Schutz vor nicht autorisierter Software mit Richtlinien für Softwareeinschränkung
Veröffentlicht: 01. Jan 2002 | Aktualisiert: 25. Mai 2004
Richtlinien für Softwareeinschränkung sind ein neues Feature von Microsoft Windows XP und Windows Server 2003. Sie bieten Administratoren einen richtliniengesteuerten Mechanismus zur Identifikation und Kontrolle der auf einem Computer einer Domäne ausgeführten Software. Richtlinien für Softwareeinschränkung können die Systemintegrität und -verwaltbarkeit verbessern - was letztendlich zu geringeren Kosten für den Betrieb eines Computers führt.
Auf dieser Seite
Einleitung
Erweiterte Verwaltungsmöglichkeiten
Richtlinien für Softwareeinschränkung - Ein Überblick
Die Architektur
Richtlinien für Softwareeinschränkung - Optionen
Design von Richtlinien für Softwareeinschränkung
Step-by-Step-Guide für das Design einer Richtlinie für Softwareeinschränkung
Step-by-Step-Guide für das Erstellen zusätzlicher Regeln
Häufig übersehene Regeln
Szenarien
Überlegungen zur Bereitstellung
Fehlersuche
Anhang
Zusammenfassung
Zusätzliche Informationen
Einleitung
Richtlinien für Softwareeinschränkung sind Teil der Strategie von Microsoft, die Unternehmen dabei unterstützen soll, die Zuverlässigkeit, Integrität und Verwaltbarkeit der eigenen Computer zu verbessern. Richtlinien für Softwareeinschränkung ist eines von vielen neuen Features von Windows XP und Windows Server 2003 aus dem Bereich Verwaltbarkeit.
In diesem Artikel erfahren Sie, wozu Sie Richtlinien für Softwareeinschränkung nutzen können:
- Kampf gegen Viren
- Festlegen, welche ActiveX-Steuerelemente heruntergeladen werden können.
- Nur digital signierte Skripte ausführen.
- Durchsetzen, dass nur freigegebene Software auf Computern installiert werden darf.
- Absichern von Computern.
Zum Seitenanfang
Erweiterte Verwaltungsmöglichkeiten
Mit Windows 2000 wurden neue Verwaltungsmöglichkeiten für die Windows-Plattform eingeführt. Es ist jetzt möglich, Computer auf die folgenden Arten zu verwalten:
- Anwendungseinstellungen ermöglichen Ihnen ein Anpassen einer Anwendung über eine Gruppenrichtlinie und das Anwenden dieser Gruppenrichtlinie auf alle erforderlichen Domänenbenutzer.
- Das Snap-In Softwareinstallation ermöglicht eine zentralisierte Softwareverteilung für Ihre Organisation. Wenn der Benutzer eine Anwendung aus dem Startmenü erstmalig startet, wird diese automatisch installiert. Außerdem können Sie Anwendungen für bestimmte Benutzergruppen veröffentlichen.
- Sicherheitseinstellungen einer Gruppenrichtlinie definieren eine Sicherheitskonfiguration. Diese setzt konsistente Einstellungen für Kontenrichtlinien, lokale Richtlinien, Ereignisprotokolle, Registrierung, Dateisystem, Richtlinien öffentlicher Schlüssel und andere Richtlinien durch.
Mit Windows XP und Windows Server 2003 wurden die Verwaltungsmöglichkeiten von Windows 2000 um die folgenden Features erweitert:
- Bessere Diagnosemöglichkeiten und Planungsinformationen durch den Richtlinienergebnissatz (Resultant Set of Policies - RSOP). Weitere Informationen zu diesem Thema finden Sie im Artikel Windows 2000 Group Policy (engl.).
- Die Möglichkeit zur WMI-Filterung (Windows Management Instrumentation). Unter Windows 2000 können Sie Richtlinien auf Basis von Organisationseinheiten in Active Directory zuweisen. Unter Windows XP können Sie außerdem WMI-Informationen zum Zuweisen von Gruppenrichtlinien nutzen (zum Beispiel an Computer mit einem bestimmten Service Pack).
Richtlinien für Softwareeinschränkung sind in das Betriebssystem und die Skriptingmöglichkeiten integriert. Unter Windows 2000 können Sie den Zugriff auf bestimmte Anwendungen verhindern, indem Sie diese aus dem Startmenü entfernen oder den Befehl "Ausführen" entfernen. Die neuen Richtlinien für Softwareeinschränkung gehen jedoch weit über diese Möglichkeiten hinaus.
Zum Seitenanfang
Richtlinien für Softwareeinschränkung - Ein Überblick
In diesem Abschnitt werden das Verhalten von schädlichem Programmcode und die Probleme in Bezug auf unbekannten Programmcode besprochen.
Schädlicher Programmcode hat mehr als eine Möglichkeit, auf ein System zu gelangen
Seit der vermehrten Nutzung von Netzwerken und Internet bei der täglichen Arbeit mit Computern ist das Potenzial für schädlichen Programmcode weitaus größer geworden als früher. Menschen arbeiten über immer ausgereiftere Wege zusammen. Durch diese immer umfangreichere Zusammenarbeit steigt auch die Bedrohung durch Viren, Würmer und anderen schädlichen Programmcode für Ihre Systeme. Sie sollten sich bewusst sein, dass zum Beispiel auch Emails und Instant-Messaging schädlichen Programmcode enthalten können. Schädlicher Programmcode kann auf verschiedenste Arten auf ein System gelangen - zum Beispiel als ausführbare Datei (.exe), als Makro in einer Textverarbeitung (.doc) oder als Skript (.vbs).
Viren und Würmer nutzen oftmals eine Technik namens "Social Engineering". Sie bringen die Benutzer dazu, den schädlichen Programmcode zu aktivieren, denn für die Benutzer kann es unter Umständen schon allein aufgrund der großen Anzahl und Varianten von unsicherem Programmcode recht schwer sein, zwischen sicherem Programmcode und unsicherem Programmcode zu unterscheiden. Ist der unsichere Programmcode einmal aktiviert, kann er Daten auf der Festplatte beschädigen, einen DoS-Angriff (Denial-of-Service) auf das Netzwerk starten, vertrauliche Daten in das Internet versenden oder die Sicherheit des Computers kompromittieren.
Das Problem des unbekannten Programmcodes
Schädlicher Programmcode ist nicht die einzige Bedrohung - auch viele an sich nicht schädliche Anwendungen führen zu Problemen. Jede Software, die einer Organisation unbekannt ist und von dieser nicht unterstützt wird, kann zu Konflikten mit anderen Anwendungen oder grundlegenden Konfigurationsänderungen führen. Die Richtlinien für Softwareeinschränkung sollen Organisationen nicht nur dabei unterstützen, schädlichen Programmcode unter Kontrolle zu halten, sondern auch jeglichen unbekannten Programmcode - egal, ob dieser schädlich ist oder nicht.
Reaktion auf unbekannten Programmcode
Richtlinien für Softwareeinschränkung ermöglichen Ihnen, auf unbekannten Programmcode auf die folgenden Arten zu reagieren:
- Sie können eine Liste definieren, welcher Programmcode vertrauenswürdig ist und welcher nicht.
- Sie können Skripte, ausführbare Dateien und ActiveX-Steuerelemente kontrollieren.
- Sie können die Richtlinien automatisch durchsetzen.
Zum Seitenanfang
Die Architektur
In Abbildung 1 sehen Sie die drei Komponenten, aus denen sich Richtlinien für Softwareeinschränkung zusammensetzen.
- Ein Administrator erstellt mit dem Gruppenrichtlinienobjekt-Editor eine Richtlinie.
- Die Richtlinie wird heruntergeladen und auf die Maschine angewandt. Benutzerrichtlinien werden bei der nächsten Benutzeranmeldung angewandt und Computerrichtlinien beim Start der Maschine.
- Wenn ein Benutzer ein Programm oder ein Skript startet, überprüft das Betriebssystem oder der Skripting-Host die Richtlinie und setzt sie durch.
"Nicht erlaubt" oder "Nicht eingeschränkt"
Eine Richtlinie für Softwareeinschränkung wird über das Snap-In Gruppenrichtlinienobjekt-Editor erstellt. Sie besteht aus einer Standardregel, die festlegt, welche Programme ausgeführt werden dürfen, und aus Ausnahmen von dieser Regel. Die Standardregel kann mit "Nicht erlaubt" oder "Nicht eingeschränkt" konfiguriert werden.
Wenn die Standardregel mit "Nicht eingeschränkt" konfiguriert wird, kann der Administrator Ausnahmen definieren. Bestimmte Programme können zum Beispiel verboten werden. Ein sicherer Ansatz ist jedoch, die Standardregel mit "Nicht erlaubt" zu konfigurieren und nur bekannte und vertrauenswürdige Programme freizugeben.
