Skip to main content

Schutz vor nicht autorisierter Software mit Richtlinien für Softwareeinschränkung

Veröffentlicht: 01. Jan 2002 | Aktualisiert: 25. Mai 2004

Richtlinien für Softwareeinschränkung sind ein neues Feature von Microsoft Windows XP und Windows Server 2003. Sie bieten Administratoren einen richtliniengesteuerten Mechanismus zur Identifikation und Kontrolle der auf einem Computer einer Domäne ausgeführten Software. Richtlinien für Softwareeinschränkung können die Systemintegrität und -verwaltbarkeit verbessern - was letztendlich zu geringeren Kosten für den Betrieb eines Computers führt.

Auf dieser Seite

Einleitung

Erweiterte Verwaltungsmöglichkeiten

Richtlinien für Softwareeinschränkung - Ein Überblick

Die Architektur

Richtlinien für Softwareeinschränkung - Optionen

Design von Richtlinien für Softwareeinschränkung

Step-by-Step-Guide für das Design einer Richtlinie für Softwareeinschränkung

Step-by-Step-Guide für das Erstellen zusätzlicher Regeln

Häufig übersehene Regeln

Szenarien

Überlegungen zur Bereitstellung

Fehlersuche

Anhang

Zusammenfassung

Zusätzliche Informationen

Einleitung

Richtlinien für Softwareeinschränkung sind Teil der Strategie von Microsoft, die Unternehmen dabei unterstützen soll, die Zuverlässigkeit, Integrität und Verwaltbarkeit der eigenen Computer zu verbessern. Richtlinien für Softwareeinschränkung ist eines von vielen neuen Features von Windows XP und Windows Server 2003 aus dem Bereich Verwaltbarkeit.

In diesem Artikel erfahren Sie, wozu Sie Richtlinien für Softwareeinschränkung nutzen können:

  • Kampf gegen Viren
  • Festlegen, welche ActiveX-Steuerelemente heruntergeladen werden können.
  • Nur digital signierte Skripte ausführen.
  • Durchsetzen, dass nur freigegebene Software auf Computern installiert werden darf.
  • Absichern von Computern.

Zum Seitenanfang

Erweiterte Verwaltungsmöglichkeiten

Mit Windows 2000 wurden neue Verwaltungsmöglichkeiten für die Windows-Plattform eingeführt. Es ist jetzt möglich, Computer auf die folgenden Arten zu verwalten:

  • Anwendungseinstellungen ermöglichen Ihnen ein Anpassen einer Anwendung über eine Gruppenrichtlinie und das Anwenden dieser Gruppenrichtlinie auf alle erforderlichen Domänenbenutzer.
  • Das Snap-In Softwareinstallation ermöglicht eine zentralisierte Softwareverteilung für Ihre Organisation. Wenn der Benutzer eine Anwendung aus dem Startmenü erstmalig startet, wird diese automatisch installiert. Außerdem können Sie Anwendungen für bestimmte Benutzergruppen veröffentlichen.
  • Sicherheitseinstellungen einer Gruppenrichtlinie definieren eine Sicherheitskonfiguration. Diese setzt konsistente Einstellungen für Kontenrichtlinien, lokale Richtlinien, Ereignisprotokolle, Registrierung, Dateisystem, Richtlinien öffentlicher Schlüssel und andere Richtlinien durch.

Mit Windows XP und Windows Server 2003 wurden die Verwaltungsmöglichkeiten von Windows 2000 um die folgenden Features erweitert:

  • Bessere Diagnosemöglichkeiten und Planungsinformationen durch den Richtlinienergebnissatz (Resultant Set of Policies - RSOP). Weitere Informationen zu diesem Thema finden Sie im Artikel Windows 2000 Group Policy (engl.).
  • Die Möglichkeit zur WMI-Filterung (Windows Management Instrumentation). Unter Windows 2000 können Sie Richtlinien auf Basis von Organisationseinheiten in Active Directory zuweisen. Unter Windows XP können Sie außerdem WMI-Informationen zum Zuweisen von Gruppenrichtlinien nutzen (zum Beispiel an Computer mit einem bestimmten Service Pack).

Richtlinien für Softwareeinschränkung sind in das Betriebssystem und die Skriptingmöglichkeiten integriert. Unter Windows 2000 können Sie den Zugriff auf bestimmte Anwendungen verhindern, indem Sie diese aus dem Startmenü entfernen oder den Befehl "Ausführen" entfernen. Die neuen Richtlinien für Softwareeinschränkung gehen jedoch weit über diese Möglichkeiten hinaus.

Zum Seitenanfang

Richtlinien für Softwareeinschränkung - Ein Überblick

In diesem Abschnitt werden das Verhalten von schädlichem Programmcode und die Probleme in Bezug auf unbekannten Programmcode besprochen.

Schädlicher Programmcode hat mehr als eine Möglichkeit, auf ein System zu gelangen

Seit der vermehrten Nutzung von Netzwerken und Internet bei der täglichen Arbeit mit Computern ist das Potenzial für schädlichen Programmcode weitaus größer geworden als früher. Menschen arbeiten über immer ausgereiftere Wege zusammen. Durch diese immer umfangreichere Zusammenarbeit steigt auch die Bedrohung durch Viren, Würmer und anderen schädlichen Programmcode für Ihre Systeme. Sie sollten sich bewusst sein, dass zum Beispiel auch Emails und Instant-Messaging schädlichen Programmcode enthalten können. Schädlicher Programmcode kann auf verschiedenste Arten auf ein System gelangen - zum Beispiel als ausführbare Datei (.exe), als Makro in einer Textverarbeitung (.doc) oder als Skript (.vbs).

Viren und Würmer nutzen oftmals eine Technik namens "Social Engineering". Sie bringen die Benutzer dazu, den schädlichen Programmcode zu aktivieren, denn für die Benutzer kann es unter Umständen schon allein aufgrund der großen Anzahl und Varianten von unsicherem Programmcode recht schwer sein, zwischen sicherem Programmcode und unsicherem Programmcode zu unterscheiden. Ist der unsichere Programmcode einmal aktiviert, kann er Daten auf der Festplatte beschädigen, einen DoS-Angriff (Denial-of-Service) auf das Netzwerk starten, vertrauliche Daten in das Internet versenden oder die Sicherheit des Computers kompromittieren.

Das Problem des unbekannten Programmcodes

Schädlicher Programmcode ist nicht die einzige Bedrohung - auch viele an sich nicht schädliche Anwendungen führen zu Problemen. Jede Software, die einer Organisation unbekannt ist und von dieser nicht unterstützt wird, kann zu Konflikten mit anderen Anwendungen oder grundlegenden Konfigurationsänderungen führen. Die Richtlinien für Softwareeinschränkung sollen Organisationen nicht nur dabei unterstützen, schädlichen Programmcode unter Kontrolle zu halten, sondern auch jeglichen unbekannten Programmcode - egal, ob dieser schädlich ist oder nicht.

Reaktion auf unbekannten Programmcode

Richtlinien für Softwareeinschränkung ermöglichen Ihnen, auf unbekannten Programmcode auf die folgenden Arten zu reagieren:

  • Sie können eine Liste definieren, welcher Programmcode vertrauenswürdig ist und welcher nicht.
  • Sie können Skripte, ausführbare Dateien und ActiveX-Steuerelemente kontrollieren.
  • Sie können die Richtlinien automatisch durchsetzen.

Zum Seitenanfang

Die Architektur

In Abbildung 1 sehen Sie die drei Komponenten, aus denen sich Richtlinien für Softwareeinschränkung zusammensetzen.

  • Ein Administrator erstellt mit dem Gruppenrichtlinienobjekt-Editor eine Richtlinie.
  • Die Richtlinie wird heruntergeladen und auf die Maschine angewandt. Benutzerrichtlinien werden bei der nächsten Benutzeranmeldung angewandt und Computerrichtlinien beim Start der Maschine.
  • Wenn ein Benutzer ein Programm oder ein Skript startet, überprüft das Betriebssystem oder der Skripting-Host die Richtlinie und setzt sie durch.

"Nicht erlaubt" oder "Nicht eingeschränkt"

Eine Richtlinie für Softwareeinschränkung wird über das Snap-In Gruppenrichtlinienobjekt-Editor erstellt. Sie besteht aus einer Standardregel, die festlegt, welche Programme ausgeführt werden dürfen, und aus Ausnahmen von dieser Regel. Die Standardregel kann mit "Nicht erlaubt" oder "Nicht eingeschränkt" konfiguriert werden.

Wenn die Standardregel mit "Nicht eingeschränkt" konfiguriert wird, kann der Administrator Ausnahmen definieren. Bestimmte Programme können zum Beispiel verboten werden. Ein sicherer Ansatz ist jedoch, die Standardregel mit "Nicht erlaubt" zu konfigurieren und nur bekannte und vertrauenswürdige Programme freizugeben.

Standardmäßige Sicherheit

Es gibt zwei Möglichkeiten, Richtlinien für Softwareeinschränkung einzusetzen:

  • Wenn der Administrator genau weiß, welche Software ausgeführt werden soll, kann eine Richtlinie erstellt werden, die nur das Ausführen einer definierten Liste von vertrauenswürdigen Anwendungen zulässt.
  • Wenn der Administrator nicht genau weiß, welche Software von den Benutzer ausgeführt werden wird, kann der Administrator je nach Bedarf bestimmte Anwendungen oder Dateitypen verbieten.

Vier Wege, über die Software identifiziert werden kann

Zweck eine Regel ist die Identifikation und das Zulassen oder Verbieten einer oder mehrerer Anwendungen. Hierbei gibt es vier verschiedene Möglichkeiten, über die eine Richtlinie Software identifizieren kann:

  • Hash - Ein kryptografischer Fingerabdruck einer Datei.
  • Zertifikat - Ein Zertifikat, mit der die Datei digital signiert wurde.
  • Pfad - Ein lokaler Pfad oder UNC-Pfad (Universal Naming Convention), unter dem die Datei gespeichert ist.
  • Zone - Eine Internetzone.

