(0)
Artikel
bewerten
(100% positiv)
(3)

Windows: bestimmte Anwendungen blockieren oder erlauben

Richtlinie für Softwareeinschränkung und AppLocker

Inhalt dieses Artikels:

    Den Start von bestimmten Anwendungen verhindern oder nur bestimmte Anwendungen erlauben: Viren, Malware oder Ransomware gar nicht erst ausführen: Mit Hilfe der Softwareeinschränkung können nur erlaubte ausführbare Dateien gestartet werden. Erlaubt werden kann der Hash-Wert der Dateien oder bestimmte Pfade. Die Softwareeinschränkung ist ab den Windows Versionen Professional enthaltenen. Windows Enterprise bietet mit Applocker zusätzlich eine etwas bessere Verwaltung und die Möglichkeit automatisch Hashwerte aus allen aktuell vorhandenen Programmen zu erstellen.

    Wer auf seinem Computer nur sehr selten neue Programme installiert, muss für den zusätzlichen Schutz nur initial etwas Zeit investieren. Neu installierte Programme müssen dann, je nach Konfiguriation, erlaubt werden.

    Softwareeinschränkung

    Die Sofwareeinschränkung kann in der lokalen Gruppenrichtlinie mit dem Befehlgpedit.msc konfiguriert werden.

    Voraussetzung dafür ist, wie bereits erwähnt, Windows 10 Enterprise oder Professional, siehe auch: Windows 10 Build Version anzeigen - herausfinden.

    Unter "Computerkonfiguration", "Windows-Einstellungen", "Sicherheitseinstellungen" kann eine "Neue Richtlinie für Softwareeinschränkung" erstellt werden

    Blacklist oder Whitelist

    Die Softwareeinschränkung ist bezüglich der Konfiguration sehr flexibel. So können zum Beispiel nur bestimme Programme verboten werden oder wesentlich sicherer: nur gewünschte Programme erlaubt werden.

    Nicht erlauben als Standard

    Um nur bestimmte Programme zu erlauben, stelle ich die Sicherheitsstufe auf "Nicht erlaubt".

    Damit im Anschluss das Startmenü noch funktioniert  musste ich .LNK als Dateierweiterung entfernt:

    Der Großteil der Windows-Programme funktioniert standardmäßig, eine Ausnahme dazu sind einige Programme im Ordner: "Programme (x86)", so kann zum Beispiel der 32bit-Internet Explorer gar nicht mehr gestartet werden:

    In der Ereignisanzeige erzeugen alle blockierten Programme einen Eintrag.

    Um ein blockiertes Programm zu erlauben, reicht also ein Blick in die Ereignisanzeige und das Definieren einer Ausnahme. Als zusätzliche Regel kann der Pfad zur ausführbaren Datei zu einem Ordner mit ausführbaren Dateien oder ein Hash-Wert erlaubt werden: 

    Pfad-Regel

    Würde ich "c:\Program Files (x86)" als Pfadregel angeben, würde dies alle ausführbaren Dateien in allen Unterordnern erlauben.

    Hashregel

    Noch sicherer ist eine Hash-Regel. Durch Auswahl der Datei wird für die ausführbare Datei ein eindeutiger Hash-Wert errechnet. Sollte sich die Datei ändern, kann diese nicht mehr ausgeführt werden. Das ist auch gleichzeigt das Problem der Hash-regel: Updates an den Programmen verhindern eventuell das Ausführen dieser.

    Nicht eingeschränkt

    Standardmäßig werden alle Programme erlaubt, für die ein Benutzer die Berechtigungen hat: der Standard ist also: Nicht eingeschränkt.

    Da Schadprogramme sehr oft aus dem Benutzerprofil (%appdata%) gestartet werden, bringt das Verbieten von ausführbaren Dateien aus dem Benutzerprofil bereits eine bessere Sicherheit:

     

     Pfade und Variablen:

    • “%UserProfile%” zeigt auf: C:\Documents and Settings\User and all subfolders under this directory.

    • “%ProgramFiles%\Anwendung” zeigt auf: "C:\Program Files\Anwendung" und alle Unterordner des Verzeichnisses.

     

    • “\\DC-??\login$” zeigt auf: \\DC-01\login$, \\DC-02\login$

    • “*\Windows” zeigt auf: C:\Windows, D:\Windows, E:\Windows

    • “c:\win*” zeigt auf: c:\winnt, c:\windows, c:\windir

     

    siehe auch: https://technet.microsoft.com/en-us/library/cc786941(v=ws.10).aspx 

    Applocker

    Microsoft hat in den jüngsten Windows-Versionen zusätzlich eine Anwendungssteuerungsrichtlinie eingeführt: AppLocker. AppLocker bietet durch den vorhandenen Wizard mehr Komfort bei der Einrichtung als die Softwareeinschränkung.

    Auch wenn das Applocker-Menü in der Gruppenrichtlinienverwaltung von Windows 10 Professional enthalten ist, kann es dennoch nur mit Windows 10 Enterprise verwendet werden:

    Fehler im Eventlog bei Verwendung mit einer Windows Professional Version:

    srpapi.dll: AppLocker-Komponente auf dieser SKU nicht verfügbar

    Wizard:Regeln erstellen

    Eine neue Regel kann wie folgt erstellt werden:

    #

    Dabei ist es möglich automatische Regeln eines Ordners zu erstellen:

     

    siehe auch: https://technet.microsoft.com/library/mt431725(v=vs.85).aspx

    letzte Änderung dieses Artikels: 27.09.2017 18:58



    Feedback: