Windows Defender Application Control: Empfohlene Blockierungsregeln (Mai 2022)

Windows[English]In Windows 10 und Windows 11 sind Windows Defender Application Control (WDAC) und AppLocker als Features in den Unternehmensvarianten (Windows 10/11 Enterprise) als Sicherheitsfunktionen verfügbar (siehe diesen Beitrag). Nun hat Microsoft Mitte Mai 2022 eine Liste der empfohlenen Blockierungsregeln veröffentlicht, die mir gerade untergekommen ist.


Anzeige

Ich habe die Information in folgendem Tweet von Florian Hansemann erhalten. Der betreffende Beitrag Microsoft recommended block rules vom 13. Mai 2022 enthält Empfehlungen Microsofts, welche Anwendungen man in WDAC standardmäßig unter Windows 10, Windows 11 und Windows Server (ab 2016) blockieren sollte.

Microsoft recommended block rules (Windows

Die Liste der folgenden Anwendungen wurde in Zusammenarbeit mit Mitgliedern der Sicherheits-Community zusammen getragen. Microsoft empfiehlt, die Anwendungen aus folgender Liste zu blockieren (sofern diese nicht ausdrücklich erforderlich sind). Denn diese Anwendungen oder Dateien können von einem Angreifer verwendet werden, um Richtlinien zur Anwendungszulassung, einschließlich Windows Defender Application Control, zu umgehen:

  • addinprocess.exe
  • addinprocess32.exe
  • addinutil.exe
  • aspnet_compiler.exe
  • bash.exe
  • bginfo.exe
  • cdb.exe
  • cscript.exe
  • csi.exe
  • dbghost.exe
  • dbgsvc.exe
  • dnx.exe
  • dotnet.exe
  • fsi.exe
  • fsiAnyCpu.exe
  • infdefaultinstall.exe
  • kd.exe
  • kill.exe
  • lxssmanager.dll
  • lxrun.exe
  • Microsoft.Build.dll
  • Microsoft.Build.Framework.dll
  • Microsoft.Workflow.Compiler.exe
  • msbuild.exe
  • msbuild.dll
  • mshta.exe
  • ntkd.exe
  • ntsd.exe
  • powershellcustomhost.exe
  • rcsi.exe
  • runscripthelper.exe
  • texttransform.exe
  • visualuiaverifynative.exe
  • system.management.automation.dll
  • wfc.exe
  • windbg.exe
  • wmic.exe
  • wscript.exe
  • wsl.exe
  • wslconfig.exe
  • wslhost.exe

Zu BGInfo ist anzumerken, dass eine Sicherheitslücke in bginfo.exe in der Version 4.22 behoben wurde (aktuell ist v4.28). Wer BGInfo verwendet, sollte zur Sicherheit die neueste Version herunterladen und ausführen. BGInfo-Versionen vor 4.22 sind immer noch anfällig und sollten blockiert werden.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

17 Antworten zu Windows Defender Application Control: Empfohlene Blockierungsregeln (Mai 2022)

  1. me@home.de sagt:

    Puuuh! Nochmal Glück gehabt, svchost.exe ist nicht in der Liste!
    :P

  2. Thorky sagt:

    Wo und wie blockiere ich denn die Dateien?

    • 1ST1 sagt:

      Applocker wäre eine Möglichkeit.

    • js sagt:

      Ich glaube Du willst diese Dateien nur blockieren, wenn Du bereits andere Dateien/Bereiche blockierst und nicht willst, dass diese Blockaden übergangen werden können.
      Einfach so mit dieser Liste drauf los blockieren bringt glaube ich wenig ohne entsprechende Konfigurationen verteidigen zu wollen.
      Bitte verbessert mich, falls ich hier einen Denkfehler drin haben sollte.

    • Günter Born sagt:

      Ist im Artikel doch angegeben: Anwendungssteuerung für Windows – betrifft aber nur Enterprise-Varianten, wo WDAC und AppLocker ausführlich besprochen werden.

