-
a) På ansattes klienter bør man eksplisitt hviteliste alle programmer som skal kjøre på enheten, fortrinnsvis ved at den tillatte programkoden er signert av en tiltrodd part som gjerne også kvalitetssikrer koden ift. operativsystemets applikasjonskriterier. I praksis kan denne signeringen f.eks. utføres av applikasjonsbutikken (en «app store») til enhetsleverandøren, evt. også i virksomhetens egen applikasjonsbutikk. Hvis behov, kan utvalget av applikasjoner i en leverandørs applikasjonsbutikk strammes inn i virksomheten ved hvitelisting av kun ønskede applikasjoner (f.eks. med verktøy av typen “Mobile Device Management” - MDM).
-
b) Hvis man ikke knytter applikasjoner til en applikasjonsbutikk bør man benytte applikasjons hvitelisting («application whitelisting»). Benytt filmappe-basert hvitelisting, da hvitelisting av individuelle applikasjoner som regel er for arbeidskrevende.
-
c) Ved behov, kan hvitelistingen finkornes ytterligere ved at applikasjons-hvitelistingen også svartelister uønskede leverandør-signerte programmer for gitte brukergrupper, f.eks. kan man eksplisitt blokkere innebygde skriptmotorer («script engines») som man ikke ønsker at sluttbrukere skal kunne kjøre (bare administratorer).
-
d) Programkode som følger med dokumenter (f.eks. makroer) utgjør også en stor angrepsflate. For å redusere denne angrepsflaten bør man:
- i) fjerne uønsket programkode fra eksterne dokumenter og eposter før disse når brukerne, f.eks i brannmuren.
- ii) deaktivere muligheten for å kjøre slik programkode for de brukerne som ikke trenger det.
- iii) Eksplisitt hviteliste programkode som brukerne faktisk trenger, f.eks. vha. signering.