Hashregeln

Ein Hash ist ein Fingerabdruck, der eine Datei eindeutig identifiziert - und zwar unabhängig davon, wo sie sich befindet oder wie sie heißt. Mit einer Hashregel macht es nichts aus, wenn ein unerwünschtes Programm umbenannt oder verschoben wurde - der Hash der Datei bleibt immer gleich.

Ein Hash besteht aus drei Teilen:

  • MD5- oder SHA-1-Hashwert
  • Dateilänge
  • ID des Hashalgorithmus

Er ist folgendermaßen formatiert:

[MD5- oder SHA1-Hashwert]:[Dateilänge]:[ID des Hashalgorithmus]

Dateien, die digital signiert sind, nutzen den Hash der Signatur (SHA-1 oder MD5). Dateien, die nicht signiert sind, verwenden einen MD5-Hash.

Beispiel: Die folgenden Hashregel wirkt sich auf eine Datei mit einer Länge von 126 Byte und dem MD5-Hash (MD5 hat die Hash-ID 32771) 7bc04acc0d6480af862d22d724c3b0497bc04acc0d6480af862d22d724c3b049:126:32771 aus.

Zertifikatsregeln

Eine Zertifikatsregel legt ein vom Autor der Software erstelltes Zertifikat fest. Sie können zum Beispiel durchsetzen, dass alle Skripte und ActiveX-Steuerlemente mit bestimmten Zertifikaten signiert sein müssen. Die betreffenden Zertifikate können von einer kommerziellen Zertifizierungsstelle (CA - Certificate Authority) wie VeriSign stammen, von einer Windows 2000/Windows Server 2003-PKI, oder sie können ein selbst signiertes Zertifikat sein.

Eine Zertifikatsregel ist ein hervorragendes Verfahren zur Identifikation von Software - sie nutzt signierte Hashes in der Signatur der signierten Datei, um Dateien zu erkennen. Dies geschieht völlig unabhängig vom Namen und Speicherort der Datei.

Pfadregeln

Mit einer Pfadregel können Sie einen Ordner oder einen voll qualifizierten Pfad für ein Programm festlegen. Eine Pfadregel wirkt sich auf alle Programme im Ordner und auf alle Programm in allen Unterordnern aus. Sie können sowohl lokale Pfade als auch UNC-Pfade verwenden.

Verwenden von Umgebungsvariablen in Pfadregeln. In einer Pfadregel können Sie Umgebungsvariablen verwenden. Da diese Regeln im Kontext des Clients angewendet werden, können alle entsprechenden Umgebungsvariablen aufgelöst werden (zum Beispiel %WINDIR%).

Wichtig: Umgebungsvariablen werden nicht von ACLs geschützt (Zugriffskontrolllisten - Access Control Lists). Wenn ein Benutzer Zugriff auf eine Eingabeaufforderung hat, kann er Umgebungsvariablen neu definieren.

Verwenden von Wildcards in Pfadregeln. Sie können die Wildcards '?' und '*' verwenden. So sind zum Beispiel Regeln wie "*.vbs" möglich, die sich auf alle Visual Basic Script-Dateien auswirken. Einige weitere Beispiele für entsprechende Regeln sind:

  • "\\DC-??\login$" gilt für \\DC-01\login$, \\DC-02\login$
  • "*\Windows" gilt für C:\Windows, D:\Windows, E:\Windows
  • "c:\win*" gilt für c:\winnt, c:\windows, c:\windir

Registrierungs-Pfadregeln.

Viele Anwendungen speichern die Pfade zu ihren Installationsordnern oder Anwendungsverzeichnissen in der Windows-Registrierung. Sie können Pfadregeln erstellen, die solche Registrierungsschlüssel berücksichtigen. Einige Anwendungen finden Sie zum Beispiel nicht über Pfade wie C:\Programme\Microsoft Platform SDK oder Umgebungsvariablen wie %ProgramFiles%\Microsoft Platform SDK. Wenn die Anwendung jedoch Daten in der Registrierung speichert, können Sie eine Pfadregel wie %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PlatformSDK\Directories\Install Dir% verwenden.

Solche Pfadregeln werden Registrierungs-Pfadregeln genannt. Sie setzen sich folgendermaßen zusammen:

%[Registrierungs-Teil]\[Name des Registrierungsschlüssels]\[Name der Wertes]%

Anmerkung: Êine Registrierungs-Pfadregel sollte nicht mit einem Backslash (\) beendet werden.

  • Der Registrierungspfad muss in Prozentzeichen (%) eingeschlossen werden.
  • Der Registrierungswert muss vom Typ REG_SZ oder REG_EXPAND_SZ sein, und Sie dürfen HKEY_LOCAL_MACHINE und HKEY_CURRENT_USER nicht mit HKLM oder HKCU abkürzen.
  • Wenn der Registrierungswert Umgebungsvariablen enthält, werden diese bei der Abarbeitung der Richtlinien umgesetzt.
  • Eine Registrierungs-Pfadregel kann Wildcards enthalten. Eine solche Regel wäre zum Beispiel %HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache%OLK* Diese Regel bezieht sich auf die Ordner, in denen Microsoft Outlook XP Dateianhänge vor deren Ausführung speichert. Diese Ordner beginnen immer mit den Zeichen "OLK". Die Regel würde also zum Beispiel auf den folgenden Pfad angewandt: C:\Dokumente und Einstellungen\benutzername\lokale einstellungen\Temporary Internet Files\OLK4.

Wichtig: Wenn Sie Pfadregeln definieren, sollten Sie die ACLs das Pfades überprüfen. Wenn die Benutzer Schreibzugriff auf den Pfad haben, können diese dessen Inhalte verändern. Wenn Sie zum Beispiel den Pfad C:\Programme zulassen, dann sollte Ihnen bewusst sein, dass jeder Hauptbenutzer Anwendungen in diesen Pfad kopieren kann.

Vorrang von Pfadregeln. Wenn es mehrere Pfadregeln gibt, die zutreffen, dann wird die Regel verwendet, die den Pfad am genauesten definiert.

Die folgenden Pfade sind zur Verdeutlichung vom genauesten definierten Pfad bis zum ungenauesten definierten Pfad sortiert:

  • Laufwerk:\Folder1\Ordner2\Dateiname.Dateierweiterung
  • Laufwerk:\Ordner1\Ordner2\*.Dateierweiterung
  • *.Dateierweiterung
  • Laufwerk:\Ordner1\Ordner2\
  • Laufwerk:\Ordner1\

Internetzonenregeln

Eine solche Regel kann Software definieren, die aus einer Internet Explorer-Zone heruntergeladen wurde. Folgende Zonen sind möglich:

  • Internet
  • Lokales Intranet
  • Eingeschränkte Sites
  • Vertrauenswürdige Sites
  • Lokaler Computer

Im Moment wirken sich solche Regeln nur auf Windows Installer-Pakete aus (*.MSI) - nicht jedoch auf Software, die über den Internet Explorer heruntergeladen wird.

Wann welche Regel nutzen?

Anmerkung: Jede Regel hat eine GUID (Globally Unique Identifier). Eine GUID sieht zum Beispiel so aus: {f8c2c158-e1af-4695-bc93-07cbefbdc594}. Zwei identische Regeln haben trotzdem unterschiedliche GUIDs. Diese GUIDs helfen Ihnen dabei, Fehler in bestimmten Regeln zu finden. Mehr zu diesem Thema erfahren Sie weiter unten im Abschnitt "Fehlersuche".

 

Tabelle 1: Wann welche Regel nutzen?
AufgabeEmpfohlene Regel
Sie möchten eine bestimmte Version eines Programms erlauben oder nicht erlauben.Hashregel
Hash einer Datei
Sie möchten ein Programm identifizieren, das immer am gleichen Speicherort installiert wird.Pfadregel mit Umgebungsvariablen
%ProgramFiles%\Internet Explorer\iexplore.exe
Sie möchten ein Programm identifizieren, das irgendwo auf dem Computer installiert wird.Registrierungs-Pfadregel
%HKEY_LOCAL_MACHINE\SOFTWARE\ ComputerAssociates\InoculateIT\6.0\Path\HOME%
Sie möchten Skripte auf einem zentralen Server identifizieren.Pfadregel
\\SERVERNAME\Freigabe
Sie möchten Skripte auf bestimmten Servern identifizieren (zum Beispiel DC01, DC02 und DC03).Pfadregel mit Wildcards
\\DC??\Freigabe
Sie möchten .vbs-Dateien nicht erlauben - außer denen, die sich im Login-Ordner befinden.Pfadregel mit Wildcards
*.VBS nicht erlaubt
\\LOGIN_SRV\Freigabe\*.VBS als "Nicht eingeschränkt" definiert
Sie möchten eine Datei nicht zulassen, die von einem Virus installiert wird und den Dateinamen flcss.exe trägt.Pfadregel
flcss.exe als "Nicht erlaubt" definiert
Sie möchten bestimmte Skripte identifizieren, die an einem beliebigen Ort ausgeführt werden können.Zertifikatsregel
Digital signierte Skripte
Sie möchten Software identifizieren, die über vertrauenswürdige Sites installiert wird.Internetzonenregel
"Vertrauenswürdige Sites" als "Nicht eingeschränkt" definiert

Reihenfolge von Regeln

Regeln werden in einer bestimmten Reihenfolge angewandt. Die Regel, die ein Programm genauer spezifiziert, wird angewandt.

  • Hashregel
  • Zertifikatsregel
  • Pfadregel
  • Internetzonenregel
  • Standardregel

Die folgende Tabelle zeigt, wie Regeln beim Starten von Programmen verarbeitet werden.

Tabelle 2: Reihenfolge von Regeln
Standardsicherheitsstufe: Nicht eingeschränkt  
Hashregeln  
Regel 1Hash von pagefileconfig.vbsNicht erlaubt
Zertifikatsregeln  
Regel 2Zertifikat der IT-AbteilungNicht eingeschränkt
Pfadregeln  
Regel 3%WINDIR%\System32\*.VBSNicht eingeschränkt
Regel 4*.VBSNicht erlaubt
Regel 5%WINDIR%Nicht eingeschränkt

Beim gestarteten Programm handelt es sich um: C:\WINDOWS\SYSTEM32\EventQuery.vbs

Die folgenden Regeln betreffen das Programm:

  • Regel 3 - Es handelt sich um eine .vbs-Datei im Ordner System32.
  • Regel 4 - Es handelt sich um eine Datei mit der Erweiterung .vbs.
  • Regel 5 - Die Datei ist in einem Unterordner des Windows-Verzeichnisses gespeichert.