      Oder zielte die Frage darauf, wie man so was in Windows 10/11 Home realisieren kann? In diesem Fall könnte man den Start aus dem Explorer mit Registry-Einträgen blockieren – siehe diesen Beitrag (aber Achtung, man sollte wissen, was man tut – und ein Aufruf über APIs oder die Eingabeaufforderung ist erinnerungsmäßig noch möglich).

      • 1ST1 sagt:

        Also, wenn es nicht gerade eine Home-Version ist, sondern Pro, dann kann man hier auch mit der Software-Restriction Policy (SAFER) arbeiten, eine Beschreibung wie man das umsetzt, gibts auf Schneegans.de, das ist aber mal ein intensiver Nachmittag Arbeit, das unmzusetzen, und wenn man in der falschen Reihen folge vorgeht, kann es auch passieren, dass man sich selber aussperrt, also vorsicht und überlegt heran gehen!

        Sie Liste von Micrsoft ist hilfreich, aber man muss jeden Eintrag prüfen, ob da nicht doch was gesperrt wird, was man brauchen kann, und andererseits unvollständig, z.B. fehlen mir dabei nach Abgleich mit meiner Liste z.B. die Befehle at.exe und SchTasks.exe mit denen ein Schädling Tasks in die Aufgabenplanung einfügen könnte.

  3. chris sagt:

    …mit WFC (binisoft)
    am anfang nervig, da viele anfragen kommen – danach aber sehr smooth
    und eine wunderbare "kontrollierbare" firewall die einfach die hauseigene
    microsoft firewall besser bedienbar macht!

    https://www.binisoft.org/wfc

    • Günter Born sagt:

      Ich weiß nicht, ob eine Windows Firewall Control (WFC) da die Ausführung der Anwendungen blockiert. Korrigiere mich, wenn ich falsch liege.

      • Bernd Bachmann sagt:

        Nein, blockiert die Ausführung der Anwendungen nicht, sondern meldet nur, wenn der Netzzugriff einer Anwendung durch die Windows-Firewall blockiert wurde. (Ist aber trotzdem sehr nützlich, und ich habe nie verstanden, warum die Windows-Firewall das nicht ohne Zusatztool kann. Ok, runde Ecken, mittige Startmenüs oder Wetter-Widgets sind natürlich wichtiger.)

  4. chris sagt:

    …nachtrag:
    – unter options deutsch auswählen
    – unter profile "mittlere Filterung" einstellen
    – unter benachrichtungen "Anzeigen von Benachrichtungen" einstellen
    – unter "Optionen" die SHELL integration aktivieren! (dann kann man direkt aus dem kontextmenü erlauben oder verweigern)

    greetz
    chris

  5. DerEine sagt:

    Kann mich wer aufklären? Ich verstehe echt nur Bahnhof!
    Warum? Wieso? Weshalb? Was soll das? Können die Applikationen genutzt werden auch wenn der Nutzer keine Adminrechte besitzt und hierdurch z.B. Applocker umgehen?

    • Günter Born sagt:

      Kann es sein, dass Du aus der Windows 10/11 Home-Edition-Ecke kommst? Dann ist die Frage nicht relevant – im Text steht explizit, dass es sich an Administratoren in der Enterprise-Umgebung richtet.

      Die Liste umfasst Anwendungen, die man auch unter Standard-Benutzerkonten – sofern nicht wirklich benötigt – aus Sicherheitsgründen deaktiveren sollte, weil sie in der Vergangenheit zu Problemen (auch in Verbindung mit Sicherheitslücken) geführt haben. Der Windows Script Host gehört dazu.

