Sichern Sie Ihre Windows-Umgebung mit CodeSign Secure und AppLocker

Die Sicherung Ihrer Umgebung ist in der heutigen sicherheitsorientierten Welt von entscheidender Bedeutung. Jedes Unternehmen muss seine Infrastruktur vor den zunehmenden Bedrohungen schützen. AppLocker ist eine Sicherheitsfunktion in Windows, mit der Ihr Unternehmen steuern kann, welche ausführbaren Dateien oder Anwendungen auf Ihren Systemen ausgeführt werden können.

Es verhindert die Ausführung potenziell schädlicher Anwendungen durch Benutzer, indem es Ihren Administratoren die Möglichkeit gibt, Regeln für die zulässige Softwareausführung zu erstellen. Dies trägt auch dazu bei, unbefugten Zugriff auf die Anwendungen zu verhindern und die allgemeine Sicherheit eines Unternehmens zu erhöhen. 

CodeSign Secure von Encryption Consulting ist eine Code-Signing-Lösung, die für die Verwaltung digitaler Code-Signing-Zertifikate und die Optimierung von Code-Signing-Vorgängen entwickelt wurde. Unsere Lösung, CodeSign Secure, vereinfacht den Prozess von Software zum sicheren Signieren und Anwendungen, um deren Authentizität und Integrität sicherzustellen. Es bietet eine effiziente Möglichkeit, Code-Signaturvorgänge in unterschiedlichen Umgebungen durchzuführen, sodass nur verifizierte Software als vertrauenswürdig eingestuft und bereitgestellt wird. 

Durch die Integration unserer Lösung mit AppLocker können Sie die Sicherheit und Kontrolle Ihrer Anwendungen deutlich verbessern. Während AppLocker sicherstellt, dass nur Anwendungen auf der Whitelist ausgeführt werden können, stellt unsere Lösung sicher, dass diese Anwendungen mit vertrauenswürdigen Signaturen signiert sind. CodesignaturzertifikateDiese Kombination bietet einen starken Mechanismus, der sicherstellt, dass nur validierte und authentifizierte Anwendungen ausgeführt werden können, wodurch Systeme vor Malware oder nicht autorisierten Anwendungen geschützt werden.

Was ist das Code Signing Tool von Encryption Consulting – CodeSign Secure? 

Unsere Lösung ist für die Verwaltung, Automatisierung und sichere Code-Signierung Prozesse innerhalb Ihres Unternehmens. Es kontrolliert Code-Signing-Zertifikate und stellt sicher, dass nur autorisierte Benutzer Software signieren können. Unsere Lösung reduziert das Risiko von menschliches Versagen durch die Automatisierung von Signaturprozessen, wodurch auch sichergestellt wird, dass die verteilte Software sowohl sicher ist als auch den Industriestandards entspricht.  

Wichtige Funktionen für AppLocker: 

• Zentralisiertes Zertifikatsmanagement

  Unsere Lösung ermöglicht Ihrem Unternehmen die zentrale Speicherung und Verwaltung aller Codesignaturzertifikate mit sicheren Zugriffskontrollen. Systemadministratoren können Benutzern oder Teams spezifische Berechtigungen zuweisen, um sicherzustellen, dass nur autorisiertes Personal Anwendungen signieren kann. Diese Funktion ist mit der Funktionalität von AppLocker kompatibel und stellt sicher, dass nur Software ausgeführt werden kann, die mit vertrauenswürdigen Zertifikaten signiert ist.

• Automatisierte Code-Signing-Prozesse

  Unsere Plattform automatisiert Code-Signaturprozesse und reduziert manuelle Interaktionen auf ein Minimum. Dadurch sind die Prozesse weniger fehleranfällig und anfällig für Sicherheitslücken. Automatisierte Workflows stellen sicher, dass der Code vor der Verteilung stets korrekt signiert wird. Dies ermöglicht eine nahtlose Integration mit AppLocker und stellt sicher, dass Ihr Unternehmen nur validierte und signierte Anwendungen verteilt.