Regel 3 definiert das Programm am genauesten. Da diese Regel die Sicherheitsstufe "Nicht eingeschränkt" verwendet, wird das Programm zugelassen.

Beim gestarteten Programm handelt es sich um: C:\WINDOWS\SYSTEM32\pagefileconfig.vbs

Die folgenden Regeln betreffen das Programm:

  • Regel 1 - Die Hashregel entspricht dem Hash der Datei.
  • Regel 3 - Es handelt sich um eine .vbs-Datei im Ordner System32.
  • Regel 4 - Es handelt sich um eine Datei mit der Erweiterung .vbs.
  • Regel 5 - Die Datei ist in einem Unterordner des Windows-Verzeichnisses gespeichert.

Regel 1 definiert das Programm am genauesten. Da diese Regel die Sicherheitsstufe "Nicht erlaubt" verwendet, wird das Programm nicht zugelassen.

Beim gestarteten Programm handelt es sich um: \\LOGIN_SRV\Scripts\CustomerScript1.vbs

Die folgenden Regeln betreffen das Programm:

  • Regel 2 - Die Datei ist mit einem Zertifikat der IT-Abteilung signiert.
  • Regel 4 - Es handelt sich um eine Datei mit der Erweiterung .vbs.

Regel 2 definiert das Programm am genauesten. Da diese Regel die Sicherheitsstufe "Nicht eingeschränkt" verwendet, wird das Programm zugelassen

Beim gestarteten Programm handelt es sich um: C:\Dokumente und Einstellungen\user1\LOVE-LETTER-FOR-YOU.TXT.VBS

Dieses Programm entspricht Regel 4 - es verwendet die Erweiterung .vbs.

Regel 4 definiert das Programm am genauesten. Da diese Regel die Sicherheitsstufe "Nicht erlaubt" verwendet, wird das Programm nicht zugelassen.

Zum Seitenanfang

Richtlinien für Softwareeinschränkung - Optionen

In diesem Abschnitt werden die verschiedenen Optionen besprochen, die das Verhalten von Richtlinien für Softwareeinschränkung beeinflussen.

Erzwingen

Es gibt zwei Optionen zum Erzwingen von Richtlinien: "Software außer Bibliotheken" und "Alle Benutzer außer lokale Administratoren".

Software außer Bibliotheken

Ein Programm wie zum Beispiel der Internet Explorer setzt sich aus einer ausführbaren Datei (iexplore.exe) und vielen DLLs (Dynamic Link Libraries) zusammen. Standardmäßig werden Richtlinien auf LLs nicht angewandt. Aus drei Gründen ist dies auch die für die meisten Kunden empfohlene Variante:

  • Das Nicht-Erlauben der ausführbaren Datei verhindert, dass das Programm gestartet wird. Es gibt also keinen Grund, auch noch DLLs einzuschränken.
  • Das Überprüfen von DLLs kann zu Leistungseinbußen führen. Wenn ein Benutzer zehn Programme startet, müssen auch die Richtlinien zehn Mal überprüft werden. Wenn die DLLs ebenfalls überprüft werden, geschieht natürlich auch dies zehn Mal. Wenn ein Programm 20 DLLs verwendet, könnte das dazu führen, dass insgesamt 210 Dateien überprüft werden müssen.
  • Wenn das Standardsicherheitslevel mit "Nicht erlaubt" definiert ist, müsste nicht nur die ausführbare Datei eines Programms explizit zugelassen werden, sondern auch alle DLLs - was zu einem deutlich größeren Aufwand führen könnte.

Die Überprüfung von DLLs ist eine Option für Umgebungen, die eine höchstmögliche Sicherheit durchsetzen möchten.

So aktivieren Sie die Option:

  • Nehmen Sie im Dialogfenster Eigenschaften von Erzwingen die folgende Einstellung vor:
    Richtlinien für Softwareeinschränkung anwenden auf > Alle Softwaredateien

Abbildung 2: Eigenschaften von Erzwingen

Alle Benutzer außer lokale Administratoren

Als Administrator wollen Sie möglicherweise den Benutzern bestimmte Programme verbieten, sie selbst jedoch weiterhin nutzen. Dies können Sie mit der Option Richtlinien für Softwareeinschränkung auf folgende Benutzer anwenden erreichen.

Wenn Sie die Richtlinie in einem GPO konfigurieren, das einem Objekt in Active Directory zugewiesen ist, dann sollten Sie den Administratoren das Recht Gruppenrichtlinien anwenden verweigern. Dieses Verfahren sorgt außerdem für weniger Netzwerkverkehr. Wenn Sie die Richtlinien in der lokalen Gruppenrichtlinie definieren, sollten Sie jedoch die oben genannte Option verwenden.

So aktivieren Sie die Option:

  • Konfigurieren Sie die Einstellung im Dialogfenster Eigenschaften von Erzwingen:
    Softwareeinschränkung auf folgende Benutzer anwenden > Alle Benutzer außer den lokalen Administratoren
    Anmerkung:
    Die Option ist nur für die Computerkonfiguration der Gruppenrichtlinie gültig.

Definieren von ausführbaren Dateien

In Abbildung 3 sehen Sie das Dialogfenster "Eigenschaften von Designierte Dateitypen". In diesem Dialogfenster können Sie die Dateitypen festlegen, auf die sich Richtlinien auswirken.

Abbildung 3: Eigenschaften von Designierte Dateitypen

Vertrauenswürdige Herausgeber

Mit dem in Abbildung 4 zu sehenden Dialogfenster können Sie Einstellungen für ActiveX-Steuerelemente und andere signierte Inhalte konfigurieren.

Abbildung 4: Optionen für vertrauenswürdige Herausgeber

In der folgenden Tabelle finden Sie die möglichen Optionen für vertrauenswürdige Herausgeber.

Tabelle 3: Aufgaben und Einstellungen für vertrauenswürdige Herausgeber
AufgabeEinstellung
Nur von Domänenadministratoren signierten Inhalten soll vertraut werden.Unternehmensadministratoren
Nur von lokalen Administratoren signierten Inhalten soll vertraut werden.Administratoren des lokalen Computers
Jeglichen von einem Benutzer signierten Inhalten soll vertraut werden.Alle Benutzer
Es soll eine Sperrungsüberprüfung des Herausgebers durchgeführt werden.Herausgeber
Der Zeitstempel des Zertifikates soll überprüft werden.Zeitstempel

Wirkungsbereich von Richtlinien für Softwareeinschränkungen

Richtlinien für Softwareeinschränkung werden nicht auf die folgenden Bereiche angewandt:

  • Treiber oder Software im Kernel-Mode.
  • Programme, die im Kontext des SYSTEM-Kontos ausgeführt werden.
  • Makros in Microsoft Office 2000- oder Office XP-Dokumenten.
  • CLI-Anwendungen

Zum Seitenanfang

Design von Richtlinien für Softwareeinschränkung

In diesem Abschnitt erfahren Sie, wie Sie Richtlinien für Softwareeinschränkung mithilfe des Gruppenrichtlinien-Snap-Ins administrieren können und wie Sie eine Richtlinie auf bestimmte Benutzer anwenden können.

Integration mit Gruppenrichtlinien

Richtlinien für Softwareeinschränkung werden über die folgenden Gruppenrichtlinien-Snap-Ins konfiguriert:

Domänenrichtlinie

So konfigurieren Sie eine Domänenrichtlinie:

  • Klicken Sie auf Start, Ausführen und geben Sie dann dsa.msc ein. Klicken Sie auf OK.
  • Klicken Sie mit rechts auf eine Domäne oder OU und dann auf Eigenschaften, Gruppenrichtlinie, Neu/Bearbeiten.

Lokale Sicherheitsrichtlinie

So konfigurieren Sie die lokale Sicherheitsrichtlinie:

  • Klicken Sie auf Start und auf Ausführen
  • Geben Sie secpol.msc ein, und klicken Sie auf OK.

Sie können in einem GPO unter Computerkonfiguration und unter Benutzerkonfiguration Einstellungen für Richtlinien für Softwareeinschränkung vornehmen.

Abbildung 5: Konfigurieren von Richtlinien für Softwareeinschränkung

Wenn Sie die lokale Sicherheitsrichtlinie bearbeiten, finden Sie die Richtlinien für Softwareeinschränkung unter dem in Abbildung 6 gezeigten Knoten.

Abbildung 6: Bearbeiten der lokalen Sicherheitsrichtlinie

Grundsätzliche Überlegungen

Wenn Sie eine Richtlinie zum ersten Mal bearbeiten, wird Ihnen die in der folgenden Abbildung zu sehende Mitteilung angezeigt. Diese Mitteilung informiert Sie, dass eine Richtlinie mit Standardeinstellungen erstellt wird. Die Standardeinstellungen der ersten Richtlinien können möglicherweise Einstellungen aus weiteren Richtlinien überschreiben.

Abbildung 7: Warnung beim Erstellen einer neuen Richtlinie

So erstellen Sie eine neue Richtlinie:

  • Klicken Sie im Menü Aktionen auf Neue Richtlinie erstellen.

Anwenden einer Richtlinie für Softwareeinschränkung auf Benutzer

Eine Richtlinie für Softwareeinschränkung wird über GPO angewandt, die Standorten, Domänen oder OUs zugewiesen sind. Zusätzlich können Sie Richtlinien mithilfe der GPO-Filterung nur auf bestimmte Benutzer einer Domäne anwenden.

Weitere Informationen zur GPO-Filterung finden Sie im folgenden Artikel: http://www.microsoft.com/windows2000/techinfo/howitworks/management/grouppolwp.asp (engl.)