      Ist die Frage "Können die Applikationen genutzt werden auch wenn der Nutzer keine Adminrechte besitzt und hierdurch z.B. Applocker umgehen?" nicht ein Oximoron? Die Anwendungen (z.b. CScript.exe) können ggf. mit anderen Tools Sicherheitslücken ausnutzen, um administrative Berechtigungen zu erlangen (UAC Bypassing z.B.). AppLocker kann bestimmte Anwendungen sperren oder protokollieren, wenn der Admin das festgelegt.

      Oder habe ich deine Frage nicht verstanden? Denn diese impliziert ja, dass man a priori weiß, dass es ganz bestimmte Anwendungen gibt, um AppLocker zu umgehen. Wer auf dieser Ebene fragt, hat schlicht schon verloren. Denn wenn die Antwort heute "Nein, geht nicht" lautet und der Admin alles weiter schön zulässt, dann aber morgen jemand mit einem Exploit um die Ecke kommt, der genau das realisiert, nämlich AppLocker-Regeln mit Hilfe einer der oben erwähnten Anwendungen aushebelt, ist das Kind in den Brunnen gefallen.

      • DerEine sagt:

        Bist du heute mit dem falschen Bein zuerst aufgestanden? Trotzdem vielen Dank für die Info.

        Ich war mir nicht ganz sicher ob ich es richtig verstanden habe. Das Applocker umgangen werden kann war mir klar. Nur wie und ob WDAC genau dies verhindert soll war mir nicht so richtig klar. Was aber auch daran liegt, dass wir hier seit 2 Jahren die Baustellen, hervorgerufen durch chronische Unterbesetzung des letzten Jahrzehnts gerade zu ziehen. Und da geht es nicht nur um Security im Bereich Microsoft Universum. Ich mach den Job schon fast zwei Jahrzehnte und ich würde mal behaupten, dass ich nicht zu den schlechtesten in dem Job zähle. Aber auch ich habe nicht alles auf dem Schirm und mir fehlt aktuell schlichtweg die Zeit mich den ganzen Tag nur mit MS Security zu beschäftigen. Von daher verzeih mir meine "blöde" Frage ;-)

        • Günter Born sagt:

          Wollte dir nicht auf düe Füße treten. Aber mir ging schon durch den Kopf: "Warum blockt er nicht das, was auf der Liste steht aber nicht gebraucht wird?" Ganz im Sinne von Martin "Sicher is sicher".

    • 1ST1 sagt:

      Ja, genau darum geht es. Applocker lässt sich an verschiedenen Stellen umgehen, weil die Tools in der Liste und noch ein paar mehr (die man mit evasor.exe (suche auf Kitploit danach!) ermitteln kann, an Applocker vorbei Prozesse starten kann. Im Grunde müsste man eigentlich auch Excel mit seinen DDE-Zellbefehlen sperren (wann fliegt der Schice endlich raus?) und im Prinzip jedes Programm, welches die Dateiauswahlbox von Windows zum Laden von Dateien benutzt.

      Zum Beispiel kann man Applocker und die Sperre im Explorer (obiger Link vom Blogchef) so umgehen: Öffne Notepad, klicke auf Datei, öffnen, man hangele sich zu dem zu startenden Programm durch, wähle unten rechts den Dateifilter *.* statt *.txt, damit man es auch sieht, rechte Maustaste auf das Programm, aus dem Kontextmenü "Öffnen" anklicken, fertig.

      Oder man probiere simplerweise mal "forfiles /c powershell.exe" aus dem Startmenü aus, die geht auf, selbst wenn sie eigentlich nicht darf.

      Manche Antivieren/EDR-Tools sind in der Lage diese Aktionen zu erkennen, aber Applocker/SRP scheitert hier.

      • DerEine sagt:

        Danke für deine Infos. Also habe ich es richtig verstanden. Das kommt auf meine Todo und dann schauen wir mal, was hier danach alles nicht mehr so richtig funktioniert, weil es noch verbastelt ist und vorher gerade gezogen werden muss. Es hört nie auf… :-)

Schreibe einen Kommentar zu Günter Born Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.