Applocker und SmartScreen
Schade vor die Crypto Trojaner aber auch unerwünschte SpyWare und AdWare wie Beifang SpyWare sind eine latente Gefahr für ihre Netzwerk. Natürlich kann eine Firma versuchen den Download von EXE-Programmen auf dem Proxy zu unterbinden, den Zugang per USB-Stick zu blockieren, DropBox und Co verbieten aber letztlich wird es immer mal wieder einen Weg geben, wie unerwünschte Programme auf einen Computer gelangen und ausgeführt werden könnten. Diese Programme müssten gar nicht mal "Administrator" sein oder eine Lücke im System ausnutzen. Auch ein Anwender kann schon genug Schaden anrichten. Denken Sie an die Verschlüsselung von kompletten Dateibereichen oder die Veränderung von Bandüberweisungen oder den Zugriff auf Personaldaten der Buchhaltung. Aber auch wenn nichts "Schlimmes" passiert ist auch eine Störung des Betriebsablauf.
Applocker ist auch gut zur Kontrolle, welche Skripte, insbesondere PowerShell-Skripte, ausgeführt werden.
Wichtig: Applocker erforderlich nicht
mehr "Windows Enterprise"
Seit "Win10 Professional Dez 2022 Update" und "Windows 11
22H2" ist Applocker auch in der Professional-Version
vorhanden. Leider nicht mehr bei den Home-Versionen.
Applikationsschutz steht übrigens auch ganz oben auf der Liste der Australier:
- The Essential Eight
https://www.cyber.gov.au/acsc/view-all-content/essential-eight/essential-eight-explained
SmartScreen und Software Restriction Policies
Die normalen "Privatanwender" haben vielleicht schon einmal Kontakt mit der Funktion "SmartScreen" gehabt. Mit der passenden Einstellung "fragt" ihr Windows bei Microsoft nach, ob diese Software "gut" ist. Dies gilt aber meines Wissens nach nur für ausführbare Dateien, die sie über den Internet Explorer herunterladen oder die auf ihrem PC liegen und als Zoneneinstellungen ebenfalls das Internet haben. Der Anwender bzw. Administrator kann SmartScreen nur minimal konfigurieren:
SmartScreen soll auch vor schädlichen Webseiten warnen. Die Hoheit obliegt aber Microsoft und ihr Client muss natürlich eine Internetverbindung haben.
- IE9: SmartScreen-Filter
http://windows.microsoft.com/de-de/internet-explorer/products/ie-9/features/smartscreen-filter - SmartScreen-Filter: Häufig gestellte
Fragen
https://feedback.smartscreen.microsoft.com/smartscreenfaq.aspx
http://windows.microsoft.com/de-de/windows7/smartscreen-filter-frequently-asked-questions-ie9 - Microsoft SmartScreen
https://en.wikipedia.org/wiki/Microsoft_SmartScreen
Softtware Restriction Policies (SRP)
Für Server und Netzwerk Clients gibt es seit Windows 2003 schon die "Software Restrictions Policies Overview" (https://technet.microsoft.com/library/hh831534). Diese Funktion ist umfangreicher als das einfache "SmartScreen" aber würde ich erst einmal als "AppLocker Version 1.0" ansehen. Nicht desto trotz sind SRPs nützlich, denn anders als AppLocker ist diese Funktion auch in Windows Versionen verfügbar, die nicht nur für den Unternehmenseinsatz gedacht sind.
Im Mai 2017 hat sich die Computerzeitschrift c#T in einer Artikelserie diesem Thema gewidmet und sogar ein eigenes Werkzeug bereitgestellt, mit dem sehr einfach ein Computer besser geschützt werden kann. Das Werkzeug unterstützt bei der Einrichtung von SRPs um z.B. das Ausführen von unbekannten Programmen zu verhindern, die von weniger privilegierten Anwendern selbst heruntergeladen werden können.
Die meisten Schädlinge versuchen gar nicht mehr in ein System einzubrechen oder sich als Administrator auszuführen. Damit falen Sie nur zu früh auf. Für einen Schädling ist es durchaus interessant, einfach nur als "Benutzer" zu arbeiten und über die Auto-Start-Funktion des Anwender immer wieder aufgeweckt zu werden. Die reicht immer noch aus, auf dem PC z.B. alle Dokumente, Bilder etc. zu verschlüsseln und damit Einnahmen zu erzwingen und in einem zweiten Schritt dann andere PCs im LAN anzugreifen.