• Compliance-Überwachung und Berichterstattung

  Unsere Plattform umfasst integrierte Compliance-Funktionen, die alle Code-Signatur-Aktivitäten Ihres Unternehmens verfolgen und protokollieren. Detaillierte Audit-Protokolle unterstützen Ihr Unternehmen bei der Einhaltung gesetzlicher Anforderungen und interner Richtlinien. In Kombination mit AppLocker stellt dies sicher, dass Ihr Unternehmen nur Software einsetzt, die den Sicherheits- und Compliance-Standards entspricht.

• Integration mit CI/CD-Pipelines

  Unsere Lösung lässt sich in bestehende CI/CD-Pipelines und automatisiert den Signaturprozess während der Softwareentwicklung und -bereitstellung. Dies optimiert die Code-Signierung in agilen Umgebungen bei gleichzeitig hoher Sicherheit. Mit AppLocker wird sichergestellt, dass die gesamte in der Produktion laufende Software Ihres Unternehmens signiert, vertrauenswürdig und verifiziert ist, ohne den Entwicklungsworkflow zu stören.

Warum CodeSign Secure mit AppLocker verwenden? 

• Verbesserte Sicherheit

  Unsere Lösung, CodeSign Securebietet eine zentrale Verwaltung der Codesignaturzertifikate Ihres Unternehmens und stellt sicher, dass nur autorisiertes Personal auf diese Zertifikate zugreifen und sie signieren kann. Durch die sichere Speicherung und Verwaltung dieser Zertifikate reduzieren wir das Risiko von Missbrauch oder versehentlicher Offenlegung. In Kombination mit AppLocker entsteht eine zusätzliche Sicherheitsebene, da nur signierte Software Ihres Unternehmens ausgeführt werden darf, indem die erforderlichen Richtlinien durchgesetzt werden.

• Optimierte Code-Signierung

  Unsere Lösung automatisiert den Code-Signaturprozess und minimiert das Risiko menschlicher Fehler, um konsistente Signaturpraktiken zu gewährleisten. Diese Automatisierung stellt sicher, dass Ihre Entwickler und Systemadministratoren die Code-Signaturzertifikate nicht manuell bearbeiten müssen. Dies reduziert Verzögerungen und Risiken, die mit manuellen Prozessen verbunden sind. In Verbindung mit AppLocker garantiert dieser optimierte Prozess, dass Ihr Unternehmen nur signierte und vertrauenswürdige Anwendungen ausführt.

• Verbesserte Compliance

  Unsere Lösung bietet detaillierte Berichts- und Überwachungsfunktionen zur Nachverfolgung aller Code-Signing-Aktivitäten. Diese Berichte bieten Ihren Prüfern detaillierte Einblicke darüber, welche Anwendung oder Software von wem und wann signiert wurde. Dies unterstützt Ihr Unternehmen auch bei der Einhaltung gesetzlicher Compliance-Anforderungen wie PCI DSS, HIPAAden CAB-ForumDurch die Integration dieser Funktion in AppLocker kann Ihr Unternehmen nicht nur die Ausführung nicht vertrauenswürdiger Anwendungen verhindern, sondern auch sicherstellen, dass die gesamte ausgeführte Software die internen und externen Compliance-Standards erfüllt.

Wie verwendet AppLocker die Code-Signierung für die Anwendungssteuerung?

AppLocker nutzt die Codesignatur als wichtige Methode zur Überprüfung der Identität von Softwareherausgebern und zur Durchsetzung einer strengen Kontrolle darüber, welche Anwendungen auf den Systemen Ihres Unternehmens ausgeführt werden können. Durch die Nutzung digitaler Signaturen stellt AppLocker sicher, dass nur vertrauenswürdige und signierte Software ausgeführt werden kann. 

