Systemeinstellungen: Zertifikatsregeln zur Durchsetzung von Softwareeinschränkungsrichtlinien auf Windows-Programme anwenden
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Systemeinstellungen: Zertifikatsregeln zur Durchsetzung von Softwareeinschränkungsrichtlinien auf Windows-Programme anwenden beschrieben.
Referenzen
Durch diese Richtlinieneinstellung wird bestimmt, ob digitale Zertifikate verarbeitet werden, wenn Softwareeinschränkungsrichtlinien aktiviert sind und ein Benutzer oder Prozess versucht, Software mit einer EXE-Dateierweiterung auszuführen. Durch diese Sicherheitseinstellung werden Zertifikatregeln (eine Art Softwareeinschränkungsrichtlinie) aktiviert oder deaktiviert. Mit einer Softwareeinschränkungsrichtlinie können Sie eine Zertifikatregel erstellen, die die Ausführung von Microsoft Authenticode®-signierter Software zulässt oder verhindert, je nachdem, welches digitale Zertifikat der Software zugeordnet ist. Damit Zertifikatregeln in Softwareeinschränkungsrichtlinien funktionieren, müssen Sie diese Sicherheitseinstellung aktivieren.
Mögliche Werte
Aktiviert
Deaktiviert
Nicht definiert
Bewährte Methoden
- Legen Sie diese Richtlinie auf Aktiviert fest. Die Aktivierung von Zertifikatregeln führt dazu, dass Softwareeinschränkungsrichtlinien eine Zertifikatsperrliste (Certificate Revocation List, CRL) überprüfen, um sicherzustellen, dass das Zertifikat und die Signatur der Software gültig sind. Wenn Sie signierte Programme starten, kann die Systemleistung durch diese Einstellung herabgesetzt werden. Sie können CRLs deaktivieren, indem Sie Softwareeinschränkungsrichtlinien im gewünschten GPO bearbeiten. Deaktivieren Sie im Dialogfeld Eigenschaften von Vertrauenswürdige Herausgeber die Kontrollkästchen Herausgeber und Zeitstempel.
Ort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Deaktiviert |
Effektive Standardeinstellungen für DC |
Deaktiviert |
Effektive Standardeinstellungen für Mitgliedsserver |
Deaktiviert |
Effektive Standardeinstellungen für Clientcomputer |
Deaktiviert |
Richtlinienverwaltung
In diesem Abschnitt werden die verfügbaren Features und Tools zum Verwalten dieser Richtlinie beschrieben.
Neustartanforderung
Keine. Wenn Änderungen an dieser Richtlinie lokal gespeichert oder über Gruppenrichtlinien verteilt werden, treten sie ohne einen Neustart des Geräts in Kraft.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Wenn keine Softwareeinschränkungsrichtlinien verwendet werden, können Benutzer und Geräte nicht autorisierter Software ausgesetzt werden, die unter Umständen Schadsoftware enthält.
Gegenmaßnahme
Aktivieren Sie die Einstellung Systemeinstellungen: Zertifikatsregeln zur Durchsetzung von Softwareeinschränkungsrichtlinien auf Windows-Programme anwenden.
Mögliche Auswirkung
Wenn Sie Zertifikatregeln aktivieren, überprüfen Softwareeinschränkungsrichtlinien eine Zertifikatsperrliste (Certificate Revocation List, CRL), um sicherzustellen, dass das Zertifikat und die Signatur der Software gültig sind. Dieser Überprüfungsvorgang kann sich beim Start signierter Programme negativ auf die Leistung auswirken. Wenn Sie dieses Feature deaktivieren möchten, können Sie die Softwareeinschränkungsrichtlinien im entsprechenden GPO bearbeiten. Deaktivieren Sie im Dialogfeld Eigenschaften von Vertrauenswürdige Herausgeber die Kontrollkästchen Herausgeber und Zeitstempel.