Malware: Das Prinzip von Software-Whitelisting

Die Lizenz von meinem Antivirenprogramm lief nun endgültig ab und ich musste mir was Neues suchen. Das war nun ein guter Zeitpunkt, um mich mal mit dem Thema Software-Whitelisting zu beschäftigen. Auf den Seiten der Universität Rostock findet man viele nützliche Themen zum Thema IT-Sicherheit und Absichern von Windows-Systemen.

Was ist überhaupt Software-Whitelisting?

Beim Software-Whitelisting kann nur die Software auf dem Computer ausgeführt werden, die man explizit erlaubt. Ein Gegenbeispiel wäre ein Antivirenprogramm, welches Blacklisting betreibt und nur Programme sperrt, die auf der Blacklist stehen oder deren Verhalten durch die Heuristik als potentiell schädlich eingestuft wurde.

Wenn ein Antivirenprogramm aber eine Malware nicht erkennt, dann kann sie trotzdem noch ausgeführt werden. Beim Software-Whitelisting kann das nicht passieren. Es lässt im Falle eines Skriptes wie der QuickWinSec.bat nur Software aus schreibgeschützten Verzeichnissen starten. Malware, die mit Standardrechten ausgeführt wird, kann sich also gar nicht erst in diese schreibgeschützten Ordner einnisten.

QuickWinSec.bat: Gruppenrichtlinie blockiert Ausführung von Software Windows blockiert die Ausführung einer .exe-Datei, die nicht in einem der zugelassenen Verzeichnisse liegt.

Vor was schützt Software-Whitelisting?

Das Software-Whitelisting verhindert grob gesagt die Ausführung jeglicher Programme, die nicht in den explizit zugelassenen Verzeichnissen liegen. Um trotzdem Software starten zu können, die nicht in den zugelassenen Verzeichnissen liegt, muss man die entsprechende Datei als Administrator starten. Hier muss zudem noch darauf hingewiesen werden, dass man auf jeden Fall ein eingeschränktes Konto zum Arbeiten verwenden sollte. Das Administrator-Konto sollte man nur zum Administrieren (z.B. neue Software installieren) verwenden. Um ein Programm zu installieren, muss man aber nicht zum Administrator-Konto wechseln, sondern kann das Programm einfach als Administrator starten.

Vor was schützt Software-Whitelisting nicht?

Es schützt natürlich nicht davor, wenn man absichtlich Malware oder ein unseriöses Programm installiert (vor allem, wenn man es als Administrator ausführt). Wenn man Software-Whitelisting anstelle eines Antivirenprogramms einsetzt, dann sollte man genau wissen, was man tut und aus welchen Quellen man Software installiert.

Das Software-Whitelisting schützt auch nicht vor Sicherheitslücken in vertrauenswürdiger Software, die bereits ausgeführt wird und sich in den zugelassenen Verzeichnissen befindet. Ebenso wenig schützt es z.B. vor Phishing-Angriffen.

Es ist also unabdingbar, dass man sein Gehirn benutzt. Software-Whitelisting bedeutet nämlich nicht, dass man jetzt alles anklicken kann, was nicht bei Drei auf dem Baum ist.

Wie kann man Software-Whitelisting einsetzen?

In den Professional-Versionen von Windows gibt es einen Gruppenrichtlinieneditor, mit dem man das machen kann. Wie genau, das kann ich aber nicht sagen, da ich nur die Home Premium-Version habe. Aus diesem Grund muss ich auch ein Skript wie die QuickWinSec.bat benutzen, welches das für mich erledigt.

Die QuickWinSec.bat ist eine Batchdatei, die das Windows-System in einem Ruck abschottet. Das Ganze kann man auch wieder problemlos rückgängig machen. Standardmäßig sind nach der Abschottung dann nur noch Anwendungen aus den folgenden schreibgeschützten Verzeichnissen ausführbar:

Verzeichnispfad Anmerkung
C:\Windows Standardmäßig
C:\Program Files Standardmäßig
C:\Program Files (x86) Standardmäßig bei 64-Bit Windows

Programme nach dem Konfigurieren von Software-Whitelisting installieren

Wenn man das entsprechende Programm als Administrator ausführt, dann greifen die Gruppenrichtlinien natürlich nicht mehr. Der Administrator darf nämlich Programme installieren so viel er will. Das heißt, dass die Installation von Programmen genau so funktioniert, wie sonst auch.

Es gibt also keine Einschränkungen, außer dass man das Programm dann als Administrator ausführen muss, damit es in die schreibgeschützten und zugelassenen Verzeichnisse installiert werden kann und danach auch als normaler Nutzer ausführbar ist. Deshalb ist es auch so wichtig, dass man nur Software ausführt, der man vertraut. Wenn das Programm Malware beinhaltet, dann ist es vorbei mit Friede, Freude, Eierkuchen.

Fazit

Software-Whitelisting kombiniert mit brain.exe ist wohl die beste Lösung gegen Malware.

Das bedeutet jetzt aber nicht, dass ich jedem von euch rate, sein Antivirenprogramm in die Tonne zu treten, sondern nur, dass es halt eine bessere Lösung für Anwender ist, die genau wissen, was sie tun und auf Antivirenprogramme verzichten wollen. Wenn man nicht damit vertraut ist, dann ist ein Antivirenprogramm immer noch besser als keins.

Eine genaue Anleitung für die Konfiguration von Windows mit der QuickWinSec.bat werde ich vielleicht noch schreiben und dann hier verlinken. Dieser Artikel sollte erst einmal das Software-Whitelisting-Prinzip vorstellen.

Hinweis:
Dies ist ein älterer Artikel von meinem alten Blog. Die Kommentare zu diesem Artikel werden (falls vorhanden) später noch hinzugefügt.

Der Autor

Unter dem Namen »TheBlackPhantom« alias »BlackY« veröffentlichte ich auf meinem alten Blog, BlackPhantom.DE, in der Zeit von 2011 bis 2015 leidenschaftlich Beiträge über Computer, Internet, Sicherheit und Malware. Während der BlackPhantom-Zeit war ich noch grün hinter den Ohren und lernte viel dazu. Mehr Infos vielleicht in Zukunft...