-
c't-Tool schützt Windows vor
Hacker-Angriffen
https://www.heise.de/newsticker/meldung/c-t-Tool-schuetzt-Windows-vor-Hacker-Angriffen-3700059.html -
c’t-Tool aktiviert Profi-Schutz (c't 10/17,
Seite 76)
https://www.heise.de/ct/ausgabe/2017-10-c-t-Tool-aktiviert-Profi-Schutz-3691957.html -
Mit Restric’tor zum sicheren Windows (c't
10/17, Seite 82)
https://www.heise.de/ct/ausgabe/2017-10-Mit-Restric-tor-zum-sicheren-Windows-3691950.html -
Einschätzen, ob man einer Datei besser
misstrauen sollte (c't 10/17, Seite 88)
https://www.heise.de/ct/ausgabe/2017-10-Einschaetzen-ob-man-einer-Datei-besser-misstrauen-sollte-3692093.html -
Download von Restric'tor
https://www.heise.de/ct/downloads/04/2/1/8/6/5/1/2/1710-082.zip - Software Restrictions Policies Overview
https://technet.microsoft.com/library/hh831534
Was ist AppLocker?
Für Firmennetzwerke aber auch für individuelle PCs ist AppLocker eine interessante Option, die ebenfalls im Windows Betriebssystem eingebaut ist. Allerdings nicht in jeder Version. Das Betriebssystem kann über Richtlinien angewiesen werden, nur bestimmte Programme in bestimmten Pfaden, von bestimmten Signierern oder mit bestimmten Hashwerten zu starten. Übe solche "Allowlists" ist es quasi möglich, generell die Ausführung von Programmen aus anderen Quelle oder Pfaden auszuführen.
Damit lassen sich dann unterschiedlichste Aufgabenstellungen umsetzen:
- Schutz gegen "nicht zugelassene"
Programme
In der strengsten Form können sie nur Code auf der Allowlist ausführen lassen. - Steuerung der zulässigen Versionen
So kann verhindert werden, dass jemand vielleicht eine "zu alte" aber auch "zu neue" Version einer Software einsetzt. - Kontrolle lizenzpflichtiger Software
Über eine Policy können Programme nur für bestimmte Benutzerkreise freigegeben werden - Erkennen und verhindern "veränderter"
Programme
Wenn ein Schadcode eine bestehen Datei austauscht oder verändert, dann kann Applocker diese blockieren.
Dazu bekommt das Betriebssystem über Gruppenrichtlinien eine Policy, in der als Regeln hinterlegt ist, welche Programme von wem und in welchem Pfad ausgeführt werden dürfen. Diese "Richtlinien können üb er eine Domäne aber auch als lokale Richtlinie konfiguriert werden. Kontrolliert werden können:
- EXE-Programme
- MSI,MSP Installer Dateien
- BAT, CMD, JS, VBS, PS1-Skripte
- DLLs und OCX-Dateien
- "Apps"
Die Dateien müssen nicht zwingend auf einen lokalen Dateipfad liegen. Auch Anlagen an Mails und Programme auf Wechseldatenträgern (USB-Stick) oder Netzwerklaufwerken werden ebenso überwacht. Nicht im Scope sind allerdings Makros in Word, Excel, JavaScript im Browser etc., da diese von diesen Programmen interpretiert und nicht direkt vom Betriebssystem ausgeführt werden.
Die "Erkennung" der fraglichen ausführbaren Bestandteile erfolgt Anhand Herausgeber, Produktname, Dateiname bzw. Dateiversion und können an Benutzer und Sicherheitsgruppen gebunden werden.
Damit Bitlocker aber funktionieren kann, muss der Dienst "AppIDSvc" auf dem Client gestartet sein. Dieser per Default gestoppt.
PS C:\> Get-Service AppIDSvc | fl Name : AppIDSvc DisplayName : Anwendungsidentität Status : Stopped DependentServices : {} ServicesDependedOn : {RpcSs, CryptSvc, AppID} CanPauseAndContinue : False CanShutdown : False CanStop : False ServiceType : Win32ShareProcess
Wer also Applocker konfiguriert, sollte über die Gruppenrichtlinie auch sicherstellen, dass dieser Dienst auf "automatisch" steht.