AppLocker-Regeltypen 

AppLocker verwendet verschiedene Regeltypen, um verschiedene Dateiformate und Anwendungstypen zu steuern. Sehen wir uns diese Regeltypen an:

• Ausführbare Regeln

  Diese Regeln steuern, welche ausführbaren Dateien (.exe und .com) in Ihrer Organisation ausgeführt werden dürfen. Administratoren können Regeln basierend auf dem Herausgeber, Pfad oder Datei-Hash der Datei erstellen, um sicherzustellen, dass nur vertrauenswürdige ausführbare Programme ausgeführt werden.

• Windows Installer-Regeln

  Diese Regeln legen fest, welche Windows Installer-Dateien (.msi und .msp) ausgeführt werden können. Dadurch kann Ihr Unternehmen die Installation von Softwarepaketen steuern und diese Installationen auf vertrauenswürdige Quellen beschränken.

• Skriptregeln

  Diese Regeln steuern die Ausführung von Skriptdateien wie PowerShell-Skripts (.ps1), Batchdateien (.bat) und JavaScript-Dateien (.js). Dies ist wichtig, um die Ausführung potenziell schädlicher Skripts in der Umgebung Ihres Unternehmens zu kontrollieren.

• Regeln für gepackte Apps

  Diese Regeln gelten für UWP-Apps (Universal Windows Platform) und gepackte Apps wie AppX-Dateien. Sie steuern die Ausführung moderner Anwendungen, die über den Microsoft Store oder andere Kanäle verteilt werden, und stellen sicher, dass nur autorisierte Anwendungen ausgeführt werden können.

Herausgeberregeln und digitale Zertifikate 

AppLocker kann diese Regeln verwenden, um die Anwendungssteuerung basierend auf digitale SignaturenWenn die Software mit einem Codesignaturzertifikat signiert ist, wird die digitale Signatur in die Datei eingebettet, wodurch AppLocker den Herausgeber identifizieren und sicherstellen kann, dass die Anwendung authentisch ist und nicht manipuliert wurde.

1. Funktionsweise von Publisher-Regeln

   Diese Regeln basieren auf den Metadaten einer Datei digitales Zertifikat, wie z. B. Herausgeber- und Produktname, Dateiversion und Zertifikatsaussteller. Wenn ein Administrator Ihrer Organisation eine Regel erstellt, kann er verschiedene Kontrollebenen angeben.

2. Verwenden von Code Signing-Zertifikaten

   AppLocker verwendet die digitale Signatur, um die Identität des Softwareherausgebers zu überprüfen, bevor die Ausführung der Anwendung in der Umgebung Ihrer Organisation zugelassen wird. Dieser Prozess funktioniert wie folgt:

   • Die Anwendung ist mit einem Code Signing-Zertifikat signiert, das von einer vertrauenswürdigen Zertifizierungsstelle (CA) an Ihre Organisation.
   • AppLocker überprüft dann dieses Zertifikat, um zu bestätigen, dass es von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde und ob es mit der Anwendung übereinstimmt oder nicht.
   • Wenn das Zertifikat gültig ist und die definierte Herausgeberregel erfüllt, kann die Anwendung ausgeführt werden.

Implementieren der Code-Signierung mit CodeSign Secure für AppLocker 

Lassen Sie uns nun besprechen, wie Sie und Ihre Organisation CodeSign Secure zusammen mit AppLocker, um Ihre Entwicklungs- und Bereitstellungs-Workflows zu sichern. 

CodeSign Secure einrichten 

• Besuchen Sie unsere Website und Registrieren für ein CodeSign Secure-Konto, falls Sie dies noch nicht getan haben. 
• Schließen Sie den Registrierungsprozess ab und erhalten Sie Zugriff auf unsere Lösung. 
• Melden Sie sich beim Portal an (je nach der von Ihnen gewählten Bereitstellung – On-Prem, SaaS oder Hybrid). 
• Definieren Sie Benutzerrollen wie Systemadministrator, Projektmanager, Sicherheitsbeauftragter, Prüfer und Entwickler auf unserem Portal. 
• Richten Sie Zugriffskontrollen und Berechtigungen ein, sodass nur autorisiertes Personal die Code-Signaturvorgänge durchführen kann.  
• Integrieren Sie unsere Lösung in Ihre bestehenden CI/CD-Pipelines wie Jenkins, Gitlab, Azure-DevOpsusw., um die Code-Signaturprozesse während der Build- und Bereitstellungsphasen zu automatisieren. 

