AppLocker

AppLocker ist eine in Windows Enterprise und Education enthaltene Funktion zur Anwendungssteuerung (Application Whitelisting). Über regelbasierte Richtlinien wird zentral definiert, welche ausführbaren Dateien, Skripte, Installer und DLLs auf einem System gestartet werden dürfen — alles andere wird blockiert. Damit adressiert AppLocker eines der grundlegendsten Sicherheitsprobleme: die unkontrollierte Ausführung von Software, sei es Ransomware, Malware oder nicht autorisierte Tools. Die Verteilung der Regeln erfolgt über Gruppenrichtlinien (GPOs) in Active-Directory-Umgebungen.

Regeltypen und Funktionsweise

AppLocker unterstützt drei Regeltypen, die sich in Granularität und Wartungsaufwand unterscheiden. Publisher-Regeln identifizieren Software anhand der digitalen Signatur des Herstellers — sie sind die flexibelste Option, da sie auch nach Updates gültig bleiben, solange der Herausgeber identisch ist. Pfad-Regeln erlauben oder verbieten die Ausführung basierend auf dem Dateipfad, etwa C:\Program Files\. Hash-Regeln prüfen den kryptografischen Fingerabdruck einer Datei und sind damit die restriktivste Variante — jedes Update erzeugt einen neuen Hash und erfordert eine Regelanpassung.

In der Praxis empfiehlt sich eine Kombination: Publisher-Regeln für signierte Standardsoftware, ergänzt durch Pfad-Regeln für vertrauenswürdige Installationsverzeichnisse. Hash-Regeln eignen sich für Ausnahmen, etwa einzelne unsignierte Werkzeuge, die gezielt freigegeben werden müssen.

Audit-Modus und Rollout

Ein häufiger Fehler bei der Einführung von Application Control ist der direkte Wechsel in den Erzwingungsmodus (Enforce), ohne die Auswirkungen zu kennen. AppLocker bietet einen Audit-Modus, der Regelverstöße nur protokolliert, aber nicht blockiert. Die Ereignisse landen im Windows-Ereignisprotokoll unter Microsoft-Windows-AppLocker und zeigen, welche Anwendungen bei aktiver Durchsetzung blockiert würden.

Der empfohlene Rollout-Prozess beginnt mit einer Inventarisierung der eingesetzten Software, gefolgt von der Erstellung eines initialen Regelwerks im Audit-Modus. Diese Phase sollte mehrere Wochen dauern, um alle legitimen Anwendungsfälle — einschließlich seltener Wartungswerkzeuge und Quartalsprozesse — zu erfassen. Erst nach Auswertung der Audit-Logs und Bereinigung der Regeln wird schrittweise auf Enforce umgestellt, idealerweise zunächst für eine Pilotgruppe.

AppLocker vs. WDAC

Windows Defender Application Control (WDAC) ist der modernere Nachfolger von AppLocker und bietet eine deutlich robustere Schutzebene. Der entscheidende Unterschied liegt in der Durchsetzungsebene: AppLocker arbeitet auf Benutzerebene über den AppIDSvc-Dienst und kann von lokalen Administratoren umgangen werden. WDAC greift dagegen auf Kernel-Ebene und lässt sich — insbesondere in Kombination mit Virtualization-Based Security (VBS) — auch durch Administratoren nicht deaktivieren.

Microsoft positioniert WDAC als die empfohlene Lösung für Application Control und empfiehlt AppLocker primär als ergänzende Maßnahme oder für Szenarien, in denen WDAC nicht einsetzbar ist (etwa ältere Windows-Versionen oder einfache Pfadregeln für Standardbenutzer). Für eine umfassende Härtungsstrategie nach Defense in Depth können beide Technologien parallel eingesetzt werden.

Herausforderungen und bekannte Grenzen

Die größte Hürde bei AppLocker ist der Wartungsaufwand. Jede neue Software, jedes Major-Update und jeder Wechsel des Installationspfads kann eine Regelanpassung erfordern. Ohne einen definierten Prozess für Regelaktualisierungen entstehen entweder zu weitreichende Ausnahmen (die den Schutz aushöhlen) oder Blockaden legitimer Anwendungen (die den Betrieb stören). Hinzu kommen dokumentierte Umgehungstechniken: Angreifer können über sogenannte Living-off-the-Land-Binaries (LOLBins) — legitime Windows-Werkzeuge wie mshta.exe, regsvr32.exe oder rundll32.exe — AppLocker-Regeln umgehen, sofern diese Binaries nicht explizit eingeschränkt werden.

AppLocker allein ist daher kein vollständiger Schutz. Die Kombination mit EDR-Lösungen, dem Least-Privilege-Prinzip und einer restriktiven Konfiguration nach CIS Benchmarks ist entscheidend. Insbesondere sollte der Kreis der lokalen Administratoren auf ein Minimum reduziert werden, da AppLocker von Benutzern mit Admin-Rechten umgangen werden kann.

Relevanz für KMUs

Application Control gehört zu den wirksamsten Härtungsmaßnahmen gegen Ransomware und Schadsoftware — und wird dennoch in vielen mittelständischen Umgebungen nicht eingesetzt. Der Grund ist häufig der wahrgenommene Aufwand bei der Ersteinrichtung. In der Praxis lässt sich mit einem strukturierten Vorgehen (Audit-Phase, Publisher-Regeln für Standardsoftware, schrittweise Verschärfung) eine solide Baseline in überschaubarer Zeit aufbauen. Sowohl die CIS Benchmarks als auch das BSI empfehlen Application Whitelisting als grundlegende Sicherheitsmaßnahme. Wer Windows Enterprise bereits lizenziert hat, kann AppLocker ohne zusätzliche Kosten über bestehende GPO-Infrastruktur ausrollen — der Einstieg in WDAC ist dann der logische nächste Schritt.