- AppLocker: Übersicht
https://technet.microsoft.com/de-de/library/hh831409.aspx
https://technet.microsoft.com/en-us/library/hh831440.aspx - AppLocker: Häufig gestellte Fragen
https://technet.microsoft.com/library/ee619725(ws.10).aspx - Windows 7 AppLocker im Überblick
https://technet.microsoft.com/de-de/library/dd548340(v=ws.10).aspx - AppLocker Overview
https://technet.microsoft.com/en-us/library/hh831440.aspx - AppLocker Policy Use Scenarios
https://technet.microsoft.com/en-us/library/ee424357.aspx - AppLocker
https://technet.microsoft.com/en-us/itpro/windows/keep-secure/applocker-overview
Software Voraussetzungen
Diese Funktion ist aber nicht in allen Windows Versionen enthalten. Es sind neben Servern vor allem die Enterprise oder Ultimate-Versionen.
Windows Version | Verwalten | Durchsetzen | EXE | MSI | Script | App | DLL |
---|---|---|---|---|---|---|---|
Windows 2003, XP, Vista |
|
|
|
|
|
|
|
Windows 7 Ultimate / Enterprise |
|
|
|
|
|
|
|
Windows 7 Professional |
|
|
|
|
|
|
|
Windows 7 Home |
|
|
|
|
|
|
|
Windows 8 Pro |
|
|
|
|
|
|
|
Windows 8 Enterprise |
|
|
|
|
|
|
|
Windows 8.1 |
|
|
|
|
|
|
|
Windows 8/8.1 RT |
|
|
|
|
|
|
|
Windows 10 Enterprise / Education |
|
|
|
|
|
|
|
Windows 10 Pro/Home |
|
|
|
|
|
|
|
Windows Server 2008 Standard, Enterprise, Datacenter |
|
|
|
|
|
|
|
Windows Server 2008 R2 Web Server/Foundation |
|
|
|
|
|
|
|
Windows Server 2008R2 Std/Ent/Datacenter |
|
|
|
|
|
|
|
Windows Server 2012 Std/Datacenter |
|
|
|
|
|
|
|
Windows Server 2012R2 Std/Datacenter |
|
|
|
|
|
|
|
Auch bei Windows 10 haben nur die beiden großen Versionen (Enterprise/Education) die Funktion an Bord.
Ich finde es sehr schade, dass nicht einmal Windows 10 Professional diese an sich nützliche Funktion hat. die Pro-Version kommt schon auch mal bei ambitionierteren Privatanwendern zum Einsatz. Hätte auch Windows 10 Home diese Funktion, dann könnte man sehr einfach viele Desktops schützen. Komisch eigentlich, dass nicht Antivirus-Produkte etwas Vergleichbares bereitstellen.
- Requirements to use AppLocker
https://technet.microsoft.com/en-us/itpro/windows/keep-secure/requirements-to-use-applocker#operating-system-requirements - Lock down Windows 10 to specific apps
https://technet.microsoft.com/en-us/itpro/windows/manage/lock-down-windows-10-to-specific-apps - Windows 10-Editionen vergleichen: Finden
Sie heraus, welches Windows zu Ihnen passt
https://www.microsoft.com/de-de/WindowsForBusiness/Compare
Applocker Standardregeln
Wenn Sie das erste Mal AppLocker konfigurieren, dann sollte ihnen der Assistent die Einrichtung von "Standard-Regeln" vorschlagen. Der primäre Grund ist dabei wohl, dass Sie sich als Administrator nicht selbst aussperren. Windows trägt dann folgende Regeln ein:
Programmklasse | Local Admin | "Jeder" |
---|---|---|
EXE/COM |
Überall |
im
Windows Ordner |
Skripts |
Überall |
im
Windows Ordner |
MSI |
Überall |
Nur digital signiert |
DLL |
Überall |
im
Windows Ordner |
Packaged Apps |
Überall |
Installation und Ausführen von allen signierten "Packaged apps" und "Packaged app installers" |
Insoweit ist sichergestellt, dass ein Administrator weiterhin unbeschränkt arbeiten kann während alle anderen Benutzer und Dienste ein wenig beschränkt sind. Sie können weiterhin alle Programme ausführen. In der MMC sind diese natürlich auch sichtbar:
So ist schon mal sichergestellt, dass sie als Administrator sich nicht selbst aussperren. Für den ein oder anderen Einsatzbereich sind diese Regeln aber auch etwas zu umfangreich. Natürlich sind die Pfade nach "/Windows" und nach "%ProgramFiles%" für normale Anwender nicht beschreibbar, so dass die hier installierten Programme von einem Administrator gekommen sein müssen. Dafür sind ausführbare Programme an anderer Stelle erst einmal untersagt.
