke anschließend die rechte Maustaste. Wähle im sich öffnenden Menü die Option „Löschen“ und bestätige gegebenenfalls den Löschvorgang. 

Welche ähnlichen Hilfsmittel gibt es?

Applocker ist nur eine Möglichkeit, um Computer durch Whitelisting zu schützen. Es gibt noch eine Reihe von Optionen, die ähnlich funktionieren. Auf einige davon möchten wir kurz eingehen, nämlich: