Virenschutz Software Vergleich

Whitelisting - der verbesserte Virenschutz - IT und Media Center

Software-Whitelisting ermöglicht die Ausführung vordefinierter Programme und unterbindet die Ausführung aller Programme, die nicht auf einer positiven Liste sind. Software-Blacklisting hingegen unterbindet die Ausführung vordefinierter Programme. Als Beispiel für den Einsatz von Software-Blacklisting sind Antivirenprogramme zu nennen. Software-Blacklisting schützt unglücklicherweise nicht vor neuen Bedrohungen, wie z.B. 0-Tage-Exploits.

Daher sollten Viren- und Malware-Scanner nur als zusätzlichen und NICHT als Vorraussetzung für ein gesichertes Gesamtsystem erachtet werden. Software-Blacklisting ist oft sicherer als echter Angriffsschutz. Software-Whitelisting hingegen kann die Durchführung von Software, die nicht auf der Liste steht, effektiv vereiteln.

Es kann nur autorisierte Software ausgeführt werden. Die PC-Hardware kann somit wieder primär für ihre ursprüngliche Aufgabenstellung verwendet werden: die Ausführung der gewünschten Software. Seit Windows XP (2001) verfügt Windows über eine Software-Whitelist-Funktionalität mit dem Namen Software Restrictions. Unter Windows 7 (2008) wurde diese Software-Whitelisting-Funktionalität von Microsoft durch eine zusätzliche Software-Whitelisting-Lösung von Apple erweitert.

Gegen was kann Microsoft Software Whitelisting sich absichern? Bevor Anwender und Administrator direkt oder indirekt ungewollte Software und Skriptdateien (Viren, Trojaner, etc.) einspielen. Bevor 0-Tage-Exploits, die ungewollte Software- und Skriptdateien auslösen. Gegen was kann Microsoft Software Whitelisting nicht absichern? Verhindern Sie Angriffe auf oder durch autorisierte Software wie Browser, Mailprogramme, Viewer, Textverarbeitungsprogramme, etc.

Bevor 0-Tage-Exploits, die Bugs in lizenzierten Applikationen oder dem Betriebsystem ausnützen, um ungewollte Handlungen mit bestehender und lizenzierter Software auszulösen. Bevor Sie Software und Skriptdateien über das integrierte Benutzerkontensystem starten. Das Microsoft Software Whitelisting kann nicht für das Anlagenkonto freigeschaltet werden, siehe auch Effekte des Software Whitelisting auf das Anlagenkonto (eingebauter Anwender "System")!

Der Einsatz von Software-Whitelisting erlaubt die Abschaltung von Software-Blacklisting (Viren- und Malware-Scanner) für die darin enthaltenen Daten, so dass mehr Hardware-Ressourcen für die gewünschten Applikationen zur Verfügung gestellt werden. Software-Blacklisting ist nur für solche Software erforderlich, die über Skriptsprachen aktiven Inhalt bearbeiten können, z.B. Web-Browser, und wenn neue unkontrollierte Software gestartet werden soll.

Die Ausführung von Anwendungen wird durch Microsoft-Software-Whitelisting über Software-Einschränkungen oder Applockers entweder durch Datei- und Verzeichnispfade (Pfadregeln) oder durch Hash-Regeln und/oder Zertifikatregeln kontrolliert. Die Whitelist ist die praktischste Variante der Microsoft-Software, da sie ohne großen Konfigurations-Aufwand verwendet werden kann. Nachteilig ist die geringere Sicherheitsstufe gegenüber dem komplexeren Software-Whitelisting über Hash-Regeln.

Software-Whitelisting über Pfad-Regeln ist besonders geeignet für die Bearbeitung unter einem nicht-administrativen Account, schützt aber wenig bei der Bearbeitung unter einem Administratorkonto. Bei Programmstart wird der Name der Datei oder der Dateipfad mit der zuvor angelegten Pfadregel Whitelist abgeglichen. Der Programmstart ist nur möglich, wenn der Name der Programmdatei oder der Pfad der Programmdatei in der Pfadregel Whitelist steht.

Das Whitelisting von Microsoft-Software über Hash-Regeln ist der beste Weg zum optimalen Einsatz gegen unerwünschte Software und sollte auf wichtigen Systemen wie z. B. Server verwendet werden. Für jede Programmdatei wird eine Regel erstellt und in einer Software-Whitelist abgelegt. Bei einem Programmstart wird das zugehörige Progamm über eine Software-Whitelist geprüft.

Es kann nur mit einem entsprechenden Zertifikat oder einer Hash-Regel für das zu startierende Produkt in der Software-Whitelist aufgerufen werden. Im Gegensatz zu Microsoft-Software-Whitelisting mit Hilfe von Pfad-Regeln wird so auch sichergestellt, dass der Administrator vor ungewollter Software geschützt ist. Diese Art von Microsoft-Software-Whitelisting ist erst ab Windows 7 und Windows Server 2008 R2 verfügbar, da Microsoft das Skripting der Softwarekonfiguration in früheren Versionen von Windows nicht zulässt.

Seit Windows XP war es jedoch möglich, Software-Whitelists automatisch über Registrierungseinträge zu erzeugen. Bei dieser Konfigurationsform werden nur die Registrierungs- und nicht die Gruppenrichtlinien-Dateien verwendet, so dass die Einstellung der Software-Whitelist im Gruppenrichtlinien-Snap-In gpedit.msc nicht ersichtlich ist. Mit der kommerziellen GPExpert Software Group Policy Automation Engine (GPAE) ist es möglich, auch für alte Windows-Versionen Software-Einschränkungen über Gruppenrichtlinien-Einstellungen zu skripten.

Das Whitelisting von Microsoft Software kann nicht für das System freigeschaltet werden! Das bedeutet, dass jedes beliebige System für das System-Account gestartet werden kann, ungeachtet des Zustandes der systemweit gültigen Software-Whitelist. Über das System-Konto werden alle Vorgänge des Betriebssystems einschließlich der verschiedenen Services gestartet. Unter dem System-Account werden folgende Vorgänge ausgeführt: das Betriebsystem und die zugehörigen Prozesse:

Um die Angriffe auf das Betriebssystem zu reduzieren, ist es notwendig, weitere Services unter den nicht administrativen integrierten Servicekonten Localservice und Network Service oder einem normalen Benutzerkonto zu betreiben, da Microsoft Software Whitelisting für alle Benutzer mit Ausnahme des Systemkontos freigeschaltet werden kann.