Achten Sie beim Testen bitte genau darauf, wer sie sind. Als Administrator haben sie weiterhin "freien Zugang". Nur als Anwender sind sie beschränkt. Ein Anwender, der in der Gruppe der lokalen Administratoren ist aber per "Account Control (UAC)" nur bei Bedarf administrative Rechte bekommt, ist aus Sicht von AppLocker ein Administrator.
Denken sie auch an ihre Entwickler, die selbst z.B. EXE-Dateien als Teil ihrer Arbeit erstellen. Ideal wäre hier, wenn der Entwickler beim Build-Prozess natürlich das EXE gleich signiert, damit Sie dann diese Dateien zulassen.
Achtung:
Die Standard Regeln schützen nicht davor, dass etwas ein
erlaubtes Programm verhindert, da Sie den kompletten Pfad
frei geben. Ein System ist umso sicherer, je detaillierter
Sie die Programme spezifizieren lassen.
- Migration and Deployment: A look at
Windows 8 AppLocker Part 19
http://blogs.technet.com/b/matthewms/archive/2013/02/28/migration-and-deployment-a-look-at-windows-8-applocker-part-19.aspx
AppLocker lokal
Ehe Sie nun gleich auf ihre Domäne losgehen, sollten Sie als lokaler Administrator erst einmal mit einer lokalen Richtlinie beginnen. Hier können Sie quasi alles konfigurieren und testen. Die Auswirkungen sind aber auf ihr System beschränkt. Über die MMC für "Lokale Sicherheitsrichtlinien" starten Sie die Konfiguration von AppLocker.
Zuallererst rate ich ihnen aber dazu, die Standard-Regel zu erstellen, wie ich sie weiter oben beschrieben habe. Der Assistent fragt sie einmal danach. Sie können dies aber auch im Eigenschaftsmenü immer wieder aktivieren. Der nächste Schritt ist, dass Sie alle Programme zusätzlich klassifizieren, die noch "erlaubt" sein sollen. Sie können die Einträge alle manuell vornehmen, um ein "hochsicheres System" zu erhalten oder die aktuell installierten Programme erfassen lassen:
Ein Assistenz erfragt noch zwei weitere Fenster
Der Abschlussbericht zeigt die gefundenen und inventarisierten Dateien und erlaubt ihnen die Anzeige der Dateien und der Regeln.
In der Ansicht können die einzelne Dateien auch abwählen, so dass im nächsten Schritt hierfür keine Regeln erstellt werden. Zum Test habe ich hier einfach eine Datei ausgenommen und erwarte dann, dass ich diese nach der Aktivierung nicht mehr starten kann. Wobei ich hier dran denken muss, dass es eine "Default Regel" gibt, die "Jeder" das Recht gibt, alles in "Programme" zu starten. Die muss ich also wegnehmen.
Die Liste der Programme kann schon etwas länger werden. Hier nur ein Auszug
.
Achtung
Wenn Sie mehrere Festplatten haben und Programme auch auf
anderen Pfaden installiert sind, dann müssen sie diese auch
erfassen.
Sie können natürlich manuell auch "Verweigern"-Regel erstellen, um einzelne Dateien für bestimmte Personen zu sperren und ín jeder Regel können Sie wieder Ausnahmen definieren. Am besten wählen Sie die Dateien und Pfade über die Dialoge aus. So ist "%PROGRAMFILES%\WINHTTRACK\WINHTTRACK.EXE" und "C:\Program Files\WinHTTrack\WinHTTrack.exe" nicht das gleiche.
Dann müssen Sie die Liste noch aktivieren. Das geht auf den Eigenschaften von Applocker. Sie können die Regeln gleich erzwingen oder erst mal nur "Überwachen"
Zuletzt müssen Sie natürlich den Dienst dazu auf "Automatisch" stellen und starten
Nach dem Start des Dienstes und der Übernahme der Einstellungen wird der Start blockiert.
Das ganze funktioniert natürlich auch auf der CMD-Ebene oder hier der PowerShell.
Damit habe ich mein Ziel erreicht, über AppLocker den Start von Code besser zu kontrollieren.
