Windows: Anwendungen blockieren oder erlauben: Softwareeinschränkung


Den Start von bestimmten Anwendungen verhindern oder nur bestimmte Anwendungen erlauben: Viren, Malware oder Ransomware gar nicht erst ausf√ľhren:¬†Mit Hilfe der Softwareeinschr√§nkung k√∂nnen nur erlaubte ausf√ľhrbare Dateien gestartet werden. Erlaubt werden kann der Hash-Wert der Dateien oder bestimmte Pfade.¬†Die Softwareeinschr√§nkung ist ab den Windows Versionen Professional enthaltenen. Windows Enterprise bietet mit¬†Applocker zus√§tzlich eine etwas bessere Verwaltung und die M√∂glichkeit automatisch Hashwerte aus allen aktuell vorhandenen Programmen zu erstellen.

Wer auf seinem Computer nur sehr selten neue Programme installiert, muss f√ľr den zus√§tzlichen Schutz nur initial etwas Zeit investieren. Neu installierte Programme m√ľssen dann, je nach Konfiguriation, erlaubt werden.

Richtlinien f√ľr Softwareeinschr√§nkung

Die Sofwareeinschränkung kann in der lokalen Gruppenrichtlinie mit dem Befehl gpedit.msc konfiguriert werden.

Voraussetzung daf√ľr ist, wie bereits erw√§hnt, Windows 10 Enterprise oder Professional, siehe auch:¬†Windows 10 Build Version anzeigen - herausfinden.

Unter "Computerkonfiguration", "Windows-Einstellungen", "Sicherheitseinstellungen" kann eine "Neue Richtlinie f√ľr Softwareeinschr√§nkung" erstellt werden

Blacklist oder Whitelist

Die Softwareeinschr√§nkung ist bez√ľglich der Konfiguration sehr flexibel. So k√∂nnen zum Beispiel nur bestimme Programme verboten werden oder wesentlich sicherer: nur gew√ľnschte¬†Programme erlaubt werden.

Nicht erlauben als Standard

Um nur bestimmte Programme zu erlauben, stelle ich die Sicherheitsstufe auf "Nicht erlaubt".

Damit im Anschluss das Startmen√ľ noch funktioniert ¬†musste ich .LNK als Dateierweiterung entfernt:

Der Großteil der Windows-Programme funktioniert standardmäßig, eine Ausnahme dazu sind einige Programme im Ordner: "Programme (x86)", so kann zum Beispiel der 32bit-Internet Explorer gar nicht mehr gestartet werden:

In der Ereignisanzeige erzeugen alle blockierten Programme einen Eintrag.

Um ein blockiertes Programm zu erlauben, reicht also ein Blick in die Ereignisanzeige und das Definieren einer Ausnahme.¬†Als zus√§tzliche Regel kann der Pfad zur ausf√ľhrbaren Datei zu einem Ordner mit ausf√ľhrbaren Dateien oder ein Hash-Wert erlaubt werden:¬†

Pfad-Regel

W√ľrde ich "c:\Program Files (x86)" als Pfadregel angeben, w√ľrde dies alle ausf√ľhrbaren Dateien in allen Unterordnern erlauben.

Hashregel

Noch sicherer ist eine Hash-Regel. Durch Auswahl der Datei wird f√ľr die ausf√ľhrbare Datei ein eindeutiger Hash-Wert errechnet. Sollte sich die Datei √§ndern, kann diese nicht mehr ausgef√ľhrt werden. Das ist auch gleichzeigt das Problem der Hash-regel: Updates an den Programmen verhindern eventuell das Ausf√ľhren dieser.

Nicht eingeschränkt

Standardm√§√üig werden alle Programme erlaubt, f√ľr die ein Benutzer die Berechtigungen hat: der Standard ist also: Nicht eingeschr√§nkt.

Da Schadprogramme sehr oft aus dem Benutzerprofil (%appdata%) gestartet werden, bringt das Verbieten von ausf√ľhrbaren Dateien aus dem Benutzerprofil bereits eine bessere Sicherheit:

 

 Pfade und Variablen:

  • ‚Äú%UserProfile%‚Ä̬†zeigt auf: C:\Documents and Settings\User and all subfolders under this directory.

  • ‚Äú%ProgramFiles%\Anwendung‚ÄĚ zeigt auf: "C:\Program Files\Anwendung"¬†und alle Unterordner des Verzeichnisses.

 

  • ‚Äú\\DC-??\login$‚ÄĚ zeigt auf: \\DC-01\login$, \\DC-02\login$

  • ‚Äú*\Windows‚ÄĚ zeigt auf: C:\Windows, D:\Windows, E:\Windows

  • ‚Äúc:\win*‚ÄĚ zeigt auf: c:\winnt, c:\windows, c:\windir

 

siehe auch: https://technet.microsoft.com/en-us/library/cc786941(v=ws.10).aspx 

Applocker

Microsoft hat in den j√ľngsten Windows-Versionen zus√§tzlich eine Anwendungssteuerungsrichtlinie eingef√ľhrt: AppLocker. AppLocker bietet durch den vorhandenen Wizard mehr Komfort bei der Einrichtung als die Softwareeinschr√§nkung.

Auch wenn das Applocker-Men√ľ in der Gruppenrichtlinienverwaltung von Windows 10 Professional enthalten ist, kann es dennoch nur mit Windows 10 Enterprise verwendet werden:

Fehler im Eventlog bei Verwendung mit einer Windows Professional Version:

srpapi.dll: AppLocker-Komponente auf dieser SKU nicht verf√ľgbar

Wizard:Regeln erstellen

Eine neue Regel kann wie folgt erstellt werden:

#

Dabei ist es möglich automatische Regeln eines Ordners zu erstellen:

 

siehe auch: https://technet.microsoft.com/library/mt431725(v=vs.85).aspx

positive Bewertung({{pro_count}})
Beitrag bewerten:
{{percentage}} % positiv
negative Bewertung({{con_count}})

DANKE f√ľr deine Bewertung!

Aktualisiert: 27.09.2017 von Bernhard ūüĒĒ


Top-Artikel in diesem Bereich


KeePass synchronisieren mit der Cloud: Der ultimative Guide
In dem Artikel ‚ÄěWie verwaltest du deine Passw√∂rter?‚Äú habe ich einige Gedanken zum sicheren Umgang mit Passw√∂rtern beschrieben. Ein m√∂glicher L√∂sungsansatz, um den Umgang mit Passw√∂rtern sicherer zu gestalten, ist das Verwenden eines Passwortmanagers wie KeePass. KeePass ist freie Software und kann daher v√∂llig kostenlos auf allen m√∂glichen Ger√§ten verwendet werden.¬†

Bitwarden in Docker betreiben - Setup Schritt f√ľr Schritt
Bitwarden ist ein webbasierter Passwort-Manager, √§hnlich LastPass, aber Open Source und der M√∂glichkeit diesen selbst zu betreiben (hosten). Wie sich Bitwarden im Vergleich zu anderen Passwort-Managern einordnet, habe ich auf folgender Seite √ľberlegt: Passwort-Manager sicher? KeePass vs. LastPass vs. Bitwarden. Um einen mit Bitwarden kompatiblen Server zu betreiben, bietet sich Vaultwarden an. Vaultwarden ist eine alternative Umsetzung von Bitwarden und dank der geringeren Systemanforderungen pe...

Warum? Der angeforderte Vorgang erfordert erhöhte Rechte.
Bestimmte Aktionen erfordern in Windows erhöhte Rechte. Aber was sind erhöhte Rechte?

Fragen / Kommentare


Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu Mehr Details