Standardmäßige Sicherheit
Es gibt zwei Möglichkeiten, Richtlinien für Softwareeinschränkung einzusetzen:
- Wenn der Administrator genau weiß, welche Software ausgeführt werden soll, kann eine Richtlinie erstellt werden, die nur das Ausführen einer definierten Liste von vertrauenswürdigen Anwendungen zulässt.
- Wenn der Administrator nicht genau weiß, welche Software von den Benutzer ausgeführt werden wird, kann der Administrator je nach Bedarf bestimmte Anwendungen oder Dateitypen verbieten.
Vier Wege, über die Software identifiziert werden kann
Zweck eine Regel ist die Identifikation und das Zulassen oder Verbieten einer oder mehrerer Anwendungen. Hierbei gibt es vier verschiedene Möglichkeiten, über die eine Richtlinie Software identifizieren kann:
- Hash - Ein kryptografischer Fingerabdruck einer Datei.
- Zertifikat - Ein Zertifikat, mit der die Datei digital signiert wurde.
- Pfad - Ein lokaler Pfad oder UNC-Pfad (Universal Naming Convention), unter dem die Datei gespeichert ist.
- Zone - Eine Internetzone.
Hashregeln
Ein Hash ist ein Fingerabdruck, der eine Datei eindeutig identifiziert - und zwar unabhängig davon, wo sie sich befindet oder wie sie heißt. Mit einer Hashregel macht es nichts aus, wenn ein unerwünschtes Programm umbenannt oder verschoben wurde - der Hash der Datei bleibt immer gleich.
Ein Hash besteht aus drei Teilen:
- MD5- oder SHA-1-Hashwert
- Dateilänge
- ID des Hashalgorithmus
Er ist folgendermaßen formatiert:
[MD5- oder SHA1-Hashwert]:[Dateilänge]:[ID des Hashalgorithmus]
Dateien, die digital signiert sind, nutzen den Hash der Signatur (SHA-1 oder MD5). Dateien, die nicht signiert sind, verwenden einen MD5-Hash.
Beispiel: Die folgenden Hashregel wirkt sich auf eine Datei mit einer Länge von 126 Byte und dem MD5-Hash (MD5 hat die Hash-ID 32771) 7bc04acc0d6480af862d22d724c3b0497bc04acc0d6480af862d22d724c3b049:126:32771 aus.
Zertifikatsregeln
Eine Zertifikatsregel legt ein vom Autor der Software erstelltes Zertifikat fest. Sie können zum Beispiel durchsetzen, dass alle Skripte und ActiveX-Steuerlemente mit bestimmten Zertifikaten signiert sein müssen. Die betreffenden Zertifikate können von einer kommerziellen Zertifizierungsstelle (CA - Certificate Authority) wie VeriSign stammen, von einer Windows 2000/Windows Server 2003-PKI, oder sie können ein selbst signiertes Zertifikat sein.
Eine Zertifikatsregel ist ein hervorragendes Verfahren zur Identifikation von Software - sie nutzt signierte Hashes in der Signatur der signierten Datei, um Dateien zu erkennen. Dies geschieht völlig unabhängig vom Namen und Speicherort der Datei.
Pfadregeln
Mit einer Pfadregel können Sie einen Ordner oder einen voll qualifizierten Pfad für ein Programm festlegen. Eine Pfadregel wirkt sich auf alle Programme im Ordner und auf alle Programm in allen Unterordnern aus. Sie können sowohl lokale Pfade als auch UNC-Pfade verwenden.
Verwenden von Umgebungsvariablen in Pfadregeln. In einer Pfadregel können Sie Umgebungsvariablen verwenden. Da diese Regeln im Kontext des Clients angewendet werden, können alle entsprechenden Umgebungsvariablen aufgelöst werden (zum Beispiel %WINDIR%).
Wichtig: Umgebungsvariablen werden nicht von ACLs geschützt (Zugriffskontrolllisten - Access Control Lists). Wenn ein Benutzer Zugriff auf eine Eingabeaufforderung hat, kann er Umgebungsvariablen neu definieren.
Verwenden von Wildcards in Pfadregeln. Sie können die Wildcards '?' und '*' verwenden. So sind zum Beispiel Regeln wie "*.vbs" möglich, die sich auf alle Visual Basic Script-Dateien auswirken. Einige weitere Beispiele für entsprechende Regeln sind:
- "\\DC-??\login$" gilt für \\DC-01\login$, \\DC-02\login$
- "*\Windows" gilt für C:\Windows, D:\Windows, E:\Windows
- "c:\win*" gilt für c:\winnt, c:\windows, c:\windir
Registrierungs-Pfadregeln.
Viele Anwendungen speichern die Pfade zu ihren Installationsordnern oder Anwendungsverzeichnissen in der Windows-Registrierung. Sie können Pfadregeln erstellen, die solche Registrierungsschlüssel berücksichtigen. Einige Anwendungen finden Sie zum Beispiel nicht über Pfade wie C:\Programme\Microsoft Platform SDK oder Umgebungsvariablen wie %ProgramFiles%\Microsoft Platform SDK. Wenn die Anwendung jedoch Daten in der Registrierung speichert, können Sie eine Pfadregel wie %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PlatformSDK\Directories\Install Dir% verwenden.
Solche Pfadregeln werden Registrierungs-Pfadregeln genannt. Sie setzen sich folgendermaßen zusammen:
%[Registrierungs-Teil]\[Name des Registrierungsschlüssels]\[Name der Wertes]%
Anmerkung: Êine Registrierungs-Pfadregel sollte nicht mit einem Backslash (\) beendet werden.
- Der Registrierungspfad muss in Prozentzeichen (%) eingeschlossen werden.
- Der Registrierungswert muss vom Typ REG_SZ oder REG_EXPAND_SZ sein, und Sie dürfen HKEY_LOCAL_MACHINE und HKEY_CURRENT_USER nicht mit HKLM oder HKCU abkürzen.
- Wenn der Registrierungswert Umgebungsvariablen enthält, werden diese bei der Abarbeitung der Richtlinien umgesetzt.
- Eine Registrierungs-Pfadregel kann Wildcards enthalten. Eine solche Regel wäre zum Beispiel %HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache%OLK* Diese Regel bezieht sich auf die Ordner, in denen Microsoft Outlook XP Dateianhänge vor deren Ausführung speichert. Diese Ordner beginnen immer mit den Zeichen "OLK". Die Regel würde also zum Beispiel auf den folgenden Pfad angewandt: C:\Dokumente und Einstellungen\benutzername\lokale einstellungen\Temporary Internet Files\OLK4.
Wichtig: Wenn Sie Pfadregeln definieren, sollten Sie die ACLs das Pfades überprüfen. Wenn die Benutzer Schreibzugriff auf den Pfad haben, können diese dessen Inhalte verändern. Wenn Sie zum Beispiel den Pfad C:\Programme zulassen, dann sollte Ihnen bewusst sein, dass jeder Hauptbenutzer Anwendungen in diesen Pfad kopieren kann.
Vorrang von Pfadregeln. Wenn es mehrere Pfadregeln gibt, die zutreffen, dann wird die Regel verwendet, die den Pfad am genauesten definiert.
Die folgenden Pfade sind zur Verdeutlichung vom genauesten definierten Pfad bis zum ungenauesten definierten Pfad sortiert:
- Laufwerk:\Folder1\Ordner2\Dateiname.Dateierweiterung
- Laufwerk:\Ordner1\Ordner2\*.Dateierweiterung
- *.Dateierweiterung
- Laufwerk:\Ordner1\Ordner2\
- Laufwerk:\Ordner1\
Internetzonenregeln
Eine solche Regel kann Software definieren, die aus einer Internet Explorer-Zone heruntergeladen wurde. Folgende Zonen sind möglich:
- Internet
- Lokales Intranet
- Eingeschränkte Sites
- Vertrauenswürdige Sites
- Lokaler Computer
Im Moment wirken sich solche Regeln nur auf Windows Installer-Pakete aus (*.MSI) - nicht jedoch auf Software, die über den Internet Explorer heruntergeladen wird.
Wann welche Regel nutzen?
Anmerkung: Jede Regel hat eine GUID (Globally Unique Identifier). Eine GUID sieht zum Beispiel so aus: {f8c2c158-e1af-4695-bc93-07cbefbdc594}. Zwei identische Regeln haben trotzdem unterschiedliche GUIDs. Diese GUIDs helfen Ihnen dabei, Fehler in bestimmten Regeln zu finden. Mehr zu diesem Thema erfahren Sie weiter unten im Abschnitt "Fehlersuche".