Terminalserver

Richtlinien für Softwareeinschränkung sind ein integraler Teil der Absicherung eines Servers unter Windows Server 2003 Terminalserver. Terminalserver-Administratoren haben mit ihnen die Möglichkeit, einen Terminalserver genauestens abzusichern.

Zusätzlich zu diesem Artikel sollten Sie den englischsprachigen Artikel 278295 ("How to Lock Down a Windows 2000 Terminal Server Session") lesen.

Manchmal ist auf mehreren Terminalservern die gleiche Software installiert, und der Administrator möchte verschiedenen Benutzergruppen Zugriff auf unterschiedliche Software ermöglichen. Ein Teil der Software soll jedoch allen Benutzern zur Verfügung stehen. Ein entsprechendes Szenario - zum Beispiel in einer großen Anwaltskanzlei - könnte zum Beispiel so aussehen:

  • Alle Mitarbeiter können Microsoft Office und Internet Explorer nutzen. Alle Mitarbeiter sind Mitglied in der Gruppe AllEmployees.
  • Alle Mitarbeiter der Buchhaltung sollen Buchhaltungsanwendungen nutzen. Diese Mitarbeiter sind Mitglied in der Gruppe AccountingEmployees.
  • Alle Anwälte können eine Recherchesoftware nutzen. Alle Anwälte sind Mitglied in der Gruppe Lawyers.
  • Alle Mitarbeiter der Postabteilung können eine Anwendung zur Verwaltung der Ein- und Ausgänge nutzen. Diese Mitarbeiter sind Mitglied der Gruppe MailRoomEmployees.
  • Alle Führungskräfte können jegliche Software nutzen und sind Mitglied der Gruppe Executives.
  • GPOs wirken sich nicht auf Administratoren aus.

Um diese Vorgaben umzusetzen, werden fünf GPOs mit entsprechenden Richtlinien erstellt. Jedes GPO wird gefiltert, so dass es sich auf die entsprechenden Gruppen auswirkt.

Da nur die Führungskräfte auf jegliche Software zugreifen sollen (sowohl auf den Terminalservern als auch auf ihren Arbeitsstationen), nutzt der Administrator hier das Loopback-Feature von GPOs. Mit dem Loopback können GPOs auf einen Benutzer auf Basis des Computers, an dem er sich anmeldet, angewandt werden. Im Modus Ersetzen werden bei der Benutzeranmeldung die Computer-GPO-Einstellungen angewandt und die Einstellungen des Benutzer-GPOs ignoriert.

Benutzer-GPO: A1 - der Domäne zugewiesen 
Filter: Domänencomputer haben die Berechtigung "Gruppenrichtlinien anwenden" 
Standardsicherheitsebene 
Nicht zugelassen 
Pfadregeln 
%WINDIR%Nicht eingeschränkt
%PROGRAMFILES%\Gemeinsame DateienNicht eingeschränkt
%PROGRAMFILES%\Internet ExplorerNicht eingeschränkt
%PROGRAMFILES%\Windows NTNicht eingeschränkt
%PROGRAMFILES%\Microsoft OfficeNicht eingeschränkt
Benutzer-GPO: A2 - der Domäne zugewiesen 
Filter: Domänencomputer AccountingEmployees haben die Berechtigung "Gruppenrichtlinien anwenden" 
Standardsicherheitsebene 
Nicht zugelassen 
Pfadregeln 
%PROGRAMFILES%\BuchhaltungsanwendungNicht eingeschränkt
Benutzer-GPO: A3 - der Domäne zugewiesen 
Filter: Domänencomputer MailRoomEmployees haben die Berechtigung "Gruppenrichtlinien anwenden" 
Standardsicherheitsebene 
Nicht zugelassen 
Pfadregeln 
%PROGRAMFILES%\PostanwendungNicht eingeschränkt
Benutzer-GPO: A4 - der Domäne zugewiesen 
Filter: Domänencomputer und Lawyers haben die Berechtigung "Gruppenrichtlinien anwenden" 
Standardsicherheitsebene 
Nicht zugelassen 
Pfadregeln 
%PROGRAMFILES%\SuchanwendungNicht eingeschränkt
Benutzer-GPO: A5 - der Domäne zugewiesen 
Filter: Domänencomputer und Executives haben die Berechtigung "Gruppenrichtlinien anwenden" 
Loopback-Verabeitung im Modus "Ersetzen" 
Standardsicherheitsebene 
Nicht zugelassen 
Pfadregeln 
%PROGRAMFILES%\SuchanwendungNicht eingeschränkt
%PROGRAMFILES%\PostanwendungNicht eingeschränkt
%PROGRAMFILES%\BuchhaltungsanwendungNicht eingeschränkt

Zum Seitenanfang

Step-by-Step-Guide für das Design einer Richtlinie für Softwareeinschränkung

Zu berücksichtigende Elemente

Beim Design einer Richtlinie müssen Sie die folgenden Elemente in Ihre Planung mit einbeziehen:

  • GPO oder lokale Sicherheitsrichtlinie
  • Benutzer- oder Computerrichtlinie
  • Standardsicherheitsebene
  • Zusätzliche Richtlinien
  • Richtlinienoptionen
  • Verknüpfung des GPOs mit einem Standort, einer Domäne oder einer OU

Die einzelnen Schritte

Schritt 1. GPO oder lokale Sicherheitsrichtlinie

Soll die Richtlinie auf mehrere Computer oder Benutzer einer Domäne oder nur auf den lokalen Computer angewandt werden?

  • Wenn die Richtlinie auf mehrere Computer oder Benutzer angewandt werden soll, verwenden Sie ein GPO.
  • Wenn die Richtlinie nur auf den lokalen Computer angewandt werden soll, verwenden Sie die lokale Sicherheitsrichtlinie.

Schritt 2. Benutzer- oder Computerrichtlinie

Soll die Richtlinie auf jeden Computer angewandet werden (unabhängig davon, an welchem Computer sich ein Benutzer anmeldet) oder auf jeden Benutzer (unabhängig davon, welcher Benutzer sich an einem Computer anmeldet)?

  • Wenn die Richtlinie auf eine bestimmte Gruppe von Benutzern angewandt werden soll, verwenden Sie die Benutzerkonfiguration.
  • Wenn die Richtlinie auf eine bestimmte Gruppe von Computern angewandt werden soll, verwenden Sie die Computerkonfiguration.

Schritt 3. Standardsicherheitsebene

Können Ihre Benutzer Software installieren, oder ist die gesamte erlaubte Software vorgegeben?

  • Wenn die gesamte Software vorgegeben ist, konfigurieren Sie die Standardsicherheitsebene mit "Nicht zugelassen".
  • Wenn die Benutzer selbst Software installieren, dann konfigurieren Sie die Standardsicherheitsebene mit "Nicht eingeschränkt".

Schritt 4. Zusätzliche Richtlinien

Legen Sie die erlaubten oder nicht erlaubten Anwendungen wie im vorherigen Abschnitt beschrieben fest.

Schritt 5. Richtlinienoptionen

Es gibt mehrere Richtlinienoptionen:

  • Wenn Sie eine lokale Sicherheitsrichtlinie verwenden und die Richtlinie nicht auf die Administratoren angewendet werden soll, dann aktivieren Sie die Option Alle Benutzer außer den lokalen Administratoren.
  • Wenn Sie möchten, dass zusätzliche DLLs überprüft werden, aktivieren Sie die Option Alle Softwaredateien.
  • Fügen Sie bei Bedarf weitere Dateiendungen hinzu.
  • Wenn Sie Signaturen verwenden, konfigurieren Sie die entsprechenden Optionen für vertrauenswürdige Herausgeber.

Schritt 6. Verknüpfung des GPOs mit einem Standort, einer Domäne oder einer OU

So verknüpfen Sie ein GPO mit einem Standort:

  • Öffnen Sie das Snap-In Active Directory Standorte und Dienste.
  • Klicken Sie mit rechts auf den Standort und auf Eigenschaften.
  • Wechseln Sie zur Registerkarte Gruppenrichtlinien. Erstellen Sie ein GPO, oder weisen Sie ein vorhandenes GPO zu.

So verknüpfen Sie ein GPO mit einer Domäne oder einer OU:

  • Öffnen Sie das Snap-In Active Directory Benutzer und Computer.
  • Klicken Sie mit rechts auf die Domäne oder OU und auf Eigenschaften.
  • Wechseln Sie zur Registerkarte Gruppenrichtlinien. Erstellen Sie ein GPO, oder weisen Sie ein vorhandenes GPO zu.

Filterung

Sie können GPOs anhand von Gruppenmitgliedschaften filtern. Auch Filter auf Basis von WMI-Abfragen sind möglich.

Testen einer Richtlinie

Wenn Sie die Richtlinie sofort testen möchten und nicht auf die nächste Aktualisierung des GPOs warten möchten, dann verwenden Sie das Programm gpupdate.exe.

Zum Seitenanfang

Step-by-Step-Guide für das Erstellen zusätzlicher Regeln

Mit den folgenden Schritten können Sie zusätzliche Regeln erstellen. Als Beispiel wird hier eine Regel für Microsoft Office XP erstellt.

Schritt 1. Erstellen einer Liste der betreffenden Anwendungen

Erstellen Sie eine vollständige Liste aller Anwendungen - Office XP setzt sich zum Beispiel aus Microsoft Word, Excel, PowerPoint und Outlook zusammen.

Schritt 2. Festlegen des Regeltyps

In diesem Beispiel verwenden wir Pfadregeln.

Schritt 3. Stellen Sie fest, wo die Software installiert ist

Es gibt drei einfache Möglichkeiten, um festzustellen, wo eine Software installiert ist.

  • Überprüfen Sie die Eigenschaften der entsprechenden Verknüpfung.
  • Suchen Sie mit msinfo32.exe. Klicken Sie in msinfo32 auf Softwareumgebung und auf Tasks.
  • Verwenden Sie den folgenden Befehl: wmic.exe prozess get "ExecutablePath, ProcessID".