Gerade im Hinblick auf "Privat-PCs" ist das ein sehr pfiffiges Hilfsmittel, um den Start von jeder Art von fremden nicht autorisierten Programmen zu verhindern. Eigentlich schade, dass diese Funktion nicht alle Windows Versionen vorweisen.
Überwachen im Eventlog
Alle Aktivitäten rund um AppLocker landen in einem eigenen Eventlog "Applications and Services Logs\Microsoft\Windows\AppLocker"
Folgende Meldungen habe ich bislang gefunden. Die Quelle ist immer "AppLocker"
EventID | Typ | Inhalt |
---|---|---|
8001 |
Info |
Die AppLocker-Richtlinie wurde erfolgreich auf diesen Computer angewendet. |
8002 |
Info |
Die Ausführung von %PROGRAMFILES%\test\test.EXE wurde zugelassen. |
8003 |
Warnung |
Die Ausführung von %PROGRAMFILES%\test\test.EXE wurde zugelassen, wäre jedoch verhindert worden, wenn die AppLocker-Richtlinie erzwungen worden wäre. |
8004 |
Fehler |
Die Ausführung von %PROGRAMFILES%\WINHTTRACK\WINHTTRACK.EXE wurde verhindert. |
Diese Events stammen von einem Windows 7 Enterprise Client. Windows 8 und neuer dürften mehr Informationen veröffentlichen.
Auf der einen Seite ist es natürlich von Vorteil, so ein ausführliches Log zu erhalten. Auf der anderen Seite muss aber auch der Datenschutz beachtet werden. So kann natürlich auch genau protokolliert und überwacht werden, wann welches Programm aufgerufen wird. Zusammen mit der Information über den angemeldeten Benutzer ist hier besondere Sorgfalt erforderlich.
Sie können diese Informationen natürlich auch aktiv für ein Monitoring von Programmen und Lizenzen einsetzen oder "unbekannte Programme" erkennen. Wie oft werden Programme auf PCs gar nicht mehr verwendet. Wer also diese Eventlogs von vielen PCs konsolidiert, kann für den Betrieb nützliche Daten.
- Überwachen der Nutzung der Anwendung mit
AppLocker
https://technet.microsoft.com/de-de/library/hh994604.aspx
Applocker im Netzwerk
Nachdem Sie entsprechende Erfahrungen mit AppLocker auf einige Pilot-Computer gesammelt haben, können Sie an eine Umsetzung für ihre Netzwerk gehen. Das ist allerdings etwas aufwändiger, weil sie ja quasi von allen PCs alle Programme in allen Versionen ermitteln müssen. Wer schon länger mit vielen Clients zu tun hat, der weiß um das Problem einer homogenen Umgebung. Hier gibt es dann mehrere denkbare Ansätze:
- Pauschal Pfade freigeben
Schon mit den Standard Regel können Sie quasi %windir%% und %ProgramFiles% freigeben und so auf einen Schlag verhindern, dass normale Anwender Programme aus anderen Verzeichnissen starten. In vielen Fällen ist das relativ schnell umgesetzt aber nicht ganz risikofrei. - Inventory und Compile
Ein anderer Ansatz ist natürlich erst einmal alle Programme per Inventory einzusammeln. Das kann per SCCM oder mit anderen Tools erfolgen, die den "Inventory-Lauf" auf dem Client anstoßen. Dann können Sie die aktuellen Regeln als XML-Datei exportieren und zusammenführen, um daraus dann eine Policy für alle Clients zu machen.
Oft wird es auch eine Mischform, dass bestimmte Pfade generell zugelassen werden, da ein Benutzer dort sowieso nichts schreiben darf und nur abweichende Pfade erlaubt werden. Am Ende haben Sie eine oder mehrere Richtlinien, die auf die Clients angewendet werden. Die Richtlinie muss natürlich auch den Dienst "AppIDSvc" auf automatisch stellen und vorgeben, wie die Richtlinien angewendet werden sollen. Auch bei der Anwendung haben Sie zwei Optionen:
- Überwachen
Damit sollten Sie zuerst einmal starten. Nachdem Sie ihre Richtlinie aktiviert haben, sollten Sie von allen Clients einfach die Events 8003 einsammeln, die genau berichten, welche Programme blockiert worden wären. Wenn Sie eine Softwareverteilung haben, dann können Sie nach ein paar Tagen oder Wochen z.B. ein Paket schnüren, welches auf allen Clients das Eventlog durchsucht und die Dateien meldet. - Durchsetzen
Programme,. die nicht erlaubt sind, können von Anwender nicht mehr gestartet werden. Wenn Sie nicht selbst aktiv die Eventlogs auf die 8004-Events überwachen, dann läuft die Rückmeldung über ein Ticket. Temporär kann ein lokaler Admin die Datei frei geben.