Tabelle 1: Wann welche Regel nutzen? | |
Aufgabe | Empfohlene Regel |
Sie möchten eine bestimmte Version eines Programms erlauben oder nicht erlauben. |
Hashregel
Hash einer Datei |
Sie möchten ein Programm identifizieren, das immer am gleichen Speicherort installiert wird. |
Pfadregel mit Umgebungsvariablen
%ProgramFiles%\Internet Explorer\iexplore.exe |
Sie möchten ein Programm identifizieren, das irgendwo auf dem Computer installiert wird. |
Registrierungs-Pfadregel
%HKEY_LOCAL_MACHINE\SOFTWARE\ ComputerAssociates\InoculateIT\6.0\Path\HOME% |
Sie möchten Skripte auf einem zentralen Server identifizieren. |
Pfadregel
\\SERVERNAME\Freigabe |
Sie möchten Skripte auf bestimmten Servern identifizieren (zum Beispiel DC01, DC02 und DC03). |
Pfadregel mit Wildcards
\\DC??\Freigabe |
Sie möchten .vbs-Dateien nicht erlauben - außer denen, die sich im Login-Ordner befinden. |
Pfadregel mit Wildcards
*.VBS nicht erlaubt \\LOGIN_SRV\Freigabe\*.VBS als "Nicht eingeschränkt" definiert |
Sie möchten eine Datei nicht zulassen, die von einem Virus installiert wird und den Dateinamen flcss.exe trägt. |
Pfadregel
flcss.exe als "Nicht erlaubt" definiert |
Sie möchten bestimmte Skripte identifizieren, die an einem beliebigen Ort ausgeführt werden können. |
Zertifikatsregel
Digital signierte Skripte |
Sie möchten Software identifizieren, die über vertrauenswürdige Sites installiert wird. |
Internetzonenregel
"Vertrauenswürdige Sites" als "Nicht eingeschränkt" definiert |
Reihenfolge von Regeln
Regeln werden in einer bestimmten Reihenfolge angewandt. Die Regel, die ein Programm genauer spezifiziert, wird angewandt.
- Hashregel
- Zertifikatsregel
- Pfadregel
- Internetzonenregel
- Standardregel
Die folgende Tabelle zeigt, wie Regeln beim Starten von Programmen verarbeitet werden.
Tabelle 2: Reihenfolge von Regeln | ||
Standardsicherheitsstufe: Nicht eingeschränkt | ||
Hashregeln | ||
Regel 1 | Hash von pagefileconfig.vbs | Nicht erlaubt |
Zertifikatsregeln | ||
Regel 2 | Zertifikat der IT-Abteilung | Nicht eingeschränkt |
Pfadregeln | ||
Regel 3 | %WINDIR%\System32\*.VBS | Nicht eingeschränkt |
Regel 4 | *.VBS | Nicht erlaubt |
Regel 5 | %WINDIR% | Nicht eingeschränkt |
Beim gestarteten Programm handelt es sich um: C:\WINDOWS\SYSTEM32\EventQuery.vbs
Die folgenden Regeln betreffen das Programm:
- Regel 3 - Es handelt sich um eine .vbs-Datei im Ordner System32.
- Regel 4 - Es handelt sich um eine Datei mit der Erweiterung .vbs.
- Regel 5 - Die Datei ist in einem Unterordner des Windows-Verzeichnisses gespeichert.
Regel 3 definiert das Programm am genauesten. Da diese Regel die Sicherheitsstufe "Nicht eingeschränkt" verwendet, wird das Programm zugelassen.
Beim gestarteten Programm handelt es sich um: C:\WINDOWS\SYSTEM32\pagefileconfig.vbs
Die folgenden Regeln betreffen das Programm:
- Regel 1 - Die Hashregel entspricht dem Hash der Datei.
- Regel 3 - Es handelt sich um eine .vbs-Datei im Ordner System32.
- Regel 4 - Es handelt sich um eine Datei mit der Erweiterung .vbs.
- Regel 5 - Die Datei ist in einem Unterordner des Windows-Verzeichnisses gespeichert.
Regel 1 definiert das Programm am genauesten. Da diese Regel die Sicherheitsstufe "Nicht erlaubt" verwendet, wird das Programm nicht zugelassen.
Beim gestarteten Programm handelt es sich um: \\LOGIN_SRV\Scripts\CustomerScript1.vbs
Die folgenden Regeln betreffen das Programm:
- Regel 2 - Die Datei ist mit einem Zertifikat der IT-Abteilung signiert.
- Regel 4 - Es handelt sich um eine Datei mit der Erweiterung .vbs.
Regel 2 definiert das Programm am genauesten. Da diese Regel die Sicherheitsstufe "Nicht eingeschränkt" verwendet, wird das Programm zugelassen
Beim gestarteten Programm handelt es sich um: C:\Dokumente und Einstellungen\user1\LOVE-LETTER-FOR-YOU.TXT.VBS
Dieses Programm entspricht Regel 4 - es verwendet die Erweiterung .vbs.
Regel 4 definiert das Programm am genauesten. Da diese Regel die Sicherheitsstufe "Nicht erlaubt" verwendet, wird das Programm nicht zugelassen.
Zum Seitenanfang
Richtlinien für Softwareeinschränkung - Optionen
In diesem Abschnitt werden die verschiedenen Optionen besprochen, die das Verhalten von Richtlinien für Softwareeinschränkung beeinflussen.
Erzwingen
Es gibt zwei Optionen zum Erzwingen von Richtlinien: "Software außer Bibliotheken" und "Alle Benutzer außer lokale Administratoren".
Software außer Bibliotheken
Ein Programm wie zum Beispiel der Internet Explorer setzt sich aus einer ausführbaren Datei (iexplore.exe) und vielen DLLs (Dynamic Link Libraries) zusammen. Standardmäßig werden Richtlinien auf LLs nicht angewandt. Aus drei Gründen ist dies auch die für die meisten Kunden empfohlene Variante:
- Das Nicht-Erlauben der ausführbaren Datei verhindert, dass das Programm gestartet wird. Es gibt also keinen Grund, auch noch DLLs einzuschränken.
- Das Überprüfen von DLLs kann zu Leistungseinbußen führen. Wenn ein Benutzer zehn Programme startet, müssen auch die Richtlinien zehn Mal überprüft werden. Wenn die DLLs ebenfalls überprüft werden, geschieht natürlich auch dies zehn Mal. Wenn ein Programm 20 DLLs verwendet, könnte das dazu führen, dass insgesamt 210 Dateien überprüft werden müssen.
- Wenn das Standardsicherheitslevel mit "Nicht erlaubt" definiert ist, müsste nicht nur die ausführbare Datei eines Programms explizit zugelassen werden, sondern auch alle DLLs - was zu einem deutlich größeren Aufwand führen könnte.
Die Überprüfung von DLLs ist eine Option für Umgebungen, die eine höchstmögliche Sicherheit durchsetzen möchten.
So aktivieren Sie die Option:
- Nehmen Sie im Dialogfenster Eigenschaften von Erzwingen die folgende Einstellung vor:
Richtlinien für Softwareeinschränkung anwenden auf > Alle Softwaredateien
Abbildung 2: Eigenschaften von Erzwingen
Alle Benutzer außer lokale Administratoren
Als Administrator wollen Sie möglicherweise den Benutzern bestimmte Programme verbieten, sie selbst jedoch weiterhin nutzen. Dies können Sie mit der Option Richtlinien für Softwareeinschränkung auf folgende Benutzer anwenden erreichen.
Wenn Sie die Richtlinie in einem GPO konfigurieren, das einem Objekt in Active Directory zugewiesen ist, dann sollten Sie den Administratoren das Recht Gruppenrichtlinien anwenden verweigern. Dieses Verfahren sorgt außerdem für weniger Netzwerkverkehr. Wenn Sie die Richtlinien in der lokalen Gruppenrichtlinie definieren, sollten Sie jedoch die oben genannte Option verwenden.
So aktivieren Sie die Option:
- Konfigurieren Sie die Einstellung im Dialogfenster Eigenschaften von Erzwingen:
Softwareeinschränkung auf folgende Benutzer anwenden > Alle Benutzer außer den lokalen Administratoren
Anmerkung: Die Option ist nur für die Computerkonfiguration der Gruppenrichtlinie gültig.
Definieren von ausführbaren Dateien
In Abbildung 3 sehen Sie das Dialogfenster "Eigenschaften von Designierte Dateitypen". In diesem Dialogfenster können Sie die Dateitypen festlegen, auf die sich Richtlinien auswirken.
Abbildung 3: Eigenschaften von Designierte Dateitypen
Vertrauenswürdige Herausgeber
Mit dem in Abbildung 4 zu sehenden Dialogfenster können Sie Einstellungen für ActiveX-Steuerelemente und andere signierte Inhalte konfigurieren.
Abbildung 4: Optionen für vertrauenswürdige Herausgeber
In der folgenden Tabelle finden Sie die möglichen Optionen für vertrauenswürdige Herausgeber.
Tabelle 3: Aufgaben und Einstellungen für vertrauenswürdige Herausgeber | |
Aufgabe | Einstellung |
Nur von Domänenadministratoren signierten Inhalten soll vertraut werden. | Unternehmensadministratoren |
Nur von lokalen Administratoren signierten Inhalten soll vertraut werden. | Administratoren des lokalen Computers |
Jeglichen von einem Benutzer signierten Inhalten soll vertraut werden. | Alle Benutzer |
Es soll eine Sperrungsüberprüfung des Herausgebers durchgeführt werden. | Herausgeber |
Der Zeitstempel des Zertifikates soll überprüft werden. | Zeitstempel |
Wirkungsbereich von Richtlinien für Softwareeinschränkungen
Richtlinien für Softwareeinschränkung werden nicht auf die folgenden Bereiche angewandt:
- Treiber oder Software im Kernel-Mode.
- Programme, die im Kontext des SYSTEM-Kontos ausgeführt werden.
- Makros in Microsoft Office 2000- oder Office XP-Dokumenten.
- CLI-Anwendungen
Zum Seitenanfang
Design von Richtlinien für Softwareeinschränkung
In diesem Abschnitt erfahren Sie, wie Sie Richtlinien für Softwareeinschränkung mithilfe des Gruppenrichtlinien-Snap-Ins administrieren können und wie Sie eine Richtlinie auf bestimmte Benutzer anwenden können.
Integration mit Gruppenrichtlinien
Richtlinien für Softwareeinschränkung werden über die folgenden Gruppenrichtlinien-Snap-Ins konfiguriert:
Domänenrichtlinie
So konfigurieren Sie eine Domänenrichtlinie:
- Klicken Sie auf Start, Ausführen und geben Sie dann dsa.msc ein. Klicken Sie auf OK.
- Klicken Sie mit rechts auf eine Domäne oder OU und dann auf Eigenschaften, Gruppenrichtlinie, Neu/Bearbeiten.
Lokale Sicherheitsrichtlinie
So konfigurieren Sie die lokale Sicherheitsrichtlinie:
- Klicken Sie auf Start und auf Ausführen
- Geben Sie secpol.msc ein, und klicken Sie auf OK.
Sie können in einem GPO unter Computerkonfiguration und unter Benutzerkonfiguration Einstellungen für Richtlinien für Softwareeinschränkung vornehmen.
Abbildung 5: Konfigurieren von Richtlinien für Softwareeinschränkung
Wenn Sie die lokale Sicherheitsrichtlinie bearbeiten, finden Sie die Richtlinien für Softwareeinschränkung unter dem in Abbildung 6 gezeigten Knoten.
Abbildung 6: Bearbeiten der lokalen Sicherheitsrichtlinie
Grundsätzliche Überlegungen
Wenn Sie eine Richtlinie zum ersten Mal bearbeiten, wird Ihnen die in der folgenden Abbildung zu sehende Mitteilung angezeigt. Diese Mitteilung informiert Sie, dass eine Richtlinie mit Standardeinstellungen erstellt wird. Die Standardeinstellungen der ersten Richtlinien können möglicherweise Einstellungen aus weiteren Richtlinien überschreiben.
Abbildung 7: Warnung beim Erstellen einer neuen Richtlinie
So erstellen Sie eine neue Richtlinie:
- Klicken Sie im Menü Aktionen auf Neue Richtlinie erstellen.
Anwenden einer Richtlinie für Softwareeinschränkung auf Benutzer
Eine Richtlinie für Softwareeinschränkung wird über GPO angewandt, die Standorten, Domänen oder OUs zugewiesen sind. Zusätzlich können Sie Richtlinien mithilfe der GPO-Filterung nur auf bestimmte Benutzer einer Domäne anwenden.
Weitere Informationen zur GPO-Filterung finden Sie im folgenden Artikel: https://www.microsoft.com/windows2000/techinfo/howitworks/management/grouppolwp.asp (engl.)
Terminalserver
Richtlinien für Softwareeinschränkung sind ein integraler Teil der Absicherung eines Servers unter Windows Server 2003 Terminalserver. Terminalserver-Administratoren haben mit ihnen die Möglichkeit, einen Terminalserver genauestens abzusichern.
Zusätzlich zu diesem Artikel sollten Sie den englischsprachigen Artikel 278295 ("How to Lock Down a Windows 2000 Terminal Server Session") lesen.
Manchmal ist auf mehreren Terminalservern die gleiche Software installiert, und der Administrator möchte verschiedenen Benutzergruppen Zugriff auf unterschiedliche Software ermöglichen. Ein Teil der Software soll jedoch allen Benutzern zur Verfügung stehen. Ein entsprechendes Szenario - zum Beispiel in einer großen Anwaltskanzlei - könnte zum Beispiel so aussehen:
- Alle Mitarbeiter können Microsoft Office und Internet Explorer nutzen. Alle Mitarbeiter sind Mitglied in der Gruppe AllEmployees.
- Alle Mitarbeiter der Buchhaltung sollen Buchhaltungsanwendungen nutzen. Diese Mitarbeiter sind Mitglied in der Gruppe AccountingEmployees.
- Alle Anwälte können eine Recherchesoftware nutzen. Alle Anwälte sind Mitglied in der Gruppe Lawyers.
- Alle Mitarbeiter der Postabteilung können eine Anwendung zur Verwaltung der Ein- und Ausgänge nutzen. Diese Mitarbeiter sind Mitglied der Gruppe MailRoomEmployees.
- Alle Führungskräfte können jegliche Software nutzen und sind Mitglied der Gruppe Executives.
- GPOs wirken sich nicht auf Administratoren aus.
Um diese Vorgaben umzusetzen, werden fünf GPOs mit entsprechenden Richtlinien erstellt. Jedes GPO wird gefiltert, so dass es sich auf die entsprechenden Gruppen auswirkt.
Da nur die Führungskräfte auf jegliche Software zugreifen sollen (sowohl auf den Terminalservern als auch auf ihren Arbeitsstationen), nutzt der Administrator hier das Loopback-Feature von GPOs. Mit dem Loopback können GPOs auf einen Benutzer auf Basis des Computers, an dem er sich anmeldet, angewandt werden. Im Modus Ersetzen werden bei der Benutzeranmeldung die Computer-GPO-Einstellungen angewandt und die Einstellungen des Benutzer-GPOs ignoriert.
Benutzer-GPO: A1 - der Domäne zugewiesen | |
Filter: Domänencomputer haben die Berechtigung "Gruppenrichtlinien anwenden" | |
Standardsicherheitsebene | |
Nicht zugelassen | |
Pfadregeln | |
%WINDIR% | Nicht eingeschränkt |
%PROGRAMFILES%\Gemeinsame Dateien | Nicht eingeschränkt |
%PROGRAMFILES%\Internet Explorer | Nicht eingeschränkt |
%PROGRAMFILES%\Windows NT | Nicht eingeschränkt |
%PROGRAMFILES%\Microsoft Office | Nicht eingeschränkt |
Benutzer-GPO: A2 - der Domäne zugewiesen | |
Filter: Domänencomputer AccountingEmployees haben die Berechtigung "Gruppenrichtlinien anwenden" | |
Standardsicherheitsebene | |
Nicht zugelassen | |
Pfadregeln | |
%PROGRAMFILES%\Buchhaltungsanwendung | Nicht eingeschränkt |
Benutzer-GPO: A3 - der Domäne zugewiesen | |
Filter: Domänencomputer MailRoomEmployees haben die Berechtigung "Gruppenrichtlinien anwenden" | |
Standardsicherheitsebene | |
Nicht zugelassen | |
Pfadregeln | |
%PROGRAMFILES%\Postanwendung | Nicht eingeschränkt |
Benutzer-GPO: A4 - der Domäne zugewiesen | |
Filter: Domänencomputer und Lawyers haben die Berechtigung "Gruppenrichtlinien anwenden" | |
Standardsicherheitsebene | |
Nicht zugelassen | |
Pfadregeln | |
%PROGRAMFILES%\Suchanwendung | Nicht eingeschränkt |
Benutzer-GPO: A5 - der Domäne zugewiesen | |
Filter: Domänencomputer und Executives haben die Berechtigung "Gruppenrichtlinien anwenden" | |
Loopback-Verabeitung im Modus "Ersetzen" | |
Standardsicherheitsebene | |
Nicht zugelassen | |
Pfadregeln | |
%PROGRAMFILES%\Suchanwendung | Nicht eingeschränkt |
%PROGRAMFILES%\Postanwendung | Nicht eingeschränkt |
%PROGRAMFILES%\Buchhaltungsanwendung | Nicht eingeschränkt |
Zum Seitenanfang
Step-by-Step-Guide für das Design einer Richtlinie für Softwareeinschränkung
Zu berücksichtigende Elemente
Beim Design einer Richtlinie müssen Sie die folgenden Elemente in Ihre Planung mit einbeziehen:
- GPO oder lokale Sicherheitsrichtlinie
- Benutzer- oder Computerrichtlinie
- Standardsicherheitsebene
- Zusätzliche Richtlinien
- Richtlinienoptionen
- Verknüpfung des GPOs mit einem Standort, einer Domäne oder einer OU
Die einzelnen Schritte
Schritt 1. GPO oder lokale Sicherheitsrichtlinie
Soll die Richtlinie auf mehrere Computer oder Benutzer einer Domäne oder nur auf den lokalen Computer angewandt werden?
- Wenn die Richtlinie auf mehrere Computer oder Benutzer angewandt werden soll, verwenden Sie ein GPO.
