Windows: Anwendungen blockieren oder erlauben: Softwareeinschränkung

Den Start von bestimmten Anwendungen verhindern oder nur bestimmte Anwendungen erlauben: Viren, Malware oder Ransomware gar nicht erst ausf√ľhren:¬†Mit Hilfe der Softwareeinschr√§nkung k√∂nnen nur erlaubte ausf√ľhrbare Dateien gestartet werden. Erlaubt werden kann der Hash-Wert der Dateien oder bestimmte Pfade.¬†Die Softwareeinschr√§nkung ist ab den Windows Versionen Professional enthaltenen. Windows Enterprise bietet mit¬†Applocker zus√§tzlich eine etwas bessere Verwaltung und die M√∂glichkeit automatisch Hashwerte aus allen aktuell vorhandenen Programmen zu erstellen.

Wer auf seinem Computer nur sehr selten neue Programme installiert, muss f√ľr den zus√§tzlichen Schutz nur initial etwas Zeit investieren. Neu installierte Programme m√ľssen dann, je nach Konfiguriation, erlaubt werden.

Richtlinien f√ľr Softwareeinschr√§nkung

Die Sofwareeinschränkung kann in der lokalen Gruppenrichtlinie mit dem Befehl gpedit.msc konfiguriert werden.

Voraussetzung daf√ľr ist, wie bereits erw√§hnt, Windows 10 Enterprise oder Professional, siehe auch:¬†Windows 10 Build Version anzeigen - herausfinden.

Unter "Computerkonfiguration", "Windows-Einstellungen", "Sicherheitseinstellungen" kann eine "Neue Richtlinie f√ľr Softwareeinschr√§nkung" erstellt werden

Blacklist oder Whitelist

Die Softwareeinschr√§nkung ist bez√ľglich der Konfiguration sehr flexibel. So k√∂nnen zum Beispiel nur bestimme Programme verboten werden oder wesentlich sicherer: nur gew√ľnschte¬†Programme erlaubt werden.

Nicht erlauben als Standard

Um nur bestimmte Programme zu erlauben, stelle ich die Sicherheitsstufe auf "Nicht erlaubt".

Damit im Anschluss das Startmen√ľ noch funktioniert ¬†musste ich .LNK als Dateierweiterung entfernt:

Der Großteil der Windows-Programme funktioniert standardmäßig, eine Ausnahme dazu sind einige Programme im Ordner: "Programme (x86)", so kann zum Beispiel der 32bit-Internet Explorer gar nicht mehr gestartet werden:

In der Ereignisanzeige erzeugen alle blockierten Programme einen Eintrag.

Um ein blockiertes Programm zu erlauben, reicht also ein Blick in die Ereignisanzeige und das Definieren einer Ausnahme.¬†Als zus√§tzliche Regel kann der Pfad zur ausf√ľhrbaren Datei zu einem Ordner mit ausf√ľhrbaren Dateien oder ein Hash-Wert erlaubt werden:¬†

Pfad-Regel

W√ľrde ich "c:\Program Files (x86)" als Pfadregel angeben, w√ľrde dies alle ausf√ľhrbaren Dateien in allen Unterordnern erlauben.

Hashregel

Noch sicherer ist eine Hash-Regel. Durch Auswahl der Datei wird f√ľr die ausf√ľhrbare Datei ein eindeutiger Hash-Wert errechnet. Sollte sich die Datei √§ndern, kann diese nicht mehr ausgef√ľhrt werden. Das ist auch gleichzeigt das Problem der Hash-regel: Updates an den Programmen verhindern eventuell das Ausf√ľhren dieser.

Nicht eingeschränkt

Standardm√§√üig werden alle Programme erlaubt, f√ľr die ein Benutzer die Berechtigungen hat: der Standard ist also: Nicht eingeschr√§nkt.

Da Schadprogramme sehr oft aus dem Benutzerprofil (%appdata%) gestartet werden, bringt das Verbieten von ausf√ľhrbaren Dateien aus dem Benutzerprofil bereits eine bessere Sicherheit:

 

 Pfade und Variablen:

  • ‚Äú%UserProfile%‚Ä̬†zeigt auf: C:\Documents and Settings\User and all subfolders under this directory.

  • ‚Äú%ProgramFiles%\Anwendung‚ÄĚ zeigt auf: "C:\Program Files\Anwendung"¬†und alle Unterordner des Verzeichnisses.

 

  • ‚Äú\\DC-??\login$‚ÄĚ zeigt auf: \\DC-01\login$, \\DC-02\login$

  • ‚Äú*\Windows‚ÄĚ zeigt auf: C:\Windows, D:\Windows, E:\Windows

  • ‚Äúc:\win*‚ÄĚ zeigt auf: c:\winnt, c:\windows, c:\windir

 

siehe auch: https://technet.microsoft.com/en-us/library/cc786941(v=ws.10).aspx 

Applocker

Microsoft hat in den j√ľngsten Windows-Versionen zus√§tzlich eine Anwendungssteuerungsrichtlinie eingef√ľhrt: AppLocker. AppLocker bietet durch den vorhandenen Wizard mehr Komfort bei der Einrichtung als die Softwareeinschr√§nkung.

Auch wenn das Applocker-Men√ľ in der Gruppenrichtlinienverwaltung von Windows 10 Professional enthalten ist, kann es dennoch nur mit Windows 10 Enterprise verwendet werden:

Fehler im Eventlog bei Verwendung mit einer Windows Professional Version:

srpapi.dll: AppLocker-Komponente auf dieser SKU nicht verf√ľgbar

Wizard:Regeln erstellen

Eine neue Regel kann wie folgt erstellt werden:

#

Dabei ist es möglich automatische Regeln eines Ordners zu erstellen:

 

siehe auch: https://technet.microsoft.com/library/mt431725(v=vs.85).aspx

positive Bewertung({{pro_count}})
Beitrag bewerten:
{{percentage}} % positiv
negative Bewertung({{con_count}})

DANKE f√ľr deine Bewertung!

Aktualisiert: 27.09.2017 von Bernhard |ūüĒĒ

‚ě® Sternchen Passwort sichtbar machen: BulletsPassView vs. Pantsoff | ‚ě¶ Sicherheit | Sicherheitseinstellungen erlauben keinen Download ‚ě®

Top-Artikel in diesem Bereich


Warum? Der angeforderte Vorgang erfordert erhöhte Rechte.

Bestimmte Aktionen erfordern in Windows erhöhte Rechte. Aber was sind erhöhte Rechte?


Sternchen Passwort sichtbar machen: BulletsPassView vs. Pantsoff

Als Passwort zeigen Programme, einmal eingegeben, oft nur Sternchen anstelle des Passwortes an: *******. Abgesehen von einigen Ausnahmen kann das hinter den Sternchen hinterlegte Passwort mit dem Tool BulletsPassView sichtbar gemacht werden. Ob das Tools funktionieren, hängt von den Sicherheitsmaßnahmen der jeweiligen Programme ab.


Passwortmanager KeePass vs. LastPass vs. Bitwarden

Ohne entsprechende Hilfsmittel ist es schwierig komplexe und einzigartige Passw√∂rter auf allen Webseiten zu verwenden, was die Sicherheit der Accounts und somit der eigenen Daten herabsetzt. Die L√∂sung f√ľr all jene, die sich nicht gerade mit Gehirnjogging auseinandersetzen, ist m√∂glicherweise ein Passwort Manager.

Fragen / Kommentare


Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu Mehr Details