Erhalten Sie Code Signing-Zertifikate

1. Nutzen Sie unser Portal zur Generierung eines CSR durch Speichern des privaten kryptografischen Schlüssels in einem FIPS 140-2 HSM der Stufe 2 für Sicherheit.
2. Verwenden Sie diese CSR, um ein Code-Signaturzertifikat von einer vertrauenswürdigen öffentlichen Zertifizierungsstelle zu erhalten.
3. Wählen Sie den Zertifikatstyp entsprechend Ihren Sicherheitsanforderungen:
   1. OV (Organisationsvalidierung): Standardvalidierungsstufe für Organisationen.
   2. EV (erweiterte Validierung): Bietet die höchste Validierungsstufe für verbesserte Sicherheit.
4. Sobald Sie das ausgestellte Zertifikat erhalten haben, speichern Sie es in unserem Portal, indem Sie das Zertifikat importieren.
5. Stellen Sie nun sicher, dass auf dieses Zertifikat nur Personen mit den entsprechenden Rollen und Berechtigungen zugreifen können.

Code-Signierungsprozess

• Verwenden Sie unseren KSP (Key Storage Provider von Encryption Consulting), um ausführbare Dateien, Skripte oder andere Dateien mit dem ausgestellten Zertifikat zu signieren. 
• Automatisieren Sie diesen Code-Signaturprozess über Ihre CI/CD-Pipeline oder verwenden Sie unser individuell angepasstes Utility-Tool, um einzelne oder Massendateien zu signieren. 
• Sobald die Software oder Anwendung signiert ist, sollte Windows die digitale Signatur als von einem vertrauenswürdigen Herausgeber stammend erkennen. 
• Testen Sie die signierten Dateien auf Ihren Windows-Systemen, um die Signatur zu überprüfen und sicherzustellen, dass die Anwendungen die Sicherheitsrichtlinien erfüllen. 

Konfigurieren von AppLocker zur Verwendung von Herausgeberregeln

• Für einzelne Maschinen müssen Sie secpol.msc (Lokale Sicherheitsrichtlinie) um auf die AppLocker-Einstellungen zuzugreifen. Aber für domänenweite Richtlinien müssen Sie gpmc.msc (Gruppenrichtlinien-Verwaltungskonsole) zum Verwalten von AppLocker-Richtlinien. 
• Du musst gehen zu Anwendungssteuerungsrichtlinien > AppLocker, und Sie müssen den Regeltyp auswählen, z. B. „Ausführbare Regeln“. 
• Nun müssen Sie auswählen Neue Regel erstellen und wählen Sie Publisher als Bedingung. 
• Navigieren Sie anschließend zu einer zuvor signierten ausführbaren Datei, um die Herausgeberinformationen aus dem Zertifikat zu extrahieren, das Sie zum Signieren verwendet haben. 
• Nun müssen die Administratoren in Ihrer Organisation den Geltungsbereich der Regel definieren, beispielsweise welche Versionen des Produkts veröffentlicht werden sollen. 
• Anschließend müssen Sie diese Regeln auf relevante Benutzergruppen anwenden. 
• Denken Sie daran, Ihren AppLocker im Überwachungsmodus zu konfigurieren, um die Protokolle zu überwachen. 

Bereitstellen und Durchsetzen von AppLocker-Regeln 

• Nachdem Sie die Regeln im Überwachungsmodus überprüft haben, wechseln Sie Ihren AppLocker in den Erzwingungsmodus. In diesem Modus darf nur das vertrauenswürdige Zertifikat ausgeführt werden, um die Sicherheit Ihrer Organisation zu gewährleisten. 
• Sie sollten die AppLocker-Protokolle regelmäßig überprüfen, um Versuche zu erkennen, nicht autorisierte Software auszuführen. 