- Wenn die Richtlinie nur auf den lokalen Computer angewandt werden soll, verwenden Sie die lokale Sicherheitsrichtlinie.
Schritt 2. Benutzer- oder Computerrichtlinie
Soll die Richtlinie auf jeden Computer angewandet werden (unabhängig davon, an welchem Computer sich ein Benutzer anmeldet) oder auf jeden Benutzer (unabhängig davon, welcher Benutzer sich an einem Computer anmeldet)?
- Wenn die Richtlinie auf eine bestimmte Gruppe von Benutzern angewandt werden soll, verwenden Sie die Benutzerkonfiguration.
- Wenn die Richtlinie auf eine bestimmte Gruppe von Computern angewandt werden soll, verwenden Sie die Computerkonfiguration.
Schritt 3. Standardsicherheitsebene
Können Ihre Benutzer Software installieren, oder ist die gesamte erlaubte Software vorgegeben?
- Wenn die gesamte Software vorgegeben ist, konfigurieren Sie die Standardsicherheitsebene mit "Nicht zugelassen".
- Wenn die Benutzer selbst Software installieren, dann konfigurieren Sie die Standardsicherheitsebene mit "Nicht eingeschränkt".
Schritt 4. Zusätzliche Richtlinien
Legen Sie die erlaubten oder nicht erlaubten Anwendungen wie im vorherigen Abschnitt beschrieben fest.
Schritt 5. Richtlinienoptionen
Es gibt mehrere Richtlinienoptionen:
- Wenn Sie eine lokale Sicherheitsrichtlinie verwenden und die Richtlinie nicht auf die Administratoren angewendet werden soll, dann aktivieren Sie die Option Alle Benutzer außer den lokalen Administratoren.
- Wenn Sie möchten, dass zusätzliche DLLs überprüft werden, aktivieren Sie die Option Alle Softwaredateien.
- Fügen Sie bei Bedarf weitere Dateiendungen hinzu.
- Wenn Sie Signaturen verwenden, konfigurieren Sie die entsprechenden Optionen für vertrauenswürdige Herausgeber.
Schritt 6. Verknüpfung des GPOs mit einem Standort, einer Domäne oder einer OU
So verknüpfen Sie ein GPO mit einem Standort:
- Öffnen Sie das Snap-In Active Directory Standorte und Dienste.
- Klicken Sie mit rechts auf den Standort und auf Eigenschaften.
- Wechseln Sie zur Registerkarte Gruppenrichtlinien. Erstellen Sie ein GPO, oder weisen Sie ein vorhandenes GPO zu.
So verknüpfen Sie ein GPO mit einer Domäne oder einer OU:
- Öffnen Sie das Snap-In Active Directory Benutzer und Computer.
- Klicken Sie mit rechts auf die Domäne oder OU und auf Eigenschaften.
- Wechseln Sie zur Registerkarte Gruppenrichtlinien. Erstellen Sie ein GPO, oder weisen Sie ein vorhandenes GPO zu.
Filterung
Sie können GPOs anhand von Gruppenmitgliedschaften filtern. Auch Filter auf Basis von WMI-Abfragen sind möglich.
Testen einer Richtlinie
Wenn Sie die Richtlinie sofort testen möchten und nicht auf die nächste Aktualisierung des GPOs warten möchten, dann verwenden Sie das Programm gpupdate.exe.
Zum Seitenanfang
Step-by-Step-Guide für das Erstellen zusätzlicher Regeln
Mit den folgenden Schritten können Sie zusätzliche Regeln erstellen. Als Beispiel wird hier eine Regel für Microsoft Office XP erstellt.
Schritt 1. Erstellen einer Liste der betreffenden Anwendungen
Erstellen Sie eine vollständige Liste aller Anwendungen - Office XP setzt sich zum Beispiel aus Microsoft Word, Excel, PowerPoint und Outlook zusammen.
Schritt 2. Festlegen des Regeltyps
In diesem Beispiel verwenden wir Pfadregeln.
Schritt 3. Stellen Sie fest, wo die Software installiert ist
Es gibt drei einfache Möglichkeiten, um festzustellen, wo eine Software installiert ist.
- Überprüfen Sie die Eigenschaften der entsprechenden Verknüpfung.
- Suchen Sie mit msinfo32.exe. Klicken Sie in msinfo32 auf Softwareumgebung und auf Tasks.
- Verwenden Sie den folgenden Befehl: wmic.exe prozess get "ExecutablePath, ProcessID".
In unserem Beispiel gehen wir davon aus, dass wir folgende Pfade ermittelt haben:
- "C:\Programme\Microsoft Office\Office10\WINWORD.EXE"
- "C:\Programme\Microsoft Office\Office10\EXCEL.EXE"
- "C:\Programme\Microsoft Office\Office10\POWERPNT.EXE"
- "C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE"
Schritt 4. Identifikation möglicher abhängiger Programme
Einige Programme starten für bestimmte Aufgaben weitere Programme. Microsoft Word startet für die Bearbeitung von Cliparts zum Beispiel Microsoft Clip Organizer. Dieser nutzt die folgenden Programme:
- C:\Programme\Microsoft Office\Office10\MSTORDB.EXE
- C:\Programme\Microsoft Office\Office10\MSTORE.EXE
Microsoft Office verwendet außerdem den Ordner C:\Programme\Gemeinsame Dateien.
Schritt 5. Zusammenfassen von Regeln
In diesem Schritt sollten Sie versuchen, zusammengehörige Regeln zusammenzufassen und eine allgemeinere Regel zu erstellen. Hierzu können Sie zum Beispiel Umgebungsvariablen, Wildcards oder Registrierungs-Pfadregeln verwenden.
In unserem Beispiel sind alle Programme im Ordner C:\Programme\Microsoft Office\Office10 installiert - es reicht also, eine Pfadregel für diesen Ordner zu erstellen. Wenn Office immer im Ordner Programme installiert wird, sollten Sie außerdem eine Umgebungsvariable statt des Ordnernamens verwenden.
- %ProgramFiles%\Microsoft Office\Office10
- %ProgramFiles%\Gemeinsame Dateien
Schritt 6. Haben Sie möglicherweise zu viel zugelassen?
In diesem Schritt überprüfen Sie, was Sie durch Ihre Regeln möglicherweise noch zugelassen haben. Mit zu allgemeinen Regeln lassen Sie möglicherweise Programme zu, die nicht erwünscht sind. Der Ordner Office10 enthält zum Beispiel auch die folgenden Programme:
- FINDER.EXE
- OSA.EXE
- MCDLC.EXE
- WAVTOASF.EXE
Da diese Programme in unserem Beispiel jedoch nicht eingeschränkt werden müssen, ist keine weitere Aktion mehr notwendig.
Zum Seitenanfang
Häufig übersehene Regeln
Bei Design von Richtlinien sollten Sie auf die folgenden Bereiche achten.
Login-Skripte
Login-Skripte werden auf einem zentralen Server gespeichert. Oftmals ändert sich der Server bei jeder Anmeldung. Wenn Ihre Standardregel mit "Nicht zugelassen" konfiguriert ist, stellen Sie sicher, dass ihre Login-Skripte nicht betroffen sind.
Sytemdateischutz
Der Systemdateischutz erstellt im Ordner dllcache Sicherungen von vielen Systemprogrammen. Wenn der Benutzer den Ordner kennt, kann er die dort gesicherten Programme starten. Wenn Sie dies explizit nicht zulassen möchten, erstellen Sie die folgende Regel**:%WINDIR%\system32\dllcache, Nicht zugelassen**
Autostart
Windows verfügt über mehrere Möglichkeiten, über die Programme beim Systemstart automatisch gestartet werden können. Wenn Sie diese Programme nicht berücksichtigen, erhalten die Benutzer möglicherweise beim Systemstart Fehlermeldungen.
Einige der Autostart-Möglichkeiten sind:
- %USERPROFILE%\Startmenü\Programme\Autostart
- %ALLUSERSPROFILE%\Startmenü\Programme\Autostart
- Win.ini, System.ini (Zeilen die mit "run=" und "load=" beginnen)
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Virenscanner
Die meisten Virenscanner verwenden ein Programm, das in Echtzeit nach Viren sucht. Dieses wird beim Anmelden des Benutzers gestartet. Denken Sie daran, diese Programme zu berücksichtigen.
Zum Seitenanfang
Szenarien
Dieser Abschnitt beschäftigt sich mit einigen typischen Problemen und deren Lösungen in Bezug auf Richtlinien für Softwareeinschränkung.
Blockieren von schädlichen Skripten
Der LoveLetter-Virus, technisch gesehen ein Wurm, hat Schäden von ca. sechs bis zehn Milliarden Dollar verursacht. Er existiert inzwischen in mehr als 80 Varianten und tritt auch weiterhin auf. Er ist in Visual Basic Script (VBS) geschrieben, und der Dateiname lautet LOVE-LETTER-FOR-YOU.TXT.VBS. Eine entsprechende Richtlinie für Softwareeinschränkung kann zum Beispiel einfach Dateien mit der Endung .vbs verbieten.