In unserem Beispiel gehen wir davon aus, dass wir folgende Pfade ermittelt haben:

  • "C:\Programme\Microsoft Office\Office10\WINWORD.EXE"
  • "C:\Programme\Microsoft Office\Office10\EXCEL.EXE"
  • "C:\Programme\Microsoft Office\Office10\POWERPNT.EXE"
  • "C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE"

Schritt 4. Identifikation möglicher abhängiger Programme

Einige Programme starten für bestimmte Aufgaben weitere Programme. Microsoft Word startet für die Bearbeitung von Cliparts zum Beispiel Microsoft Clip Organizer. Dieser nutzt die folgenden Programme:

  • C:\Programme\Microsoft Office\Office10\MSTORDB.EXE
  • C:\Programme\Microsoft Office\Office10\MSTORE.EXE

Microsoft Office verwendet außerdem den Ordner C:\Programme\Gemeinsame Dateien.

Schritt 5. Zusammenfassen von Regeln

In diesem Schritt sollten Sie versuchen, zusammengehörige Regeln zusammenzufassen und eine allgemeinere Regel zu erstellen. Hierzu können Sie zum Beispiel Umgebungsvariablen, Wildcards oder Registrierungs-Pfadregeln verwenden.

In unserem Beispiel sind alle Programme im Ordner C:\Programme\Microsoft Office\Office10 installiert - es reicht also, eine Pfadregel für diesen Ordner zu erstellen. Wenn Office immer im Ordner Programme installiert wird, sollten Sie außerdem eine Umgebungsvariable statt des Ordnernamens verwenden.

  • %ProgramFiles%\Microsoft Office\Office10
  • %ProgramFiles%\Gemeinsame Dateien

Schritt 6. Haben Sie möglicherweise zu viel zugelassen?

In diesem Schritt überprüfen Sie, was Sie durch Ihre Regeln möglicherweise noch zugelassen haben. Mit zu allgemeinen Regeln lassen Sie möglicherweise Programme zu, die nicht erwünscht sind. Der Ordner Office10 enthält zum Beispiel auch die folgenden Programme:

  • FINDER.EXE
  • OSA.EXE
  • MCDLC.EXE
  • WAVTOASF.EXE

Da diese Programme in unserem Beispiel jedoch nicht eingeschränkt werden müssen, ist keine weitere Aktion mehr notwendig.

Zum Seitenanfang

Häufig übersehene Regeln

Bei Design von Richtlinien sollten Sie auf die folgenden Bereiche achten.

Login-Skripte

Login-Skripte werden auf einem zentralen Server gespeichert. Oftmals ändert sich der Server bei jeder Anmeldung. Wenn Ihre Standardregel mit "Nicht zugelassen" konfiguriert ist, stellen Sie sicher, dass ihre Login-Skripte nicht betroffen sind.

Sytemdateischutz

Der Systemdateischutz erstellt im Ordner dllcache Sicherungen von vielen Systemprogrammen. Wenn der Benutzer den Ordner kennt, kann er die dort gesicherten Programme starten. Wenn Sie dies explizit nicht zulassen möchten, erstellen Sie die folgende Regel:%WINDIR%\system32\dllcache, Nicht zugelassen

Autostart

Windows verfügt über mehrere Möglichkeiten, über die Programme beim Systemstart automatisch gestartet werden können. Wenn Sie diese Programme nicht berücksichtigen, erhalten die Benutzer möglicherweise beim Systemstart Fehlermeldungen.

Einige der Autostart-Möglichkeiten sind:

  • %USERPROFILE%\Startmenü\Programme\Autostart
  • %ALLUSERSPROFILE%\Startmenü\Programme\Autostart
  • Win.ini, System.ini (Zeilen die mit "run=" und "load=" beginnen)
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Virenscanner

Die meisten Virenscanner verwenden ein Programm, das in Echtzeit nach Viren sucht. Dieses wird beim Anmelden des Benutzers gestartet. Denken Sie daran, diese Programme zu berücksichtigen.

Zum Seitenanfang

Szenarien

Dieser Abschnitt beschäftigt sich mit einigen typischen Problemen und deren Lösungen in Bezug auf Richtlinien für Softwareeinschränkung.

Blockieren von schädlichen Skripten

Der LoveLetter-Virus, technisch gesehen ein Wurm, hat Schäden von ca. sechs bis zehn Milliarden Dollar verursacht. Er existiert inzwischen in mehr als 80 Varianten und tritt auch weiterhin auf. Er ist in Visual Basic Script (VBS) geschrieben, und der Dateiname lautet LOVE-LETTER-FOR-YOU.TXT.VBS. Eine entsprechende Richtlinie für Softwareeinschränkung kann zum Beispiel einfach Dateien mit der Endung .vbs verbieten.

In vielen Organisationen werden VBS-Dateien jedoch zur Systemverwaltung und für Login-Skripte verwendet. Sie können also nicht pauschal verboten werden. Mit einer Zertifikatsregel können Sie dieses Problem umgehen:

Tabelle 4: Regeln für schädliche Skripte
Standardsicherheitsebene: Nicht eingeschränkt 
Pfadregeln 
*.VBSNicht zugelassen
*.VBENicht zugelassen
*.JSNicht zugelassen
*.JSENicht zugelassen
*.WSFNicht zugelassen
*.WSHNicht zugelassen
Zertifikatsregeln 
Zertifikat der IT-AbteilungNicht eingeschränkt

Diese Richtlinien verbieten sämtliche Skripte bis auf die, die mit einem Zertifikat der IT-Abteilung signiert wurden.

Softwareinstallation

Sie können Ihre Computer so konfigurieren, dass nur freigegebene Software installiert werden kann. In Bezug auf Software, die über den Windows Installer installiert wird, können Sie dies über eine Richtlinie umsetzen:

Tabelle 5: Regeln für die Softwareinstallation
Standardsicherheitsebene: Nicht eingeschränkt 
Pfadregeln 
*.MSINicht zugelassen
\\products\install\PROPLUS.MSINicht eingeschränkt
Zertifikatsregeln 
Zertifikat der IT-AbteilungNicht eingeschränkt

Mit dieser Richtlinie verhindern Sie die Installation von Software über den Windows Installer bis auf das von der IT-Abteilung signierte Softwarepaket OWC10.MSI im Ordner \\products\install.

Besonders gesicherte Computer

In einigen Fällen möchte der Administrator möglicherweise sämtliche auf dem Computer ausgeführte Software festlegen. In solchen Fällen sollten die Benutzer keine Möglichkeit haben, Systemdateien zu ändern oder Dateien in Ordner zu kopieren. Denn wenn der Benutzer eine Datei irgendwo hin kopieren kann, dann kann er diese auch starten.

Solange die Benutzer keine Administratoren sind, schützt die Richtlinie aus Tabelle 6 vor versehentlichem Ausführen von schädlichem Programmcode.

Tabelle 6: Computer, auf denen sämtliche Software vorher festgelegt wurde
Standardsicherheitsebene: Nicht zugelassen 
Wenden Sie die Richtlinie für Softwareeinschränkung auf die folgenden Benutzer an 
Alle Benutzer außer den Administratoren 
Pfadregeln 
%WINDIR%Nicht eingeschränkt
%PROGRAMFILES%Nicht eingeschränkt

Mit dieser Richtlinie ist nur die Software zugelassen, die im Windows-Verzeichnis oder im Ordner Programme und in den entsprechenden Unterordnern installiert ist.

Wenn der Benutzer eine Email mit einem Virus erhält (zum Beispiel WORM.vbs) und den Virus ausführt, dann kopiert das Email-Programm diesen Dateianhang in das Benutzerprofil, bevor er ausgeführt wird (%USERPROFILE%). Da es sich bei diesem Ordner nicht um einen Unterordner des Windows-Verzeichnisses handelt, lässt die Richtlinie dies jedoch nicht zu.

Wenn nicht alle Programme in den Ordnern %WINDIR% oder %PROGRAMFILES% installiert sind oder es in diesen Ordnern Programme gibt, die nicht ausgeführt werden sollen, dann können Sie zusätzliche Ausnahmen festlegen.

Tabelle 7: Ausnahmen für Computer, auf denen sämtliche Software vorher festgelegt wurde
Pfadregeln 
%WINDIR%\regedit.exeNicht zugelassen
%WINDIR%\system32\cmd.exeNicht zugelassen
\\CORP_DC_??\scriptsNicht eingeschränkt
%HKEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates \InoculateIT\6.0\Path\HOME%Nicht eingeschränkt

Diese Richtlinien wirken sich folgendermaßen aus:

  • Eingabeaufforderung (cmd.exe) und Registrierungseditur (regedit.exe) werden nicht zugelassen.
  • Login-Skripte werden zugelasen.
  • Mit "?" als Wildcard gilt die Regel für \\CORP_DC_01, \\CORP_DC_02 und weitere entsprechende Server.
  • Eine Registrierungs-Pfadregel lässt den Virenscanner zu.

Verschiedene Richtlinien für unterschiedliche Benutzer

In diesem Szenario werden Computer von unterschiedlichen Benutzern gemeinsam verwendet. Einigen Benutzern soll der Zugriff auf bestimmte Software ermöglicht werden, anderen nicht. Bestimmte Software soll allen Benutzern zur Verfügung stehen.

Beispiel

Es gibt im Labor einer Universität 15 Computer mit identischer Software (Microsoft Office, eine CAD-Software und Microsoft Visual C++). Sie möchten aus lizenztechnischen Gründen Folgendes umsetzen:

  • Alle Studenten sollten Microsoft Office nutzen können. Alle Studenten sind Mitglied der Gruppe AllStudents.
  • Alle Maschinenbaustudenten sollten die CAD-Software nutzen können. Sie sind Mitglied der Gruppe EngStudents.
  • Alle Informatikstudenten sollen Microsoft Visual C++ nutzen können und sind Mitglied der Gruppe CSStudents.

Sie erstellen drei GPOs mit entsprechenden Richtlinien. Die GPOs filtern Sie so, dass Sie nur auf die Benutzer der entsprechenden Gruppe angewandt werden.

Die Richtlinien sollen nur auf die Computer im Labor angewandt werden - nicht auf die eigenen Arbeitsstationen der Studenten. Daher nutzen wir das Loopback-Feature. Weitere Informationen zur Loopback-Verarbeitung finden Sie unter http://www.microsoft.com/windows2000/techinfo/howitworks/management/grouppolwp.asp (engl.)