Best Practices für die Verwendung von CodeSign Secure mit AppLocker

Befolgen Sie diese bewährten Methoden, um die Sicherheit Ihres Unternehmens zu gewährleisten und Anwendungen mithilfe unserer Lösung zu authentifizieren – CodeSign Secure in AppLocker integriert. Diese sind: 

• Zertifikate regelmäßig aktualisieren

  Stellen Sie sicher, dass Ihre Code Signing-Zertifikate vor Ablauf erneuert werden, um jegliche Art von Vertrauensverlust in die Software zu vermeiden und die Ausführung von nicht signiertem oder nicht vertrauenswürdigem Code zu verhindern. Richten Sie automatische Benachrichtigungen für die Zertifikatserneuerung ein und planen Sie einen reibungslosen Übergang zwischen alten und neuen Zertifikaten.

• Überwachen von AppLocker-Protokollen

  Ihre Entwickler sollten AppLocker-Protokolle regelmäßig mithilfe der Ereignisanzeige überprüfen, um die Anwendungsausführung zu überwachen und potenzielle Sicherheitsvorfälle zu erkennen. Mithilfe dieser Protokolle können Sie auch Regelverstöße oder Richtlinienfehlkonfigurationen nachverfolgen und sicherstellen, dass in der Umgebung Ihres Unternehmens nur vertrauenswürdige Software ausgeführt wird.

• Automatisieren Sie, wenn möglich

  Ihre Entwickler sollten Automatisierungstools nutzen, um CodeSign Secure in CI/CD-Pipelines und Bereitstellungsprozesse zu integrieren. Dies stellt sicher, dass die Code-Signierung bei Software-Builds und -Releases konsistent angewendet wird und reduziert das Risiko manueller Fehler.

Fehlerbehebung bei häufigen Problemen

Lassen Sie uns einige der häufigsten Probleme besprechen, die bei der Verwendung von AppLocker auftreten können. Diese sind wie folgt: 