In vielen Organisationen werden VBS-Dateien jedoch zur Systemverwaltung und für Login-Skripte verwendet. Sie können also nicht pauschal verboten werden. Mit einer Zertifikatsregel können Sie dieses Problem umgehen:
Tabelle 4: Regeln für schädliche Skripte | |
Standardsicherheitsebene: Nicht eingeschränkt | |
Pfadregeln | |
*.VBS | Nicht zugelassen |
*.VBE | Nicht zugelassen |
*.JS | Nicht zugelassen |
*.JSE | Nicht zugelassen |
*.WSF | Nicht zugelassen |
*.WSH | Nicht zugelassen |
Zertifikatsregeln | |
Zertifikat der IT-Abteilung | Nicht eingeschränkt |
Diese Richtlinien verbieten sämtliche Skripte bis auf die, die mit einem Zertifikat der IT-Abteilung signiert wurden.
Softwareinstallation
Sie können Ihre Computer so konfigurieren, dass nur freigegebene Software installiert werden kann. In Bezug auf Software, die über den Windows Installer installiert wird, können Sie dies über eine Richtlinie umsetzen:
Tabelle 5: Regeln für die Softwareinstallation | |
Standardsicherheitsebene: Nicht eingeschränkt | |
Pfadregeln | |
*.MSI | Nicht zugelassen |
\\products\install\PROPLUS.MSI | Nicht eingeschränkt |
Zertifikatsregeln | |
Zertifikat der IT-Abteilung | Nicht eingeschränkt |
Mit dieser Richtlinie verhindern Sie die Installation von Software über den Windows Installer bis auf das von der IT-Abteilung signierte Softwarepaket OWC10.MSI im Ordner \\products\install.
Besonders gesicherte Computer
In einigen Fällen möchte der Administrator möglicherweise sämtliche auf dem Computer ausgeführte Software festlegen. In solchen Fällen sollten die Benutzer keine Möglichkeit haben, Systemdateien zu ändern oder Dateien in Ordner zu kopieren. Denn wenn der Benutzer eine Datei irgendwo hin kopieren kann, dann kann er diese auch starten.
Solange die Benutzer keine Administratoren sind, schützt die Richtlinie aus Tabelle 6 vor versehentlichem Ausführen von schädlichem Programmcode.
Tabelle 6: Computer, auf denen sämtliche Software vorher festgelegt wurde | |
Standardsicherheitsebene: Nicht zugelassen | |
Wenden Sie die Richtlinie für Softwareeinschränkung auf die folgenden Benutzer an | |
Alle Benutzer außer den Administratoren | |
Pfadregeln | |
%WINDIR% | Nicht eingeschränkt |
%PROGRAMFILES% | Nicht eingeschränkt |
Mit dieser Richtlinie ist nur die Software zugelassen, die im Windows-Verzeichnis oder im Ordner Programme und in den entsprechenden Unterordnern installiert ist.
Wenn der Benutzer eine Email mit einem Virus erhält (zum Beispiel WORM.vbs) und den Virus ausführt, dann kopiert das Email-Programm diesen Dateianhang in das Benutzerprofil, bevor er ausgeführt wird (%USERPROFILE%). Da es sich bei diesem Ordner nicht um einen Unterordner des Windows-Verzeichnisses handelt, lässt die Richtlinie dies jedoch nicht zu.
Wenn nicht alle Programme in den Ordnern %WINDIR% oder %PROGRAMFILES% installiert sind oder es in diesen Ordnern Programme gibt, die nicht ausgeführt werden sollen, dann können Sie zusätzliche Ausnahmen festlegen.
Tabelle 7: Ausnahmen für Computer, auf denen sämtliche Software vorher festgelegt wurde | |
Pfadregeln | |
%WINDIR%\regedit.exe | Nicht zugelassen |
%WINDIR%\system32\cmd.exe | Nicht zugelassen |
\\CORP_DC_??\scripts | Nicht eingeschränkt |
%HKEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates \InoculateIT\6.0\Path\HOME% | Nicht eingeschränkt |
Diese Richtlinien wirken sich folgendermaßen aus:
- Eingabeaufforderung (cmd.exe) und Registrierungseditur (regedit.exe) werden nicht zugelassen.
- Login-Skripte werden zugelasen.
- Mit "?" als Wildcard gilt die Regel für \\CORP_DC_01, \\CORP_DC_02 und weitere entsprechende Server.
- Eine Registrierungs-Pfadregel lässt den Virenscanner zu.
Verschiedene Richtlinien für unterschiedliche Benutzer
In diesem Szenario werden Computer von unterschiedlichen Benutzern gemeinsam verwendet. Einigen Benutzern soll der Zugriff auf bestimmte Software ermöglicht werden, anderen nicht. Bestimmte Software soll allen Benutzern zur Verfügung stehen.
Beispiel
Es gibt im Labor einer Universität 15 Computer mit identischer Software (Microsoft Office, eine CAD-Software und Microsoft Visual C++). Sie möchten aus lizenztechnischen Gründen Folgendes umsetzen:
- Alle Studenten sollten Microsoft Office nutzen können. Alle Studenten sind Mitglied der Gruppe AllStudents.
- Alle Maschinenbaustudenten sollten die CAD-Software nutzen können. Sie sind Mitglied der Gruppe EngStudents.
- Alle Informatikstudenten sollen Microsoft Visual C++ nutzen können und sind Mitglied der Gruppe CSStudents.
Sie erstellen drei GPOs mit entsprechenden Richtlinien. Die GPOs filtern Sie so, dass Sie nur auf die Benutzer der entsprechenden Gruppe angewandt werden.
Die Richtlinien sollen nur auf die Computer im Labor angewandt werden - nicht auf die eigenen Arbeitsstationen der Studenten. Daher nutzen wir das Loopback-Feature. Weitere Informationen zur Loopback-Verarbeitung finden Sie unter https://www.microsoft.com/windows2000/techinfo/howitworks/management/grouppolwp.asp (engl.)
Tabelle 8: A1 - mit Labor verknüpft | |
Benutzer-GPO: A1 - mit Labor verknüpft | |
Filter: Domänencomputer | |
Standardsicherheitsebene | |
Nicht zugelassen | |
Pfadregeln | |
%WINDIR% | Nicht eingeschränkt |
%PROGRAMFILES%\Gemeinsame Dateien | Nicht eingeschränkt |
%PROGRAMFILES%\Messenger | Nicht eingeschränkt |
%PROGRAMFILES%\Internet Explorer | Nicht eingeschränkt |
%PROGRAMFILES%\Windows Media Player | Nicht eingeschränkt |
%PROGRAMFILES%\Windows NT | Nicht eingeschränkt |
Abbildung 8: Domänestruktur
Tabelle 9 A2 - mit Labor verknüpft | |
Benutzer-GPO: A2 - mit Labor verknüpft | |
Filter: Domänencomputer und CSStudents | |
Loopbackverarbeitung im Modus "Ersetzen" | |
Standardsicherheitsebene | Nicht zugelassen |
Pfadregeln | |
%PROGRAMFILES%\Microsoft Visual Studio | Nicht eingeschränkt |
Tabelle 10 A3 - mit Labor verknüpft | |
Benutzer-GPO: A3 - mit Labor verknüpft | |
Filter: Domänencomputer und EngStudents | |
Loopbackverarbeitung im Modus "Ersetzen" | |
Standardsicherheitsebene | Nicht zugelassen |
Pfadregeln | |
%PROGRAMFILES%\CAD Application | Nicht eingeschränkt |
Zum Seitenanfang
Überlegungen zur Bereitstellung
Best Practices
Zu den Best Practices in Bezug auf die Bereitstellung von Richtlinien für Softwareeinschränkung gehören:
Erstellen Sie für Richtlinien für Softwareeinschränkung immer ein eigenes GPO. Wenn Sie ein eigenes GPO erstellen, können Sie dieses ohne Auswirkungen auf die restlichen Einstellungen deaktivieren.
Ändern Sie niemals direkt die Default Domain Policy. Wenn Sie die Default Domain Policy nicht verändern, bleibt ihnen immer die Option, sie neu anzuwenden.
Verweisen Sie nie auf eine Richtlinie für Softwareeinschränkung aus einer anderen Domäne. Das Verknüpfen von GPOs aus anderen Domänen kann zu Leistungseinbußen führen.
Testen Sie neue Richtlinien sorgfältig, bevor Sie diese auf Ihre Domäne anwenden.
- Sie können eine eigene Testdomäne einrichten.
- Sie können ein Test-GPO erstellen, es mit einer Test-OU verknüpfen und es erst nach dem Testen mit dieser OU mit den anderen OUs verknüpfen.
- Verbieten Sie keine Dateien oder Programme ohne vorher getestet zu haben, welche Auswirkungen sich hierdurch ergeben.