Tabelle 8: A1 - mit Labor verknüpft
Benutzer-GPO: A1 - mit Labor verknüpft 
Filter: Domänencomputer 
Standardsicherheitsebene 
Nicht zugelassen 
Pfadregeln 
%WINDIR%Nicht eingeschränkt
%PROGRAMFILES%\Gemeinsame DateienNicht eingeschränkt
%PROGRAMFILES%\MessengerNicht eingeschränkt
%PROGRAMFILES%\Internet ExplorerNicht eingeschränkt
%PROGRAMFILES%\Windows Media PlayerNicht eingeschränkt
%PROGRAMFILES%\Windows NTNicht eingeschränkt

Abbildung 8: Domänestruktur

Tabelle 9 A2 - mit Labor verknüpft
Benutzer-GPO: A2 - mit Labor verknüpft 
Filter: Domänencomputer und CSStudents 
Loopbackverarbeitung im Modus "Ersetzen" 
StandardsicherheitsebeneNicht zugelassen
Pfadregeln 
%PROGRAMFILES%\Microsoft Visual StudioNicht eingeschränkt
Tabelle 10 A3 - mit Labor verknüpft
  
Benutzer-GPO: A3 - mit Labor verknüpft 
Filter: Domänencomputer und EngStudents 
Loopbackverarbeitung im Modus "Ersetzen" 
StandardsicherheitsebeneNicht zugelassen
Pfadregeln 
%PROGRAMFILES%\CAD ApplicationNicht eingeschränkt

Zum Seitenanfang

Überlegungen zur Bereitstellung

Best Practices

Zu den Best Practices in Bezug auf die Bereitstellung von Richtlinien für Softwareeinschränkung gehören:

Erstellen Sie für Richtlinien für Softwareeinschränkung immer ein eigenes GPO. Wenn Sie ein eigenes GPO erstellen, können Sie dieses ohne Auswirkungen auf die restlichen Einstellungen deaktivieren.

Ändern Sie niemals direkt die Default Domain Policy. Wenn Sie die Default Domain Policy nicht verändern, bleibt ihnen immer die Option, sie neu anzuwenden.

Verweisen Sie nie auf eine Richtlinie für Softwareeinschränkung aus einer anderen Domäne. Das Verknüpfen von GPOs aus anderen Domänen kann zu Leistungseinbußen führen.

Testen Sie neue Richtlinien sorgfältig, bevor Sie diese auf Ihre Domäne anwenden.

  • Sie können eine eigene Testdomäne einrichten.
  • Sie können ein Test-GPO erstellen, es mit einer Test-OU verknüpfen und es erst nach dem Testen mit dieser OU mit den anderen OUs verknüpfen.
  • Verbieten Sie keine Dateien oder Programme ohne vorher getestet zu haben, welche Auswirkungen sich hierdurch ergeben.

Verarbeitung von Gruppenrichtlinien

Bei der Arbeit mit GPOs sollten Sie die folgenden Punkte berücksichtigen:

Nutzen Sie Sicherheitsgruppen zum Filtern von GPOs. Weitere Informationen zur GPO-Filterung finden Sie unter http://www.microsoft.com/windows2000/techinfo/howitworks/management/grouppolwp.asp (engl.)

Nutzen Sie WMI zum Filtern von GPOs. Weitere Informationen zur WMI-Filterung finden Sie unter http://www.microsoft.com/windows2000/techinfo/howitworks/management/grouppolwp.asp (engl.)

Anwendungsreihenfolge von GPOs. Gruppenrichtlinien werden standardmäßig vererbt. Sie werden in der folgenden Reihenfolge angewandt:

  • Lokales GPO
  • Standort
  • Domäne
  • OU (bei verschachtelten OUs wird das GPO der obersten OU zuerst angewandt, dann das der darunter liegenden OU und so weiter)

Da Einstellungen von später angewandten GPOs die Einstellungen von vorher angewandten GPOs überschreiben, müssen Sie diese Anwendungsreihenfolge berücksichtigen.

Kein Vorrang und Vererbung blockieren. Sie können GPO-Einstellungen mit der Option "Kein Vorrang" erzwingen. Diese Einstellungen werden nicht von später angewandten GPOs überschrieben. Außerdem haben Sie die Möglichkeit, die Vererbung von Einstellungen auf weiter unten liegende GPOs zu verhindern. Weitere Informationen finden Sie unter http://www.microsoft.com/windows2000/techinfo/howitworks/management/grouppolwp.asp (engl.)

Umgebungen mit gemischten Domänen

Auch in solchen Umgebungen können Sie Richtlinien für Softwareeinschränkung nutzen. Sie müssen kein Upgrade der Windows 2000-Domänencontroller durchführen. Sie können einen Computer unter Windows XP Professional zur Bearbeitung der GPOs nutzen. Windows XP und Windows Server 2003, auf die sich die erstellten GPOs auswirken, werden die Richtlinien für Softwareeinschränkung automatisch umsetzen - Computer unter Windows 2000 werden die Richtlinien einfach ignorieren.

Zusammenführung von mehreren Richtlinien für Softwareeinschränkung

Wann immer zwei oder mehr GPOs auf einen Benutzer oder einem Computer angewandt werden, werden die Richtlinien zusammengeführt. Sollten so zwei oder mehr Richtlinien für Softwareeinschränkung auftreten, passiert Folgendes:

  • Das GPO mit der höchsten Priorität definiert die folgenden Werte:
    • Standardsicherheitsebene
    • Dateitypen
    • "Alle Benutzer außer den lokalen Administratoren"
    • "Alle Softwaredateien" (DLL-Überprüfung)
  • Die Regeln werden aus allen GPOs übernommen

Eine Richtlinie für Softwareeinschränkung kann für Benutzer oder Computer gelten. Bei Konflikten gelten die folgenden Regeln:

  • Es wird die restriktivere Standardsicherheitsebene gewählt.
  • Wenn vorhanden, werden die Dateitypen der Computerkonfiguration verwendet. Wenn diese nicht vorhanden sind, werden die der Benutzerkonfiguration verwendet.
  • Die Option "Alle Benutzer außer den lokalen Administratoren" wird immer aus der Computerkonfiguration übernommen.
  • Wenn die Option "Alle Softwaredateien" (DLL-Überprüfung) in einer der beiden Konfigurationen aktiviert ist, dann wird sie aktiviert.
  • Alle Regeln werden aus beiden Konfigurationen verwendet.

Zum Seitenanfang

Fehlersuche

Standardeinstellungen für Richtlinien für Softwareeinschränkung

Die Standardeinstellungen sehen folgendermaßen aus:

  • Standardsicherheitsebene: Nicht eingeschränkt
  • Optionen
  • Richtlinien für Softwareeinschränkung anwenden auf: Alle Softwaredateien außer Bibliotheken (z. B. DLLs)
  • Richtlinien für Softwareeinschränkung auf folgende Benutzer anwenden: Alle Benutzer
  •  
  • Zusätzliche Regeln: Keine
  • Dateitypen: Siehe Tabelle 11. Standardmäßige Dateitypen finden Sie im Anhang
  • Vertrauenswürdige Herausgeber:
    • Folgenden Benutzer erlauben, vertrauenswürdige Herausgeber auszuwählen: Endbenutzer
    • Keine Überprüfung einer Sperrung
    • Keine Überprüfung des Zeitstempels

Fehler

Wenn ein Programm von einer Richtlinie nicht zugelassen wird, dann wird ein Fehlercode an das betreffende Programm zurückgegeben. Wenn das Programm diesen Fehlercode verarbeitet, können Meldungen wie die folgende angezeigt werden:

"Windows kann dieses Programm nicht öffnen, da es durch eine Richtlinie für Softwareeinschränkung blockiert wird."

Abbildung 9: Fehlermeldung von Windows Explorer

Einige Programme zeigen möglicherweise nur eine Fehlermeldung für verschiedenste Fehlercodes an. Die Windows-Eingabeaufforderung gibt zum Beispiel die folgende Meldung aus, wenn ein Programm durch eine Richtlinie für Softwareeinschränkung blockiert wird:

"Das System kann das Programm nicht ausführen."

Abbildung 10: Fehlermeldung der Eingabeaufforderung

Regel-GUIDs

Jede Pfad-, Hash- oder Internetzonenregel besetzt eine GUID. Auch zwei gleiche Hashregeln besitzen verschiedene GUIDs. Viele Tools zur Protokollierung und Fehlersuche arbeiten mit diesen GUIDs.

Der Fall "Fehlender Taschenrechner"

Um Ihnen zu zeigen, wie Sie die GUID zur Fehlersuche nutzen können, verwenden wir ein Beispiel, in dem ein Benutzer versucht, ein Programm zu starten - und zwar den Windows-Taschenrechner (calc.exe). Der Benutzer erhält eine Fehlermeldung, dass dieses Programm von einer Richtlinie für Softwareeinschränkung blockiert wird. Daraufhin meldet sich der Benutzer beim Administrator. Dieser prüft das Ereignisprotokoll und findet das folgende Ereignis:

  • Der Zugriff auf "C:\WINDOWS\system32\calc.exe" wurde vom Administrator durch die Richtlinienregel "{6f3c4b9b-5ecd-48d0-876c-ddcefb4cee4b}" eingeschränkt.

In dem Ereignis wird die GUID {6f3c4b9b-5ecd-48d0-876c-ddcefb4cee4b} angezeigt. Nun nutzt der Administrator das Tool gpresult.exe und erhält folgendes Ergebnis:

  • GPO: DisallowedPolicy
  • Setting:Software\Policies\Microsoft\Windows\Safer\ProgrammcodeIdentifiers\0\Paths\{6f3c4b9b-5ecd-48d0-876c-ddcefb4cee4b}
  • State: Enabled

Er öffnet das GPO mit dem Namen DisallowedPolicy im Gruppenrichtlinieneditor. Als er die Regeln überprüft stellt er fest, dass es eine Pfadregel für calc.exe gibt. Die Beschreibung der Regel besagt, dass sie verhindern soll, dass das Programm cacls.exe ausgeführt wird (dieses Programm dient zur Bearbeitung von Zugriffskontrolllisten). Der Administrator stellt daher fest, dass es sich um einen Tippfehler handelt (calc.exe statt calcs.exe), korrigiert diesen, und so ist das Problem dann behoben.

