Image Härten mit AaronLocker und Nerdio

von

Im September 2025 hatte ich die Gelegenheit, am AVD Techfest teilzunehmen. Dort hörte ich zum ersten Mal von AaronLocker. Und ja, das gibt es schon sehr lange.

Schon seit vielen Jahren bin ich im Bereich EUC (End User Computing) unterwegs und kannte schon Software Restrictions und später AppLocker. Beides habe ich eingesetzt. Immer mehr haben wir die Situation, dass nicht mehr GPOs für die Konfiguration und Härtung der Session Hosts verwendet werden. So war der Einsatz von AppLocker eher nicht mehr praktikabel.

In der Session „Securing Your Session Hosts: Easy to implement security tips for Citrix, AVD, Windows365 and Omnissa“ von meinen MVP-Kollegen Patrick van den Born und Stefan Dingemanse haben sie den Einsatz von AaronLocker für das Härten von Images vorgestellt. Sogleich war mir klar, dass ich dies für Nerdio Manager for Enterprise implementieren wollte.

Obwohl heute mit Windows Defender Application Control (WDAC) eine Lösung existiert, welche auch kontinuierlich erweitert und verbessert wird, hat mich die Einfachheit von AaronLocker überzeugt. Gerade für Kunden, die WDAC noch nicht eingeführt haben, kann dies eine Alternative sein, um die Sicherheit auf den Session Hosts zu erhöhen.

Ich habe also eine Lösung für Nerdio erstellt, welche sich in den Erstellungsprozess von Images leicht integrieren lässt. Es gibt genug Blogs und Beiträge im Internet, die AaronLocker selbst vorstellen, weshalb ich mich auf die Implementierung in Nerdio konzentriere.

Implementierung

Der einfachste Weg, AaronLocker bereitzustellen, sind Shell Apps. Mit Shell Apps kann man mit drei Skripten und weiteren Daten in einer Zip-Datei ein Deployment erstellen.

In einer Shell App gibt es ein Detect Script, welches überprüft, ob die Anwendung schon installiert wurde, und am Ende der Installation überprüft, ob die Installation erfolgreich war. Mit dem Install Script wird die eigentliche Installation durchgeführt. Das Uninstall Script ist in unserem Fall praktisch irrelevant, da wir AaronLocker nur bei der Erstellung des Images installieren/ausführen.

Da AaronLocker direkt von der Quelle heruntergeladen wird, müssen wir Anpassungen vornehmen können. Dazu gibt es Dateien im Ordner CustomizationInputs, welche den Bedürfnissen angepasst werden können. Diese Dateien kopieren wir in die Zip-Datei und können so bei Bedarf Anpassungen vornehmen und die Zip-Datei wieder aktualisieren.

General

Detect Script

Install Script

Uninstall Script

Versions mit Zip Datei

Abschluss

Auch wenn AppLocker nicht mehr topaktuell ist, so gibt es im Moment noch Sicherheitsupdates. Und um ein Image und damit Session Hosts besser zu schützen, kann AppLocker eine Alternative sein. In diesem Fall kann man mit AaronLocker den Prozess für das Erstellen und Anwenden der Regeln deutlich vereinfachen.

Ich hoffe, dass dir diesen Artikel hilft, AaronLocker bei dir zu implementieren.