Windows: Anwendungen blockieren oder erlauben: Softwareeinschränkung

Den Start von bestimmten Anwendungen verhindern oder nur bestimmte Anwendungen erlauben: Viren, Malware oder Ransomware gar nicht erst ausführen: Mit Hilfe der Softwareeinschränkung können nur erlaubte ausführbare Dateien gestartet werden. Erlaubt werden kann der Hash-Wert der Dateien oder bestimmte Pfade. Die Softwareeinschränkung ist ab den Windows Versionen Professional enthaltenen. Windows Enterprise bietet mit Applocker zusätzlich eine etwas bessere Verwaltung und die Möglichkeit automatisch Hashwerte aus allen aktuell vorhandenen Programmen zu erstellen.  

Wer auf seinem Computer nur sehr selten neue Programme installiert, muss für den zusätzlichen Schutz nur initial etwas Zeit investieren. Neu installierte Programme müssen dann, je nach Konfiguriation, erlaubt werden.

Richtlinien für Softwareeinschränkung

Die Sofwareeinschränkung kann in der lokalen Gruppenrichtlinie mit dem Befehl gpedit.msc konfiguriert werden.

Voraussetzung dafür ist, wie bereits erwähnt, Windows 10 Enterprise oder Professional, siehe auch: Windows 10 Build Version anzeigen - herausfinden.

Unter "Computerkonfiguration", "Windows-Einstellungen", "Sicherheitseinstellungen" kann eine "Neue Richtlinie für Softwareeinschränkung" erstellt werden

Blacklist oder Whitelist

Die Softwareeinschränkung ist bezüglich der Konfiguration sehr flexibel. So können zum Beispiel nur bestimme Programme verboten werden oder wesentlich sicherer: nur gewünschte Programme erlaubt werden.

Nicht erlauben als Standard

Um nur bestimmte Programme zu erlauben, stelle ich die Sicherheitsstufe auf "Nicht erlaubt".

Damit im Anschluss das Startmenü noch funktioniert  musste ich .LNK als Dateierweiterung entfernt:

Der Großteil der Windows-Programme funktioniert standardmäßig, eine Ausnahme dazu sind einige Programme im Ordner: "Programme (x86)", so kann zum Beispiel der 32bit-Internet Explorer gar nicht mehr gestartet werden:

In der Ereignisanzeige erzeugen alle blockierten Programme einen Eintrag.

Um ein blockiertes Programm zu erlauben, reicht also ein Blick in die Ereignisanzeige und das Definieren einer Ausnahme. Als zusätzliche Regel kann der Pfad zur ausführbaren Datei zu einem Ordner mit ausführbaren Dateien oder ein Hash-Wert erlaubt werden: 

Pfad-Regel

Würde ich "c:\Program Files (x86)" als Pfadregel angeben, würde dies alle ausführbaren Dateien in allen Unterordnern erlauben.

Hashregel

Noch sicherer ist eine Hash-Regel. Durch Auswahl der Datei wird für die ausführbare Datei ein eindeutiger Hash-Wert errechnet. Sollte sich die Datei ändern, kann diese nicht mehr ausgeführt werden. Das ist auch gleichzeigt das Problem der Hash-regel: Updates an den Programmen verhindern eventuell das Ausführen dieser.

Nicht eingeschränkt

Standardmäßig werden alle Programme erlaubt, für die ein Benutzer die Berechtigungen hat: der Standard ist also: Nicht eingeschränkt.

Da Schadprogramme sehr oft aus dem Benutzerprofil (%appdata%) gestartet werden, bringt das Verbieten von ausführbaren Dateien aus dem Benutzerprofil bereits eine bessere Sicherheit:

 

 Pfade und Variablen:

  • “%UserProfile%” zeigt auf: C:\Documents and Settings\User and all subfolders under this directory.

  • “%ProgramFiles%\Anwendung” zeigt auf: "C:\Program Files\Anwendung" und alle Unterordner des Verzeichnisses.

 

  • “\\DC-??\login$” zeigt auf: \\DC-01\login$, \\DC-02\login$

  • “*\Windows” zeigt auf: C:\Windows, D:\Windows, E:\Windows

  • “c:\win*” zeigt auf: c:\winnt, c:\windows, c:\windir

 

siehe auch: https://technet.microsoft.com/en-us/library/cc786941(v=ws.10).aspx 

Applocker

Microsoft hat in den jüngsten Windows-Versionen zusätzlich eine Anwendungssteuerungsrichtlinie eingeführt: AppLocker. AppLocker bietet durch den vorhandenen Wizard mehr Komfort bei der Einrichtung als die Softwareeinschränkung.

Auch wenn das Applocker-Menü in der Gruppenrichtlinienverwaltung von Windows 10 Professional enthalten ist, kann es dennoch nur mit Windows 10 Enterprise verwendet werden:

Fehler im Eventlog bei Verwendung mit einer Windows Professional Version:

srpapi.dll: AppLocker-Komponente auf dieser SKU nicht verfügbar

Wizard:Regeln erstellen

Eine neue Regel kann wie folgt erstellt werden:

#

Dabei ist es möglich automatische Regeln eines Ordners zu erstellen:

 

siehe auch: https://technet.microsoft.com/library/mt431725(v=vs.85).aspx

positive Bewertung({{pro_count}})
Beitrag bewerten:
{{percentage}} % positiv
negative Bewertung({{con_count}})

DANKE für deine Bewertung!


Top-Artikel in diesem Bereich

Preview KeePass HowTo, Synchronisieren Dropbox und Google Drive; RDP

KeePass HowTo, Synchronisieren Dropbox und Google Drive; RDP

geändert: 30.08.2020 von Bernhard (Erstveröffentlichung: 19.01.2015)

In dem Artikel wie verwaltest du deine Passwörter? habe ich einige Gedanken zum sicheren Umgang mit Passwörtern beschrieben. Ein möglicher Lösungsansatz um den Umgang mit Passwörtern sicherer zu gestalten, ist das Verwenden eines Passwortmanagers wie KeePass. KeePass ist freie Software und kann daher völlig kostenlos auf allen möglichen Geräten verwendet werden. Version / Download: KeePass ... weiterlesen

Preview www.startseite24.net entfernen

www.startseite24.net entfernen

geändert: 25.09.2015 von Bernhard (Erstveröffentlichung: 24.09.2015)

Meine ursprünglich eingestellte Startseite ist futsch, stattdessen hat sich eine andere eingenistet.  Wie die Startseite "startseite24.net" wieder entfernt werden kann.   ... weiterlesen

Preview Schutz vor KeeFarce: KeePass Sicherheit erhöhen /Leistung optimieren

Schutz vor KeeFarce: KeePass Sicherheit erhöhen /Leistung optimieren

geändert: 10.01.2016 von Bernhard (Erstveröffentlichung: 06.11.2015)

Laut den allgemeinen Meinungen im Internet, ist die Verschlüsselung des Passwortmanagers KeePass sicher. Unterstrichen wird dies durch den Open Source- Ansatz: Der Quellcode ist für jedermann ersichtlich und dementsprechend geprüft. Die Sicherheit hängt vielmehr von der Verwendung ab.  ... weiterlesen


Fragen / Kommentare


Wir verwenden Cookies, um Inhalte und Anzeigen zu personalisieren, Funktionen für soziale Medien anbieten zu können und die Zugriffe auf unsere Website zu analysieren. Außerdem geben wir Informationen zu Ihrer Nutzung unserer Website an unsere Partner für soziale Medien, Werbung und Analysen weiter. Details anzeigen.