Trusted Ownership Checking: Schutz vor dem Unbekannten
Erinnern Sie sich noch an die kleinen Computerspiele aus den 1990er-Jahren? An all die Pinguine, Hühnchen und anderen Geschöpfe, die sich auf den Bürobildschirmen tummelten? Was für die Mitarbeiter ein kurzweiliger Zeitvertreib oder gewollte Ablenkung vom Tagesgeschäft war, entwickelte sich zum Alptraum für den geregelten IT-Betrieb.
Gegen Ende des 20. Jahrhunderts schließlich mussten sich ganze Scharen von Admins mit Game-Programmen beschäftigen, die häufig auf Flash-Basis liefen und ähnlich agierten wie die heutigen „Portable Apps“. Vor allem auf Terminalservern beeinträchtigten die Spielchen die Performance aller Benutzer. Im schlimmsten, aber leider nicht seltenem Fall sorgten sie für den Verlust stundenlanger Arbeit, da sie Systemabstürze verursachten oder Malware enthielten. Wirksame Gegenwehr tat Not.
Application Whitelisting galt schon damals als guter Schutz. Allerdings war der dafür zu betreibende Pflegeaufwand immens und die Fehleranfälligkeit nach Softwareaktualisierungen sehr hoch. Auf der Suche nach alternativen Verfahren zur Herkunftserkennung entstand schließlich die Idee, Informationen aus dem Dateisystem zu nutzen. Das war die Geburtsstunde unseres „Trusted Ownership Checking“, dem Grundbaustein von Ivanti Application Control. Letztere ist mittlerweile in etlichen unserer Produkte enthalten, nämlich im Ivanti User Workspace Manager, Ivanti Security Controls und seit neuestem auch in der Security Suite für Ivanti Endpoint Manager.
Die Herkunft entscheidet
Beim Trusted Ownership Checking wird stets nur eine kleine Liste mit vertrauenswürdigen Benutzerkonten angelegt. Diese Liste umfasst in der Regel die Gruppe der Administratoren, die Trusted Installer, den Systembenutzer und das Dienstkonto der Softwareverteilung.
Und so wirkt die regelbasierte Überprüfung der Vertrauenswürdigkeit:
- Wann immer jemand eine Datei zum „Ausführen“ öffnen will, prüft ein Agent, ob der Besitzer der Datei in der Liste der Trusted Owner aufgeführt ist. Fehlt die Vertrauenswürdigkeit, wird eine Ausführung (beispielsweise von Downloads aus dem Internet oder Dateihängen in E-Mails) in der Benutzersitzung automatisch verhindert.
- Bei Dateien, die ein Interpreter ausführt (wie etwa VBS und Powershell-Skripte, Registry und MSI-Dateien) lässt Trusted Ownership Checking die Ausführung nur dann zu, wenn die zu öffnende Datei die Regelüberprüfung erfolgreich durchlaufen hat.
- Programmcode, den die Softwareverteilung auf das System kopiert hat, ist automatisch erlaubt. Damit entfällt der lästige, manuelle Pflegeaufwand für lange Listen zulässiger Dateien.
Im Zusammenspiel mit den gerade erwähnten Ivanti Produkten ermöglicht das Trusted Ownership Checking, die individuellen Benutzerrechte über eine zentrale Management-Konsole granular zu verwalten. So können Sie beispielsweise festlegen, welche Nutzer eine installierte Anwendung ausführen dürfen oder von welchem Endgerät aus jemand auf Anwendungen in virtuellen/gehosteten Umgebungen zugreifen darf.
Das Sicherheitsniveau im Netzwerk steigt auch, weil Sie nicht autorisierte Anwendungen automatisch blockieren können und so dem Eindringen von Malware vorbeugen. Außerdem lässt sich der Zugriff auf Dateien, Ordner und Anwendungen bei Bedarf einschränken oder ganz beenden, etwa um mit „Application Termination“ zeitnah auf Veränderungen in der IT-Umgebung zu reagieren.
Ebenso einfach können Sie einem Anwender bei Bedarf vorübergehend erweiterte Rechte einräumen. Der Grund: Das umfangreiche Regelwerk der Lösungen ist flexibel ausgerichtet und ermöglicht die Bildung von Ausnahmen, wie etwa das Überschreiben von Trusted-Ownership-Checking-Einträgen in einem zuvor festgelegten Umfang.
Anders gesagt, ist Trusted Ownership Checking die Grundlage für eine effektive automatisierte Rechteverwaltung und Autorisierung, die das Leben der Administratoren an allen relevanten Fronten erleichtert. Denn abgesehen davon, dass Sie damit die Ausführung von schädlichem Code wie etwa Ransomware im Unternehmen verhindern, ermöglicht Ihnen dieses „Vertrauenwürdigkeitsüberprüfungsmodell“ auch, die verschiedenen Lizensierungen von Software ohne großen Aufwand durchzusetzen und Compliance mit gesetzlichen Regelungen und Unternehmensvorgaben herzustellen – selbst wenn zwischendurch mal gedaddelt wird.