Systemeinstellungen: Zertifikatsregeln zur Durchsetzung von Softwareeinschränkungsrichtlinien auf Windows-Programme anwenden

Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Systemeinstellungen: Zertifikatsregeln zur Durchsetzung von Softwareeinschränkungsrichtlinien auf Windows-Programme anwenden beschrieben.

Referenzen

Durch diese Richtlinieneinstellung wird bestimmt, ob digitale Zertifikate verarbeitet werden, wenn Softwareeinschränkungsrichtlinien aktiviert sind und ein Benutzer oder Prozess versucht, Software mit einer EXE-Dateierweiterung auszuführen. Durch diese Sicherheitseinstellung werden Zertifikatregeln (eine Art Softwareeinschränkungsrichtlinie) aktiviert oder deaktiviert. Mit einer Softwareeinschränkungsrichtlinie können Sie eine Zertifikatregel erstellen, die die Ausführung von Microsoft Authenticode®-signierter Software zulässt oder verhindert, je nachdem, welches digitale Zertifikat der Software zugeordnet ist. Damit Zertifikatregeln in Softwareeinschränkungsrichtlinien funktionieren, müssen Sie diese Sicherheitseinstellung aktivieren.

Mögliche Werte

• Aktiviert

• Deaktiviert

• Nicht definiert

Bewährte Methoden

• Legen Sie diese Richtlinie auf Aktiviert fest. Die Aktivierung von Zertifikatregeln führt dazu, dass Softwareeinschränkungsrichtlinien eine Zertifikatsperrliste (Certificate Revocation List, CRL) überprüfen, um sicherzustellen, dass das Zertifikat und die Signatur der Software gültig sind. Wenn Sie signierte Programme starten, kann die Systemleistung durch diese Einstellung herabgesetzt werden. Sie können CRLs deaktivieren, indem Sie Softwareeinschränkungsrichtlinien im gewünschten GPO bearbeiten. Deaktivieren Sie im Dialogfeld Eigenschaften von Vertrauenswürdige Herausgeber die Kontrollkästchen Herausgeber und Zeitstempel.

Ort

Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen

Standardwerte

In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.

Richtlinienverwaltung

In diesem Abschnitt werden die verfügbaren Features und Tools zum Verwalten dieser Richtlinie beschrieben.

Neustartanforderung

Keine. Wenn Änderungen an dieser Richtlinie lokal gespeichert oder über Gruppenrichtlinien verteilt werden, treten sie ohne einen Neustart des Geräts in Kraft.

Sicherheitsaspekte

In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.

Sicherheitsrisiko

Wenn keine Softwareeinschränkungsrichtlinien verwendet werden, können Benutzer und Geräte nicht autorisierter Software ausgesetzt werden, die unter Umständen Schadsoftware enthält.

Gegenmaßnahme

Aktivieren Sie die Einstellung Systemeinstellungen: Zertifikatsregeln zur Durchsetzung von Softwareeinschränkungsrichtlinien auf Windows-Programme anwenden.

Mögliche Auswirkung

Wenn Sie Zertifikatregeln aktivieren, überprüfen Softwareeinschränkungsrichtlinien eine Zertifikatsperrliste (Certificate Revocation List, CRL), um sicherzustellen, dass das Zertifikat und die Signatur der Software gültig sind. Dieser Überprüfungsvorgang kann sich beim Start signierter Programme negativ auf die Leistung auswirken. Wenn Sie dieses Feature deaktivieren möchten, können Sie die Softwareeinschränkungsrichtlinien im entsprechenden GPO bearbeiten. Deaktivieren Sie im Dialogfeld Eigenschaften von Vertrauenswürdige Herausgeber die Kontrollkästchen Herausgeber und Zeitstempel.

Verwandte Themen

Sicherheitsoptionen