# Windows AppLocker: Application Whitelisting auf Enterprise-Niveau

TL;DR / Management Summary AppLocker ist die effektivste Maßnahme gegen Ransomware und Schatten-IT. Anstatt bekannte Malware zu jagen (Blacklisting), definieren wir explizit, welche Programme laufen dürfen (Whitelisting). Wir nutzen Pfad-Regeln für Windows/Program-Files und Herausgeber-Regeln (Zertifikate) für Firmensoftware. Ein Senior Admin rollt AppLocker immer erst im Modus Audit Only aus, um den Betrieb nicht versehentlich zu stören.

# 1. Einführung & Architektur

Die Türsteher-Logik.

AppLocker ist ein Kern-Feature der Windows Enterprise/Education Editionen. Er klinkt sich tief in den Kernel-Loader ein.

# Die 4 Regel-Typen

  1. Executable Rules: .exe, .com.
  2. Windows Installer Rules: .msi, .msp.
  3. Script Rules: .ps1, .bat, .vbs, .js.
  4. DLL Rules: .dll, .ocx (VORSICHT: Hoher Performance-Overhead!).

# Architektur-Übersicht (Mermaid)

graph TD
    USER[User / Malware] -->|Start App.exe| KERNEL[Windows Kernel]
    KERNEL -->|Query| AL_SVC[AppLocker Service / appidsvc]
    AL_SVC -->|Check| RULES[Policy: Path / Hash / Cert]
    RULES -->|Match Allow| RUN[Execute Program]
    RULES -->|No Match / Deny| BLOCK[Access Denied Message]
    AL_SVC -->|Log| EVT[Event Log: ID 8004/8007]

# 2. Konfiguration in der Praxis

Der sichere Start.

# Schritt 1: Standardregeln erstellen

Fangen Sie niemals bei Null an. Nutzen Sie die “Standardregeln erstellen” Funktion in der GPMC (gpme.msc).

# Schritt 2: Herausgeber-Regeln (Publisher)

Dies ist die eleganteste Methode. Erlauben Sie alles, was von einem vertrauenswürdigen Hersteller signiert ist (z.B. Microsoft, Adobe, Dell).

# 3. Deep Dive: DLL-Whitelisting

Maximale Härtung.

DLL-Regeln verhindern, dass Malware schädliche DLLs in legitime Prozesse injiziert (“DLL Side-Loading”).

# 4. Day-2 Operations: Der Audit-Modus

Lernen ohne Schmerz.

Stellen Sie AppLocker in der GPO auf “Nur Überwachen” (Audit Only).

  1. Rollen Sie die GPO aus.
  2. Warten Sie 1-2 Wochen.
  3. Werten Sie das Event-Log aus: Anwendungs- und Dienstprotokolle -> Microsoft -> Windows -> AppLocker -> EXE und DLL.
  4. Event ID 8003: Zeigt an, was blockiert worden wäre. Erstellen Sie für diese legitimen Apps Ausnahmen.

# 5. Troubleshooting & “War Stories”

Wenn der PC nichts mehr startet.

# Top 3 Fehlerbilder

  1. Symptom: “Diese App wurde durch den Systemadministrator blockiert”.

    • Ursache: Die App liegt im User-Profil (%AppData%), das nicht in den Standardregeln enthalten ist (typisch für Spotify, WhatsApp, WebEx).
    • Lösung: Herausgeber-Regel für den Anbieter erstellen.

  2. Symptom: AppLocker Dienst (appidsvc) startet nicht.

    • Lösung: GPO prüfen. Der Dienst muss auf “Automatisch” stehen.

  3. Symptom: Skripte (.ps1) werden blockiert, obwohl sie signiert sind.

    • Ursache: PowerShell “Constrained Language Mode”. AppLocker zwingt PowerShell bei aktiven Regeln in diesen eingeschränkten Modus.

# “War Story”: Der “Temp” Ausbruch

Wir hatten eine Umgebung mit striktem AppLocker. Ein findiger User merkte jedoch, dass er Schreibrechte in C:\Windows\Temp hatte. Er kopierte seine private Software dorthin und sie startete, da die Standardregel “Erlaube alles in C:\Windows” zu generisch war. Lehre: Erstellen Sie explizite Deny-Regeln für beschreibbare Unterordner innerhalb von geschützten Pfaden (z.B. C:\Windows\Temp\*, C:\Windows\Tasks\*).

# 6. Monitoring & Reporting

Compliance-Dashboard.

# AppLocker Monitoring (PowerShell)

# Zeigt alle blockierten Programme der letzten 24h
Get-WinEvent -LogName "Microsoft-Windows-AppLocker/EXE and DLL" | Where-Object { $_.Id -eq 8004 }

# 7. Fazit & Empfehlung

AppLocker ist das Fundament jeder professionellen Windows-Sicherheit.

# Anhang: Cheatsheet

Event ID Bedeutung
8002 Programm erlaubt (EXE)
8003 Programm würde blockiert (Audit Mode)
8004 Programm BLOCKIERT
8005 MSI erlaubt
8007 MSI BLOCKIERT

# Referenzen