Verarbeitung von Gruppenrichtlinien
Bei der Arbeit mit GPOs sollten Sie die folgenden Punkte berücksichtigen:
Nutzen Sie Sicherheitsgruppen zum Filtern von GPOs. Weitere Informationen zur GPO-Filterung finden Sie unter https://www.microsoft.com/windows2000/techinfo/howitworks/management/grouppolwp.asp (engl.)
Nutzen Sie WMI zum Filtern von GPOs. Weitere Informationen zur WMI-Filterung finden Sie unter https://www.microsoft.com/windows2000/techinfo/howitworks/management/grouppolwp.asp (engl.)
Anwendungsreihenfolge von GPOs. Gruppenrichtlinien werden standardmäßig vererbt. Sie werden in der folgenden Reihenfolge angewandt:
- Lokales GPO
- Standort
- Domäne
- OU (bei verschachtelten OUs wird das GPO der obersten OU zuerst angewandt, dann das der darunter liegenden OU und so weiter)
Da Einstellungen von später angewandten GPOs die Einstellungen von vorher angewandten GPOs überschreiben, müssen Sie diese Anwendungsreihenfolge berücksichtigen.
Kein Vorrang und Vererbung blockieren. Sie können GPO-Einstellungen mit der Option "Kein Vorrang" erzwingen. Diese Einstellungen werden nicht von später angewandten GPOs überschrieben. Außerdem haben Sie die Möglichkeit, die Vererbung von Einstellungen auf weiter unten liegende GPOs zu verhindern. Weitere Informationen finden Sie unter https://www.microsoft.com/windows2000/techinfo/howitworks/management/grouppolwp.asp (engl.)
Umgebungen mit gemischten Domänen
Auch in solchen Umgebungen können Sie Richtlinien für Softwareeinschränkung nutzen. Sie müssen kein Upgrade der Windows 2000-Domänencontroller durchführen. Sie können einen Computer unter Windows XP Professional zur Bearbeitung der GPOs nutzen. Windows XP und Windows Server 2003, auf die sich die erstellten GPOs auswirken, werden die Richtlinien für Softwareeinschränkung automatisch umsetzen - Computer unter Windows 2000 werden die Richtlinien einfach ignorieren.
Zusammenführung von mehreren Richtlinien für Softwareeinschränkung
Wann immer zwei oder mehr GPOs auf einen Benutzer oder einem Computer angewandt werden, werden die Richtlinien zusammengeführt. Sollten so zwei oder mehr Richtlinien für Softwareeinschränkung auftreten, passiert Folgendes:
Das GPO mit der höchsten Priorität definiert die folgenden Werte:
- Standardsicherheitsebene
- Dateitypen
- "Alle Benutzer außer den lokalen Administratoren"
- "Alle Softwaredateien" (DLL-Überprüfung)
Die Regeln werden aus allen GPOs übernommen
Eine Richtlinie für Softwareeinschränkung kann für Benutzer oder Computer gelten. Bei Konflikten gelten die folgenden Regeln:
- Es wird die restriktivere Standardsicherheitsebene gewählt.
- Wenn vorhanden, werden die Dateitypen der Computerkonfiguration verwendet. Wenn diese nicht vorhanden sind, werden die der Benutzerkonfiguration verwendet.
- Die Option "Alle Benutzer außer den lokalen Administratoren" wird immer aus der Computerkonfiguration übernommen.
- Wenn die Option "Alle Softwaredateien" (DLL-Überprüfung) in einer der beiden Konfigurationen aktiviert ist, dann wird sie aktiviert.
- Alle Regeln werden aus beiden Konfigurationen verwendet.
Zum Seitenanfang
Fehlersuche
Standardeinstellungen für Richtlinien für Softwareeinschränkung
Die Standardeinstellungen sehen folgendermaßen aus:
Standardsicherheitsebene: Nicht eingeschränkt
Optionen
Richtlinien für Softwareeinschränkung anwenden auf: Alle Softwaredateien außer Bibliotheken (z. B. DLLs)
Richtlinien für Softwareeinschränkung auf folgende Benutzer anwenden: Alle Benutzer
Zusätzliche Regeln: Keine
Dateitypen: Siehe Tabelle 11. Standardmäßige Dateitypen finden Sie im Anhang
Vertrauenswürdige Herausgeber:
- Folgenden Benutzer erlauben, vertrauenswürdige Herausgeber auszuwählen: Endbenutzer
- Keine Überprüfung einer Sperrung
- Keine Überprüfung des Zeitstempels
Fehler
Wenn ein Programm von einer Richtlinie nicht zugelassen wird, dann wird ein Fehlercode an das betreffende Programm zurückgegeben. Wenn das Programm diesen Fehlercode verarbeitet, können Meldungen wie die folgende angezeigt werden:
"Windows kann dieses Programm nicht öffnen, da es durch eine Richtlinie für Softwareeinschränkung blockiert wird."
Abbildung 9: Fehlermeldung von Windows Explorer
Einige Programme zeigen möglicherweise nur eine Fehlermeldung für verschiedenste Fehlercodes an. Die Windows-Eingabeaufforderung gibt zum Beispiel die folgende Meldung aus, wenn ein Programm durch eine Richtlinie für Softwareeinschränkung blockiert wird:
"Das System kann das Programm nicht ausführen."
Abbildung 10: Fehlermeldung der Eingabeaufforderung
Regel-GUIDs
Jede Pfad-, Hash- oder Internetzonenregel besetzt eine GUID. Auch zwei gleiche Hashregeln besitzen verschiedene GUIDs. Viele Tools zur Protokollierung und Fehlersuche arbeiten mit diesen GUIDs.
Der Fall "Fehlender Taschenrechner"
Um Ihnen zu zeigen, wie Sie die GUID zur Fehlersuche nutzen können, verwenden wir ein Beispiel, in dem ein Benutzer versucht, ein Programm zu starten - und zwar den Windows-Taschenrechner (calc.exe). Der Benutzer erhält eine Fehlermeldung, dass dieses Programm von einer Richtlinie für Softwareeinschränkung blockiert wird. Daraufhin meldet sich der Benutzer beim Administrator. Dieser prüft das Ereignisprotokoll und findet das folgende Ereignis:
- Der Zugriff auf "C:\WINDOWS\system32\calc.exe" wurde vom Administrator durch die Richtlinienregel "{6f3c4b9b-5ecd-48d0-876c-ddcefb4cee4b}" eingeschränkt.
In dem Ereignis wird die GUID {6f3c4b9b-5ecd-48d0-876c-ddcefb4cee4b} angezeigt. Nun nutzt der Administrator das Tool gpresult.exe und erhält folgendes Ergebnis:
- GPO: DisallowedPolicy
- Setting:Software\Policies\Microsoft\Windows\Safer\ProgrammcodeIdentifiers\0\Paths\{6f3c4b9b-5ecd-48d0-876c-ddcefb4cee4b}
- State: Enabled
Er öffnet das GPO mit dem Namen DisallowedPolicy im Gruppenrichtlinieneditor. Als er die Regeln überprüft stellt er fest, dass es eine Pfadregel für calc.exe gibt. Die Beschreibung der Regel besagt, dass sie verhindern soll, dass das Programm cacls.exe ausgeführt wird (dieses Programm dient zur Bearbeitung von Zugriffskontrolllisten). Der Administrator stellt daher fest, dass es sich um einen Tippfehler handelt (calc.exe statt calcs.exe), korrigiert diesen, und so ist das Problem dann behoben.
Ereignisprotokoll
Richtlinien für Softwareeinschränkung können zu den folgenden Ereignissen führen:
Ereignisprotokoll: SystemEreignistyp: WarnungEreignisquelle: Richtlinie für SoftwareeinschränkungEreigniskategorie: NoneEreignis-ID: 865Datum: 6/6/2001Time: 2:50:29 PMBenutzer: bobComputer: EXAIR-1Beschreibung:Access to C:\Programme\Messenger\msmsgs.exe has been restricted by your Administrator by the default software restriction policy level. Ereignisprotokoll: SystemEreignistyp: WarnungEreignisquelle: Richtlinie für SoftwareeinschränkungEreigniskategorie: NoneEreignis-ID: 866Datum: 6/6/2001Time: 2:50:29 PMBenutzer: bobComputer: EXAIR-1Beschreibung: Access to C:\Programme\Messenger\msmsgs.exe has been restricted by your Administrator by location with policy rule {79d2f45e-5d93-4138-9608-dde4afc8ac64} placed on path C:\Programme\Messenger\msmsgs.exe Ereignisprotokoll: SystemEreignistyp: WarnungEreignisquelle: Richtlinie für SoftwareeinschränkungEreigniskategorie: NoneEreignis-ID: 867Datum: 6/6/2001Time: 2:50:29 PMBenutzer: bobComputer: EXAIR-1Beschreibung:Access to C:\Programme\Messenger\msmsgs.exe has been restricted by your Administrator by software publisher policy. .Ereignisprotokoll: SystemEreignistyp: WarnungEreignisquelle: Richtlinie für SoftwareeinschränkungEreigniskategorie: NoneEreignis-ID: 868Datum: 6/6/2001Time: 2:50:29 PMBenutzer: bobComputer: EXAIR-1Beschreibung:Access to C:\Programme\Messenger\msmsgs.exe has been restricted by your Administrator by policy rule {79d2f45e-5d93-4138-9608-dde4afc8ac64}.