Es ist also mit entsprechender Planung und Vorbereitung sehr schnell möglich, auch in einer Firma viele PCs mit "AppLocker" besser gegen Fehlbedienungen und Missbrauch zu schützen. Dies gilt insbesondere für Trojaner, SpyWare, AdWare etc., die als ausführbare Programme oder Skript mit kommen. Allerdings kommt auf den Administrator schon ein bisschen Aufwand zu, wenn neue Versionen einer Software installiert werden, deren Herausgeber sich geändert hat.
Auch eigene "Management-Skripte", die z.B. als Benutzer als Teil des Anmeldeskripts laufen, müssen entsprechend "erlaubt" werden oder gleich mit einer digitalen Signatur versehen werden.
Kommen Sie doch einfach auf mich zu, wenn Sie zu diesem Thema Fragen oder Anregungen haben oder konkret eine Unterstützung bei der Umsetzung benötigen.
Applocker Powershell
Natürlich lassen sich viele Einstellungen von AppLocker auch per PowerShell durchführen. Schon mit Windows 7 gibt es ein AppLocker-Modul, auch wenn die Beschreibung in der TechNet dazu nicht immer passt.
PS C:\> Get-Command -Module applocker CommandType Name ModuleName ----------- ---- ---------- Cmdlet Get-AppLockerFileInformation AppLocker Cmdlet Get-AppLockerPolicy AppLocker Cmdlet New-AppLockerPolicy AppLocker Cmdlet Set-AppLockerPolicy AppLocker Cmdlet Test-AppLockerPolicy AppLocker
Erst mit Windows 8 und neuer sind die Commandlets noch einmal erweitert worden, so dass neue Parameter genutzt werden können. So kann ein Administrator anhand der Meldung im Eventlog die Regeln für die Policy erstellen lassen. Auch können per Powershell z.B. lokal auf einem Computer angelegte Regeln in eine Domänenpolicy importiert werden.
Auch als Methode für ein "Backup/Restore" ist die Powershell prädestiniert-.
- AppLocker Cmdlets
https://technet.microsoft.com/library/hh847210.aspx - Getting Started with AppLocker
management using Powershell
https://blogs.msdn.microsoft.com/powershell/2009/06/02/getting-started-with-applocker-management-using-powershell/ - Merge AppLocker Policies by Using Set-ApplockerPolicy
https://technet.microsoft.com/en-us/library/hh994626.aspx
Weitere Links
- Crypto Trojaner
- Beifang SpyWare
- Überwachen der Nutzung der Anwendung mit
AppLocker
https://technet.microsoft.com/de-de/library/hh994604.aspx - CryptoPrevent
https://www.foolishit.com/cryptoprevent-malware-prevention/ - Manage Packaged Apps with AppLocker
https://technet.microsoft.com/en-us/library/jj161142.aspx - Applocker and PowerShell: how do they
tightly work together?
https://p0w3rsh3ll.wordpress.com/2019/03/07/applocker-and-powershell-how-do-they-tightly-work-together/ - How to configure AppLocker Group Policy
to prevent software from running
http://social.technet.microsoft.com/wiki/contents/articles/5211.how-to-configure-applocker-group-policy-to-prevent-software-from-running.aspx - Security considerations for AppLocker
https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/applocker/security-considerations-for-applocker - Understand AppLocker policy design
decisions
https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/applocker/understand-applocker-policy-design-decisions - Using Event Viewer with AppLocker
https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/applocker/using-event-viewer-with-applocker - "Versiegeln" von Windows-Systemen
mittels Applocker
http://www.itmz.uni-rostock.de/software/windows/sicherheit/versiegeln-von-windows-systemen-mittels-applocker/ - M 4.419 Anwendungssteuerung ab Windows 7
mit AppLocker
https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m04/m04419.html - Use AppLocker and Software Restriction
Policies in the same domain
https://technet.microsoft.com/en-us/itpro/windows/keep-secure/use-applocker-and-software-restriction-policies-in-the-same-domain - The Essential Eight
https://www.cyber.gov.au/acsc/view-all-content/essential-eight/essential-eight-explained