Ereignisprotokoll

Richtlinien für Softwareeinschränkung können zu den folgenden Ereignissen führen:

Ereignisprotokoll: System
Ereignistyp: Warnung
Ereignisquelle: Richtlinie für Softwareeinschränkung
Ereigniskategorie: None
Ereignis-ID: 865
Datum: 6/6/2001
Time: 2:50:29 PM
Benutzer: bob
Computer: EXAIR-1
Beschreibung:
Access to C:\Programme\Messenger\msmsgs.exe has been restricted by your Administrator
by the default software restriction policy level.
Ereignisprotokoll: System
Ereignistyp: Warnung
Ereignisquelle: Richtlinie für Softwareeinschränkung
Ereigniskategorie: None
Ereignis-ID: 866
Datum: 6/6/2001
Time: 2:50:29 PM
Benutzer: bob
Computer: EXAIR-1
Beschreibung:
Access to C:\Programme\Messenger\msmsgs.exe has been restricted by your Administrator
by location with policy rule {79d2f45e-5d93-4138-9608-dde4afc8ac64} placed on path
C:\Programme\Messenger\msmsgs.exe
Ereignisprotokoll: System
Ereignistyp: Warnung
Ereignisquelle: Richtlinie für Softwareeinschränkung
Ereigniskategorie: None
Ereignis-ID: 867
Datum: 6/6/2001
Time: 2:50:29 PM
Benutzer: bob
Computer: EXAIR-1
Beschreibung:
Access to C:\Programme\Messenger\msmsgs.exe has been restricted by your Administrator
by software publisher policy. .
Ereignisprotokoll: System
Ereignistyp: Warnung
Ereignisquelle: Richtlinie für Softwareeinschränkung
Ereigniskategorie: None
Ereignis-ID: 868
Datum: 6/6/2001
Time: 2:50:29 PM
Benutzer: bob
Computer: EXAIR-1
Beschreibung:
Access to C:\Programme\Messenger\msmsgs.exe has been restricted by your Administrator
by policy rule {79d2f45e-5d93-4138-9608-dde4afc8ac64}.

Mit dem folgenden Befehlt können Sie alle Ereignisse in Bezug auf Richtlinien für Softwareeinschränkung abfragen.

 

EventQuery -l System -fi "ID ge 865" -fi "ID le 868" -v -fo list

Protokollierung

Wenn Sie Regeln erstellen oder nach Fehlern suchen, möchten Sie möglicherweise die Abarbeitung der Regeln protokollieren. Um eine solche Protokollierung zu aktivieren, gehen Sie folgendermaßen vor:

  • Erstellen Sie den folgenden Registrierungsschlüssel:
    KEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\ProgrammcodeIdentifiers
    String: LogFileName, Pfad zu einer Protokolldatei

Aktivieren und Deaktivieren der Protokollierung über die Eingabeaufforderung

  • Aktivieren:
    reg.exe add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\ProgrammcodeIdentifiers" /v LogFileName /d saferlog.txt
  • Deaktivieren:
    reg.exe delete "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\ProgrammcodeIdentifiers" /v LogFileName /f
  • Ein Eintrag in der Protokolldatei hat das folgende Format:
    ÜbergeordneterProzess (Prozess-ID) PfadZumGestartetenProgramm as Einschränkung using Regel Typ, GUID = GUIDDerRegel
  • Ein Beispiel:
    winlogon.exe (PID = 396) identified C:\Windows\system32\userinit.exe as Nicht eingeschränkt using Pfadregel, Guid = {f8c2c158-e1af-4695-bc93-07cbefbdc594}

Anmerkung: Wenn Sie die Protokollierung nicht mehr benötigen, sollten Sie diese deaktivieren, da sie ansonsten für eine Verschlechterung der Systemleistung sorgen kann.

Fehlersuche bei Gruppenrichtlinien

Richtlinienergebnissatz

Der Richtlinienergebnissatz kann zum Anzeigen der angewendeten Richtlinie sowie zum Vorhersagen einer anzuwendenden Richtlinie für einen Computerbenutzer verwendet werden.

So starten Sie den Richtlinienergebnissatz:

  • Klicken Sie auf Start und Ausführen, und geben Sie rsop.msc ein.

gpupdate.exe

Gpupdate aktualisiert lokale und Active Directory–basierte Gruppenrichtlinieneinstellungen, einschließlich Sicherheitseinstellungen.

  • /target:[computer|user] Verarbeitet nur die Computereinstellungen oder die aktuellen Benutzereinstellungen. Standardmäßig werden sowohl die Computereinstellungen als auch die Benutzereinstellungen verarbeitet.
  • /force Ignoriert alle Verarbeitungsoptimierungen und wendet alle Einstellungen erneut an.

Die neuen Einstellungen der Richtlinie für Softwareeinschränkung werden jedoch nur für die Programme durchgesetzt, die nach der Aktualisierung gestartet werden.

gpresult.exe

Gpresult.exe zeigt die Gruppenrichtlinien und den Richtlinienergebnissatz (Resultant Set of Policy, RSOP) für einen Benutzer oder Computer an.

Beispiele

Hier sehen Sie die Beispielausgabe des Befehls: gpresult /scope user /v /user bob.

Microsoft® Windows® XP Operating System Group Policy Result tool v2.0
Copyright® Microsoft Corp. 1981-2001
Created On 8/1/2001 at 3:07:34 PM
RSOP results for EXAIR-70\bob on EXAIR-7 : Logging Mode
OS Type: Microsoft Windows XP Server
OS Configuration: Primary Domain Controller
OS Version: 5.1.3524
Domain Name: EXAIR-70
Domain Type: Windows 2000
Site Name: Default-First-Site-Name
Roaming Profile:
Local Profile: C:\Documents and Settings\bob
Connected over a slow link?: No
User Settings
CN=bob,OU=Product Group,DC=EXAIR-7,DC=nttest,DC=microsoft,DC=com
Last time Group Policy was applied: 8/1/2001 at 2:49:28 PM
Group Policy was applied from: N/A
Group Policy slow link threshold: 500 kbps
Applied Group Policy Objects
DisallowedPolicy
Software restriction policy
Default Domain Policy

Anmerkung: Es werden nur die GPOs angezeigt, die bereits auf den Benutzer angewandt wurden.

The following GPOs were not applied because they were filtered out:
Local Group Policy
Filtering: Not Applied (Empty)
The user is a part of the following security groups:
Domain Users
Everyone
BUILTIN\Users
BUILTIN\Pre-Windows 2000 Compatible Access
LOCAL
NT AUTHORITY\INTERACTIVE
NT AUTHORITY\Authenticated Users

Anmerkung: Die Gruppenmitgliedschaft ist in Szenarien wichtig, in denen die GPO-Filterung verwendet wird.

Resultant Set Of Policies for User:
Software Installations: N/A
Public Key Policies: N/A
Administrative Templates
GPO: Software restriction policy
Setting:
Software\Policies\Microsoft\Windows\Safer\ProgrammcodeIdentifiers\0\Paths\
{593905cd-1a5b-4c56-93a6-ecf1c8a78c04}
State: Enabled

Anmerkung: Es werden keine Details zur Regel, sondern nur die GUID der entsprechenden Regel angezeigt.

GPO: DisallowedPolicy
Setting:
Software\Policies\Microsoft\Windows\Safer\ProgrammcodeIdentifiers\262144\Paths\{094a935d-a2b8-
48be-a50b-0fe3174e9ced}
State: Enabled
GPO: DisallowedPolicy
Setting:
Software\Policies\Microsoft\Windows\Safer\ProgrammcodeIdentifiers\262144\Paths\{bba39f11-e1a9-
406a-8296-3b2cbcb1f144}
State: Enabled
GPO: Software restriction policy
Setting: Software\Policies\Microsoft\Windows\Safer\ProgrammcodeIdentifiers\0\Paths\{c0193a34-
594d-452b-b3e6-edc0d593f345}
State: Enabled
GPO: DisallowedPolicy
Setting: Software\Policies\Microsoft\Windows\Safer\ProgrammcodeIdentifiers
State: Enabled
GPO: Software restriction policy
Setting: Software\Policies\Microsoft\Windows\Safer\ProgrammcodeIdentifiers\0\Paths\{a5c5639e-
4ee7-4882-aa80-560bbecaca22}
State: Enabled
GPO: Software restriction policy
Setting: Software\Policies\Microsoft\Windows\Safer\ProgrammcodeIdentifiers\0\Paths\{f63296b7-
4b0a-4318-ae8d-5d070b44b4ec}
State: Enabled
GPO: DisallowedPolicy
Setting: Software\Policies\Microsoft\Windows\Safer\ProgrammcodeIdentifiers
State: Enabled
GPO: Software restriction policy
Setting: Software\Policies\Microsoft\Windows\Safer\ProgrammcodeIdentifiers\0\Paths\{8e85c506-
2964-4745-8f4e-3c2efe02f509}
State: Enabled
GPO: Software restriction policy
Setting: Software\Policies\Microsoft\Windows\Safer\ProgrammcodeIdentifiers\0\Paths\{739c2db8-
8ef5-4b2d-b210-d84d7b697603}
State: Enabled
Folder Redirection: N/A
Internet Explorer Browser User Interface: N/A
Internet Explorer Connection: N/A
Internet Explorer URLs: N/A
Internet Explorer Security: N/A
Internet Explorer Programs: N/A

Wiederherstellung

Wenn Sie Windows im abgesicherten Modus starten und sich als lokaler Administrator anmelden, dann werden keine Richtlinien für Softwareeinschränkung angewandt.

Zum Seitenanfang

Anhang

Hier finden Sie eine Liste mit Dateiendungen, Registrierungsformaten und einen Guide zur digitalen Signierung mit Testzertifikaten.