1. Problem mit der Zertifikatsanerkennung
   1. AppLocker erkennt von CodeSign Secure ausgestellte Zertifikate nicht:
      1. Fehlende Zwischenzertifikate: Wenn AppLocker unsere von CodeSign Secure ausgestellten selbstsignierten Zertifikate nicht erkennt, kann dies an fehlenden Zwischenzertifikaten in der Zertifikatskette liegen. Um dieses Problem zu beheben, müssen Sie die folgenden Schritte ausführen:
         • Sie müssen die fehlenden Zwischenzertifikate von unserem CodeSign Secure Portal aus.
         • Sie müssen überprüfen, ob die Zertifikatskette im Windows-Zertifikatspeicher vorhanden ist und ob sie ordnungsgemäß verknüpft sind.
      2. Abgelaufene Zertifikate: Wenn die Zertifikate abgelaufen sind, blockiert AppLocker die zugehörige Software in Ihrer Organisation. So beheben Sie dieses Problem:
         • Sie müssen das Zertifikat erneuern, bevor es abläuft.
         • Sie müssen die betroffene Software mit dem neuen Zertifikat erneut signieren und die AppLocker-Regeln nach Bedarf aktualisieren, um die Informationen dieses neuen Zertifikats widerzuspiegeln.
      3. Zertifikatsspeicherkonfiguration: Ihre Entwickler müssen sicherstellen, dass das Zertifikat für die Code-Signierung im richtigen Speicher installiert ist.
2. Problem mit der Zertifikatssperrung
   1. Probleme beim Zugriff auf Zertifikatsperrlisten (CRLs) oder OCSP:
      1. Netzwerkeinschränkungen: Die Firewalls oder Netzwerkeinstellungen Ihres Systems blockieren möglicherweise den Zugriff auf CRL-Verteilungspunkte oder OCSP-Responder. Dadurch kann AppLocker den Sperrstatus des Zertifikats nicht überprüfen. Um dieses Problem zu lösen, müssen Sie die folgenden Lösungen befolgen:
         • Sie müssen überprüfen, ob Ihre Firewall und Ihr Netzwerk ausgehenden Datenverkehr zu den in den CRL-Verteilungspunkten oder OCSP-Standorten angegebenen URLs zulassen.
         • Wenn Ihre automatischen CRL-Updates fehlschlagen, müssen Sie die neuesten CRLs manuell von der Website der Zertifizierungsstelle herunterladen und installieren.
         • Wenn Ihre Organisation isolierte und hochsichere Umgebungen bevorzugt, müssen Sie interne CRL-Verteilungspunkte oder OCSP-Responder einrichten.
3. Fehlercodes und Lösung
   1. Ungültige OID (Objektkennung): Dieser Fehler tritt auf, wenn die OID des Codesignaturzertifikats nicht mit der erwarteten OID für die erforderliche Anwendung übereinstimmt. Um dieses Problem zu beheben, müssen Sie die folgenden Schritte ausführen:
      1. Sie müssen die EKU-Einstellungen (Enhanced Key Usage) des Zertifikats überprüfen, um sicherzustellen, dass es über die richtige OID für die Codesignatur verfügt.
      2. Ihre Entwickler müssen sicherstellen, dass das Zertifikat speziell für die Code-Signierung ausgestellt wird.
   2. Fehler bei der Signaturvalidierung: Windows oder AppLocker können die digitale Signatur möglicherweise aus mehreren Gründen nicht erkennen:
      1. Sie müssen sicherstellen, dass die Software seit der Signierung nicht manipuliert wurde, da jegliche Änderungen die Signatur ungültig machen würden.
      2. Sie müssen den Widerrufsstatus des Zertifikats überprüfen, indem Sie sicherstellen, dass Ihr System Zugriff auf CRLs oder OCSP hat.
      3. Sie müssen bestätigen, dass das richtige Signaturverfahren sowie das entsprechende Zertifikat und Verfahren befolgt wurden.
   3. Häufige Fehlercodes:
      1. HRESULT: 0x800710D8: Dieser Fehler weist auf ein Problem mit Ihrem Zertifikatskette oder das Endentitätszertifikat ist nicht vertrauenswürdig. Sie müssen die Zertifikatskette überprüfen und die Stamm- oder Zwischenzertifikate bei Bedarf neu installieren.
      2. 0x8009000F (Schlüssel für die Verwendung in einem bestimmten Zustand ungültig): Sie müssen überprüfen, ob der mit dem Zertifikat verknüpfte private Schlüssel zugänglich und korrekt konfiguriert ist. Bei Bedarf müssen Sie das Zertifikat erneut importieren.
      3. 0x800B0109 (Die Zertifikatskette wurde von einer nicht vertrauenswürdigen Behörde ausgestellt): Sie müssen die Stamm- und Zwischenzertifikate der Zertifizierungsstelle installieren und die Zertifikatsvertrauenseinstellungen bestätigen.

Fazit 

Die Verwendung von CodeSign Secure mit AppLocker bietet mehrere wichtige Vorteile, wie verbesserte Sicherheit, Compliance und optimierte Verwaltung. Wir empfehlen Ihnen, die Vorteile der Integration unserer Lösung mit AppLocker zu erkunden, um Ihre Anwendungen und IT-Infrastruktur zu sichern. Mit dieser Lösung verbessern Sie Ihre Anwendungskontrolle, reduzieren Sicherheitsrisiken und stellen sicher, dass in Ihrer Umgebung nur vertrauenswürdige Software ausgeführt wird.  

Um Ihre Software noch heute zu sichern und die Vorteile der robusten Code-Signatur-Funktionen unserer Lösung zu nutzen, besuchen Sie unserer Website um mehr über CodeSign Secure zu erfahren. Entdecken Sie, wie Sie diese Lösung mit AppLocker integrieren können, um ein höheres Maß an Sicherheit und Compliance in Ihrem Unternehmen zu erreichen.