Application Allowlisting (Whitelisting)
Was ist Application Allowlisting (Whitelisting)?
Application Allowlisting (Whitelisting)Defensiver Mechanismus, der nur ausdrucklich genehmigte Ausfuhrbares, Skripte und Bibliotheken auf einem Endpoint zulasst und alles andere standardmaessig blockiert.
Application Allowlisting (fruher Whitelisting) dreht das Default-Allow-Modell des Antivirus um: Nur Ausfuhrbares, DLLs, Skripte und Installer, die einer genehmigten Policy entsprechen — per Hash, Herausgeber-Signatur oder Pfad — duerfen laufen, alles andere wird blockiert. Microsoft AppLocker und Windows Defender Application Control (WDAC), Linux fapolicyd, macOS-Notarisierung und Produkte wie Airlock Digital oder ThreatLocker setzen das Muster um. NIST SP 800-167 dokumentiert die Architektur, die Essential Eight von CISA/NSA/FBI listen Allowlisting als wirksamste Einzel-Mitigation gegen zielgerichtete Angriffe. Es schutzt sehr gut vor Fileless-Angriffen und unsignierter Ransomware, verlangt aber strikte Change-Management-Prozesse, da jedes neue Tool eine Freigabe benoetigt.
● Beispiele
- 01
Windows-Server mit WDAC, der nur Microsoft-signierte Binarys und wenige genehmigte interne Tools zulasst.
- 02
Airlock Digital, das ein unsigniertes PowerShell-Skript blockt, das einen Cobalt-Strike-Beacon laden will.
● Häufige Fragen
Was ist Application Allowlisting (Whitelisting)?
Defensiver Mechanismus, der nur ausdrucklich genehmigte Ausfuhrbares, Skripte und Bibliotheken auf einem Endpoint zulasst und alles andere standardmaessig blockiert. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet Application Allowlisting (Whitelisting)?
Defensiver Mechanismus, der nur ausdrucklich genehmigte Ausfuhrbares, Skripte und Bibliotheken auf einem Endpoint zulasst und alles andere standardmaessig blockiert.
Wie funktioniert Application Allowlisting (Whitelisting)?
Application Allowlisting (fruher Whitelisting) dreht das Default-Allow-Modell des Antivirus um: Nur Ausfuhrbares, DLLs, Skripte und Installer, die einer genehmigten Policy entsprechen — per Hash, Herausgeber-Signatur oder Pfad — duerfen laufen, alles andere wird blockiert. Microsoft AppLocker und Windows Defender Application Control (WDAC), Linux fapolicyd, macOS-Notarisierung und Produkte wie Airlock Digital oder ThreatLocker setzen das Muster um. NIST SP 800-167 dokumentiert die Architektur, die Essential Eight von CISA/NSA/FBI listen Allowlisting als wirksamste Einzel-Mitigation gegen zielgerichtete Angriffe. Es schutzt sehr gut vor Fileless-Angriffen und unsignierter Ransomware, verlangt aber strikte Change-Management-Prozesse, da jedes neue Tool eine Freigabe benoetigt.
Wie schützt man sich gegen Application Allowlisting (Whitelisting)?
Schutzmaßnahmen gegen Application Allowlisting (Whitelisting) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Application Allowlisting (Whitelisting)?
Übliche alternative Bezeichnungen: Application Allowlisting, Software-Whitelisting.
● Verwandte Begriffe
- defense-ops№ 050
Antivirus (AV)
Endpoint-Software, die schaedliche Dateien mit Signaturdatenbanken, Datei-Scans und einfachen Heuristiken erkennt und entfernt — die historische Basis der Endpointsicherheit.
- defense-ops№ 725
Next-Generation Antivirus (NGAV)
Endpoint-Schutz, der Signaturen um ML-Modelle, Verhaltensanalyse und Exploit-Mitigation erganzt, um unbekannte und Fileless-Bedrohungen zu stoppen.
- defense-ops№ 371
EDR (Endpoint Detection and Response)
Endpoint-Sicherheitstechnologie, die fortlaufend Prozess-, Datei-, Registry- und Netzwerkaktivitäten aufzeichnet, um Bedrohungen auf Hosts zu erkennen, zu untersuchen und darauf zu reagieren.
- malware№ 417
Dateilose Malware
Schadsoftware, die hauptsächlich im Arbeitsspeicher läuft und vertrauenswürdige Systemwerkzeuge nutzt, ohne klassische ausführbare Dateien auf der Festplatte.
- defense-ops№ 298
Defense Evasion
MITRE-ATT&CK-Taktik (TA0005), die Techniken zum Umgehen von Erkennung, Deaktivieren von Sicherheitswerkzeugen und Verbergen der Aktivität auf einem Zielsystem bündelt.
- malware№ 900
Ransomware
Schadsoftware, die Daten des Opfers verschlüsselt oder Systeme sperrt und für die Wiederherstellung des Zugriffs ein Lösegeld fordert.