Tabelle 11: Standardmäßige Dateiendungen
EndungBeschreibung
. ADEMicrosoft Access Project Extension
. ADPMicrosoft Access Project
. BASVisual Basic-Klassenmodul
. BATBatchdatei
. CHMHTML-Hilfedatei
. CMDWindows NT-Skript
. COMMS-DOS-Anwendung
. CPLSystemsteuerung
. CRTSicherheitszertifikat
. EXEAnwendung
. HLPWindows-Hilfedatei
. HTAHTML-Anwendungen
. INFSetup Information File
. INSInternet Communication Settings
. ISPInternet Communication Settings
. JSJScript
. JSEJScript EnProgrammcoded Script
. LNKVerknüpfung
. MDBMicrosoft Access
. MDEMicrosoft Access MDE-Datenbank
. MSCMicrosoft Common Console-Dokument
. MSIWindows Installer-Paket
. MSPWindows Installer-Patch
. MSTVisual Test-Datei
. PCDPhoto CD Image
. PIFVerknüpfung mit einem MS-DOS-Programm
. REGRegistrierungseintrag
. SCRBildschirmschoner
. SCTWindows Script-Komponente
. SHSShell Scrap-Objekt
. URLUniform Resource Locator
. VBVBScript-Datei
. VBEVBScript EnProgrammcoded Script File
. VBSVBScript-Datei
. WSCWindows Script Component
. WSFWindows Script-Datei
. WSHWindows Scripting Host-Datei

Registrierungsformat

Nachdem eine Richtlinie angewandt wurde, wird die Konfiguration der Richtlinie für Softwareeinschränkung in der Registrierung gespeichert. Eine SACL (Security Access Control List) schützt die Registrierungseinträge. Nur Administratoren und das Konto SYSTEM haben einen Schreibzugriff auf solche Einträge.

Benutzerkonfiguration

HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\

Computerkonfiguration

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\

Das Registrierungsformat

[HKCU oder HKLM]\SOFTWARE\Policies\Microsoft\Windows\Safer

ProgrammcodeIdentifiers

DefaultLevel, DWORD (40000 für "Nicht eingeschränkt" und 0 für "Nicht zugelassen")

ExecutableTypes, REG_MULTI_SZ (Liste mit den Dateierweiterungen)

TransparentEnabled, DWORD, (0 kein Erzwingen, 1 keine DLLs, 2 alle Dateien)

PolicyScope, DWORD, (0 alle Benutzer, 1 keine Administrators) nur HKLM

[Optionale Registrierungseinstellunge - müssen manuell erstellt werden]

AuthentiProgrammcodeEnabled, DWORD, (1 Zertifikatsregel auf EXE-Dateien anwenden) nur HKLM

LogFileName, REG_SZ (Pfad zur Protokolldatei) nur HKLM

0

Anmerkung: Unter diesem Eintrag finden Sie nicht zugelassene Regeln

Hashes

{0140090a-6e4d-4dc3-b1fa-27563cc91fda}

Description, REG_SZ (Beschreibung)

FriendlyName, REG_SZ (Dateiversion)

ItemData, REG_BINARY, (Hashwert)

ItemSize, QWORD, (Dateigröße)

HashAlg, DWORD, (32771 ist MD5, 32772 ist SHA1)

LastModified, QWORD, (Zeitstempel)

SaferFlags, DWORD, (nicht genutzt)

Path

{5c03dc31-e128-426e-bad6-9223ee92d0b8}

Description, REG_SZ (Beschreibung)

ItemData, REG_SZ (Pfad)

oder

ItemData, REG_EXPAND_SZ

Anmerkung: REG_EXPAND_SZ wird bei Pfadregeln mit Umgebungsvariablen und Registrierungs-Pfadregeln verwendet

LastModified, QWORD, (Zeitstempel)

SaferFlags, DWORD, (nicht verwendet)

UrlZones

{dda3f824-d8cb-441b-834d-be2efd2c1a33}

ItemData, DWORD (Zone)

LastModified, QWORD, (Zeitstempel)

SaferFlags, DWORD, (nicht verwendet)

262144

Anmerkung: Hier finden Sie die nicht eingeschränkten Regeln

Hashes

{0140090a-6e4d-4dc3-b1fa-27563cc91fda}

Paths

{302fe78d-0b85-484a-b16f-0ae6262b7969}

Zertifikatsregeln

Zertifikatsregeln werden in einem separaten Teil der Registrierung gespeichert.

Benutzerkonfiguration:

  • HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\SystemCertificates

Computerkonfiguration:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates

[HKCU oder HKLM]\SOFTWARE\Policies\Microsoft\Windows\SystemCertificates

TrustedPublishers

Anmerkung: Hier finden Sie die nicht eingeschränkten Regeln

Certificates

D4C408A1F8EF6B49F837C54E5F697DC11EEB3F53

Anmerkung: Hash des Zertifikates

Blob, REG_BINARY (Binärwert des Zertifikates)

Disallowed

Anmerkung: Unter diesem Eintrag finden Sie nicht zugelassene Regeln

Certificates

C9902A94036312086FFAD974760D96CA93284555

Anmerkung: Hash des Zertifikates

Blob, REG_BINARY (Binärwert des Zertifikates)

Standardeinstellungen

[HKCU oder HKLM]\SOFTWARE\Policies\Microsoft\Windows\Safer

ProgrammcodeIdentifiers

DefaultLevel, DWORD (40000)

ExecutableTypes, REG_MULTI_SZ (WSC,VB,URL,SHS, SCR, REG,PIF,PCD, OCX, MST,MSP, MSI, MSC, MDE,MDB,LNK, ISP,INS,INF,HTA,HLP,EXE, CRT, CPL,COM,CMD,CHM, BAT,BAS,ADP,ADE)

TransparentEnabled, DWORD, (1 keine DLLs)

PolicyScope, DWORD, (0)

0

Path

{dda3f824-d8cb-441b-834d-be2efd2c1a33}

Description, REG_SZ

ItemData, REG_EXPAND_SZ

%HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache%OLK*

LastModified, QWORD, (Zeitstempel)

SaferFlags, DWORD, (0)

Step-by-Step-Guide zur Erstellung von signierten Dateien mit Testzertifikaten

Schritt 1: Herunterladen der Tools

Laden Sie sich das Tool AuthentiProgrammcode für Internet Explorer 5.0 herunter. Mit diesem Tool können Sie Dateien signieren. http://msdn.microsoft.com/downloads/default.aspx

Schritt 2: Erstellen eines Zertifikates zur Signierung von Programmcode

Es gibt drei mögliche Wege:

  • Über eine kommerzielle Zertifizierungsstelle wie zum Beispiel VeriSign. Diese Variante sollten Sie nutzen, wenn Ihre Zertifikate auch außerhalb Ihrer Organisation gültig sein sollen.
  • Einrichten einer Windows 2000- oder Windows Server 2003-Zertifizierungssstelle. Diese Variante können Sie nutzen, wenn Ihre Zertifikate nur innerhalb Ihrer Organisation gültig sein sollen.
  • Erstellen eines selbst signierten Zertifikates zu Testzwecken. Führen Sie die folgenden zwei Befehle aus:
    • makecert.exe -n "cn=TEST CERTIFICATE (FOR TEST PURPOSES ONLY!)" -ss my -eku 1.3.6.1.5.5.7.3.3
    • Setreg.exe 1 true

Mit setreg.exe weisen Sie den Computer an, der Zertifizierungsstelle, die Ihr Testzertifikat ausgestellt hat, zu vertrauen.

Schritt 3: Signieren der Datei

Erstellen Sie eine einfache VBS-Datei mit dem Namen hello.vbs und dem Inhalt:

  • msgbox "hello world"

Signieren Sie die Datei mit dem folgenden Befehl:

  • signProgrammcode.exe -cn "TEST CERTIFICATE (FOR TEST PURPOSES ONLY!)" -t http://timestamp.verisign.com/scripts/timstamp.dll hello.vbs

Wenn der Befehl erfolgreich war, erhalten Sie die Meldung "Succeeded". Im Skript finden Sie nun eine digitale Signatur:

Abbildung 11: Visual Basic Script mit digitaler Signatur

Mit dem folgenden Befehl können Sie überprüfen, ob die Signatur korrekt ist:

  • chktrust.exe hello.vbs

Sie erhalten die folgende Ausgabe:

Abbildung 15: Überprüfen einer signierten Datei

Schritt 4: Erstellen von Zertifikats- und Pfadregeln

Erstellen Sie mit secpol.msc zwei Regeln:

  • Neue Pfadregel: "*.VBS" und Sicherheitsebene "Nicht zugelassen"
  • Neue Zertifikatsregel: Mit dem Testzertifikat und Sicherheitsebene "Nicht eingeschränkt"

Mit dem folgenden Befehl exportieren Sie das Zertifikat in eine Datei. Diese Datei benötigen Sie bei der Erstellung der Zertifikatsregel:

  • Certmgr.exe -put -c -v -n "TEST CERTIFICATE (FOR TEST PURPOSES ONLY!)" -s my mytestcert.cer

Mit diesen zwei Regeln werden alle VBS-Dateien blockiert - bis auf die mit dem Zertifikat signierten.

Schritt 5: Neu anmelden und die Richtlinien testen

  • Melden Sie sich ab und wieder an.
  • Starten Sie hello.vbs - Sie sollten das kleine Nachrichtenfenster sehen. Das Skript wird also korrekt ausgeführt.
  • Ändern Sie hello.vbs mit dem Editor. Speichern Sie das Skript.
  • Starten Sie das Skript erneut. Das Skript sollte nun nicht mehr ausgeführt werden, da die digitale Signatur nicht mehr mit dem Skript übereinstimmt.

Zum Seitenanfang

Zusammenfassung

Richtlinien für Softwareeinschränkung ermöglichen es Administratoren, die auf einem Computer ausführbare Software genau zu kontrollieren. Die Richtlinien können schädliche Skripte blockieren, einen Computer besser absichern oder dafür sorgen, dass keine unerwünschten Anwendungen gestartet werden.

Zum Seitenanfang

Zusätzliche Informationen

Unter den folgenden Quellen finden Sie weitere Informationen:

 

Zum Seitenanfang