Windows: Anwendungen blockieren oder erlauben: Softwareeinschränkung

 

Den Start von bestimmten Anwendungen verhindern oder nur bestimmte Anwendungen erlauben: Viren, Malware oder Ransomware gar nicht erst ausf√ľhren:¬†Mit Hilfe der Softwareeinschr√§nkung k√∂nnen nur erlaubte ausf√ľhrbare Dateien gestartet werden. Erlaubt werden kann der Hash-Wert der Dateien oder bestimmte Pfade.¬†Die Softwareeinschr√§nkung ist ab den Windows Versionen Professional enthaltenen. Windows Enterprise bietet mit¬†Applocker zus√§tzlich eine etwas bessere Verwaltung und die M√∂glichkeit automatisch Hashwerte aus allen aktuell vorhandenen Programmen zu erstellen.

Wer auf seinem Computer nur sehr selten neue Programme installiert, muss f√ľr den zus√§tzlichen Schutz nur initial etwas Zeit investieren. Neu installierte Programme m√ľssen dann, je nach Konfiguriation, erlaubt werden.

Richtlinien f√ľr Softwareeinschr√§nkung

Die Sofwareeinschränkung kann in der lokalen Gruppenrichtlinie mit dem Befehl gpedit.msc konfiguriert werden.

Voraussetzung daf√ľr ist, wie bereits erw√§hnt, Windows 10 Enterprise oder Professional, siehe auch:¬†Windows 10 Build Version anzeigen - herausfinden.

Unter "Computerkonfiguration", "Windows-Einstellungen", "Sicherheitseinstellungen" kann eine "Neue Richtlinie f√ľr Softwareeinschr√§nkung" erstellt werden

Blacklist oder Whitelist

Die Softwareeinschr√§nkung ist bez√ľglich der Konfiguration sehr flexibel. So k√∂nnen zum Beispiel nur bestimme Programme verboten werden oder wesentlich sicherer: nur gew√ľnschte¬†Programme erlaubt werden.

Nicht erlauben als Standard

Um nur bestimmte Programme zu erlauben, stelle ich die Sicherheitsstufe auf "Nicht erlaubt".

Damit im Anschluss das Startmen√ľ noch funktioniert ¬†musste ich .LNK als Dateierweiterung entfernt:

Der Großteil der Windows-Programme funktioniert standardmäßig, eine Ausnahme dazu sind einige Programme im Ordner: "Programme (x86)", so kann zum Beispiel der 32bit-Internet Explorer gar nicht mehr gestartet werden:

In der Ereignisanzeige erzeugen alle blockierten Programme einen Eintrag.

Um ein blockiertes Programm zu erlauben, reicht also ein Blick in die Ereignisanzeige und das Definieren einer Ausnahme.¬†Als zus√§tzliche Regel kann der Pfad zur ausf√ľhrbaren Datei zu einem Ordner mit ausf√ľhrbaren Dateien oder ein Hash-Wert erlaubt werden:¬†

Pfad-Regel

W√ľrde ich "c:\Program Files (x86)" als Pfadregel angeben, w√ľrde dies alle ausf√ľhrbaren Dateien in allen Unterordnern erlauben.

Hashregel

Noch sicherer ist eine Hash-Regel. Durch Auswahl der Datei wird f√ľr die ausf√ľhrbare Datei ein eindeutiger Hash-Wert errechnet. Sollte sich die Datei √§ndern, kann diese nicht mehr ausgef√ľhrt werden. Das ist auch gleichzeigt das Problem der Hash-regel: Updates an den Programmen verhindern eventuell das Ausf√ľhren dieser.

Nicht eingeschränkt

Standardm√§√üig werden alle Programme erlaubt, f√ľr die ein Benutzer die Berechtigungen hat: der Standard ist also: Nicht eingeschr√§nkt.

Da Schadprogramme sehr oft aus dem Benutzerprofil (%appdata%) gestartet werden, bringt das Verbieten von ausf√ľhrbaren Dateien aus dem Benutzerprofil bereits eine bessere Sicherheit:

 

 Pfade und Variablen:

  • ‚Äú%UserProfile%‚Ä̬†zeigt auf: C:\Documents and Settings\User and all subfolders under this directory.

  • ‚Äú%ProgramFiles%\Anwendung‚ÄĚ zeigt auf: "C:\Program Files\Anwendung"¬†und alle Unterordner des Verzeichnisses.

 

  • ‚Äú\\DC-??\login$‚ÄĚ zeigt auf: \\DC-01\login$, \\DC-02\login$

  • ‚Äú*\Windows‚ÄĚ zeigt auf: C:\Windows, D:\Windows, E:\Windows

  • ‚Äúc:\win*‚ÄĚ zeigt auf: c:\winnt, c:\windows, c:\windir

 

siehe auch: https://technet.microsoft.com/en-us/library/cc786941(v=ws.10).aspx 

Applocker

Microsoft hat in den j√ľngsten Windows-Versionen zus√§tzlich eine Anwendungssteuerungsrichtlinie eingef√ľhrt: AppLocker. AppLocker bietet durch den vorhandenen Wizard mehr Komfort bei der Einrichtung als die Softwareeinschr√§nkung.

Auch wenn das Applocker-Men√ľ in der Gruppenrichtlinienverwaltung von Windows 10 Professional enthalten ist, kann es dennoch nur mit Windows 10 Enterprise verwendet werden:

Fehler im Eventlog bei Verwendung mit einer Windows Professional Version:

srpapi.dll: AppLocker-Komponente auf dieser SKU nicht verf√ľgbar

Wizard:Regeln erstellen

Eine neue Regel kann wie folgt erstellt werden:

#

Dabei ist es möglich automatische Regeln eines Ordners zu erstellen:

 

siehe auch: https://technet.microsoft.com/library/mt431725(v=vs.85).aspx

positive Bewertung({{pro_count}})
Beitrag bewerten:
{{percentage}} % positiv
negative Bewertung({{con_count}})

DANKE f√ľr deine Bewertung!

Fragen / Kommentare


Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu Mehr Details