Erzwingung auf Anwendungsebene (Application Layer Enforcement, ALE)
ALE ist eine Gruppe von Windows Filtering Platform (WFP)-Kernelmodusebenen, die für zustandsbehaftete Filterung verwendet werden.
Zustandsbehaftete Filterung verfolgt den Zustand von Netzwerkverbindungen nach und lässt nur Pakete zu, die einem bekannten Verbindungsstatus entsprechen. Beispielsweise kann die zustandsbehaftete Filterung für eine TCP-Verbindung, die von hinter einer Firewall initiiert wird, nur eingehende Pakete zulassen, die mit früheren ausgehenden Paketen übereinstimmen, die von der geschützten Partei gesendet wurden.
Filter in den ALE-Ebenen autorisieren die Erstellung eingehender und ausgehender Verbindungen, Portzuweisungen, Socketvorgänge wie listen(), rohe Socketerstellung und Empfang promiscuous Mode.
Der Datenverkehr auf den ALE-Ebenen wird entweder pro Verbindung oder pro Socket-Vorgang klassifiziert. Auf Nicht-ALE-Ebenen können Filter Datenverkehr nur paketbezogen klassifizieren.
ALE-Ebenen sind die einzigen WFP-Ebenen, auf denen der Netzwerkdatenverkehr anhand der Anwendungsidentität gefiltert werden kann – unter Verwendung eines normalisierten Dateinamens und basierend auf der Benutzeridentität – mithilfe eines Sicherheitsdeskriptors. (Weitere Informationen zu normalisierten Dateinamen finden Sie unter FLT_FILE_NAME_INFORMATION in der Dokumentation zum Windows Driver Kit (WDK).)
Wenn IPsec zum Sichern der Verbindung verwendet wird, kann die Filterung auf ALE-Ebenen auch für die Remotecomputeridentität und die Remotebenutzeridentität ausgeführt werden. Die Remotecomputer- und Benutzeridentitäten werden aus den Anmeldeinformationen abgerufen, die bei der Erstellung einer IPsec-Sitzung verwendet werden.
Aus diesem Grund sind Richtlinien, die erzwingen, wer (z. B. "Administrator") und/oder welche Anwendung (z. B. "Internet Explorer") zum Ausführen der oben genannten Netzwerkvorgänge berechtigt sind, auf den ALE-Ebenen erstellt.
ALE bietet Erzwingung für Richtlinien wie "Zulassen des gesamten Zugriffs von Windows Messenger auf das Netzwerk, während alle anderen Anwendungen blockiert werden". In einem solchen Beispiel, wenn die Anwendung "Messenger" eine Verbindung über das Netzwerk herstellt, fängt ALE das Ereignis ab, bestimmt, dass es von Messenger initiiert wurde, und fragt die WFP-Filter-Engine ab, um zu bestimmen, ob der Socket fortgesetzt werden soll.
Hinweis
Aufgrund der Art echter Dual-IP-Sockets treten Klassifizierungen auf der IPv4-ALE-Ebene möglicherweise nicht auf. Dies ist beabsichtigt, da der Socket für alle Absichten und Zwecke ein IPv6-Socket ist. Um den V4-Datenverkehr für einen solchen Socket anzuzeigen, erstellen Sie Mithilfe der IPv6-zugeordneten Adresse Filter auf der V6-Ebene.
Zugehörige Themen
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für