Mit dem folgenden Befehlt können Sie alle Ereignisse in Bezug auf Richtlinien für Softwareeinschränkung abfragen.
EventQuery -l System -fi "ID ge 865" -fi "ID le 868" -v -fo list
Protokollierung
Wenn Sie Regeln erstellen oder nach Fehlern suchen, möchten Sie möglicherweise die Abarbeitung der Regeln protokollieren. Um eine solche Protokollierung zu aktivieren, gehen Sie folgendermaßen vor:
- Erstellen Sie den folgenden Registrierungsschlüssel:
KEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\ProgrammcodeIdentifiers
String: LogFileName, Pfad zu einer Protokolldatei
Aktivieren und Deaktivieren der Protokollierung über die Eingabeaufforderung
- Aktivieren:
reg.exe add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\ProgrammcodeIdentifiers" /v LogFileName /d saferlog.txt - Deaktivieren:
reg.exe delete "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\ProgrammcodeIdentifiers" /v LogFileName /f - Ein Eintrag in der Protokolldatei hat das folgende Format:
ÜbergeordneterProzess (Prozess-ID) PfadZumGestartetenProgramm as Einschränkung using Regel Typ, GUID = GUIDDerRegel - Ein Beispiel:
winlogon.exe (PID = 396) identified C:\Windows\system32\userinit.exe as Nicht eingeschränkt using Pfadregel, Guid = {f8c2c158-e1af-4695-bc93-07cbefbdc594}
Anmerkung: Wenn Sie die Protokollierung nicht mehr benötigen, sollten Sie diese deaktivieren, da sie ansonsten für eine Verschlechterung der Systemleistung sorgen kann.
Fehlersuche bei Gruppenrichtlinien
Richtlinienergebnissatz
Der Richtlinienergebnissatz kann zum Anzeigen der angewendeten Richtlinie sowie zum Vorhersagen einer anzuwendenden Richtlinie für einen Computerbenutzer verwendet werden.
So starten Sie den Richtlinienergebnissatz:
- Klicken Sie auf Start und Ausführen, und geben Sie rsop.msc ein.
gpupdate.exe
Gpupdate aktualisiert lokale und Active Directory–basierte Gruppenrichtlinieneinstellungen, einschließlich Sicherheitseinstellungen.
- /target:[computer|user] Verarbeitet nur die Computereinstellungen oder die aktuellen Benutzereinstellungen. Standardmäßig werden sowohl die Computereinstellungen als auch die Benutzereinstellungen verarbeitet.
- /force Ignoriert alle Verarbeitungsoptimierungen und wendet alle Einstellungen erneut an.
Die neuen Einstellungen der Richtlinie für Softwareeinschränkung werden jedoch nur für die Programme durchgesetzt, die nach der Aktualisierung gestartet werden.
gpresult.exe
Gpresult.exe zeigt die Gruppenrichtlinien und den Richtlinienergebnissatz (Resultant Set of Policy, RSOP) für einen Benutzer oder Computer an.
Beispiele
Hier sehen Sie die Beispielausgabe des Befehls: gpresult /scope user /v /user bob.
Microsoft® Windows® XP Operating System Group Policy Result tool v2.0Copyright® Microsoft Corp. 1981-2001Created On 8/1/2001 at 3:07:34 PMRSOP results for EXAIR-70\bob on EXAIR-7 : Logging ModeOS Type: Microsoft Windows XP ServerOS Configuration: Primary Domain ControllerOS Version: 5.1.3524Domain Name: EXAIR-70Domain Type: Windows 2000Site Name: Default-First-Site-NameRoaming Profile:Local Profile: C:\Documents and Settings\bobConnected over a slow link?: NoUser SettingsCN=bob,OU=Product Group,DC=EXAIR-7,DC=nttest,DC=microsoft,DC=com Last time Group Policy was applied: 8/1/2001 at 2:49:28 PM Group Policy was applied from: N/A Group Policy slow link threshold: 500 kbpsApplied Group Policy Objects DisallowedPolicy Software restriction policy Default Domain Policy
Anmerkung: Es werden nur die GPOs angezeigt, die bereits auf den Benutzer angewandt wurden.
The following GPOs were not applied because they were filtered out:Local Group PolicyFiltering: Not Applied (Empty)The user is a part of the following security groups: Domain Users Everyone BUILTIN\Users BUILTIN\Pre-Windows 2000 Compatible Access LOCAL NT AUTHORITY\INTERACTIVE NT AUTHORITY\Authenticated Users
Anmerkung: Die Gruppenmitgliedschaft ist in Szenarien wichtig, in denen die GPO-Filterung verwendet wird.
Resultant Set Of Policies for User:Software Installations: N/APublic Key Policies: N/AAdministrative TemplatesGPO: Software restriction policySetting:Software\Policies\Microsoft\Windows\Safer\ProgrammcodeIdentifiers\0\Paths\{593905cd-1a5b-4c56-93a6-ecf1c8a78c04}State: Enabled
Anmerkung: Es werden keine Details zur Regel, sondern nur die GUID der entsprechenden Regel angezeigt.
GPO: DisallowedPolicySetting:Software\Policies\Microsoft\Windows\Safer\ProgrammcodeIdentifiers\262144\Paths\{094a935d-a2b8-48be-a50b-0fe3174e9ced}State: Enabled GPO: DisallowedPolicySetting:Software\Policies\Microsoft\Windows\Safer\ProgrammcodeIdentifiers\262144\Paths\{bba39f11-e1a9-406a-8296-3b2cbcb1f144}State: Enabled GPO: Software restriction policySetting: Software\Policies\Microsoft\Windows\Safer\ProgrammcodeIdentifiers\0\Paths\{c0193a34-594d-452b-b3e6-edc0d593f345}State: Enabled GPO: DisallowedPolicy Setting: Software\Policies\Microsoft\Windows\Safer\ProgrammcodeIdentifiers State: Enabled GPO: Software restriction policySetting: Software\Policies\Microsoft\Windows\Safer\ProgrammcodeIdentifiers\0\Paths\{a5c5639e-4ee7-4882-aa80-560bbecaca22}State: Enabled GPO: Software restriction policySetting: Software\Policies\Microsoft\Windows\Safer\ProgrammcodeIdentifiers\0\Paths\{f63296b7-4b0a-4318-ae8d-5d070b44b4ec}State: Enabled GPO: DisallowedPolicy Setting: Software\Policies\Microsoft\Windows\Safer\ProgrammcodeIdentifiers State: Enabled GPO: Software restriction policySetting: Software\Policies\Microsoft\Windows\Safer\ProgrammcodeIdentifiers\0\Paths\{8e85c506-2964-4745-8f4e-3c2efe02f509}State: Enabled GPO: Software restriction policySetting: Software\Policies\Microsoft\Windows\Safer\ProgrammcodeIdentifiers\0\Paths\{739c2db8-8ef5-4b2d-b210-d84d7b697603}State: EnabledFolder Redirection: N/AInternet Explorer Browser User Interface: N/AInternet Explorer Connection: N/AInternet Explorer URLs: N/AInternet Explorer Security: N/AInternet Explorer Programs: N/A
Wiederherstellung
Wenn Sie Windows im abgesicherten Modus starten und sich als lokaler Administrator anmelden, dann werden keine Richtlinien für Softwareeinschränkung angewandt.
Zum Seitenanfang
Anhang
Hier finden Sie eine Liste mit Dateiendungen, Registrierungsformaten und einen Guide zur digitalen Signierung mit Testzertifikaten.
Tabelle 11: Standardmäßige Dateiendungen | |
Endung | Beschreibung |
. ADE | Microsoft Access Project Extension |
. ADP | Microsoft Access Project |
. BAS | Visual Basic-Klassenmodul |
. BAT | Batchdatei |
. CHM | HTML-Hilfedatei |
. CMD | Windows NT-Skript |
. COM | MS-DOS-Anwendung |
. CPL | Systemsteuerung |
. CRT | Sicherheitszertifikat |
. EXE | Anwendung |
. HLP | Windows-Hilfedatei |
. HTA | HTML-Anwendungen |
. INF | Setup Information File |
. INS | Internet Communication Settings |
. ISP | Internet Communication Settings |
. JS | JScript |
. JSE | JScript EnProgrammcoded Script |
. LNK | Verknüpfung |
. MDB | Microsoft Access |
. MDE | Microsoft Access MDE-Datenbank |
. MSC | Microsoft Common Console-Dokument |
. MSI | Windows Installer-Paket |
. MSP | Windows Installer-Patch |
. MST | Visual Test-Datei |
. PCD | Photo CD Image |
. PIF | Verknüpfung mit einem MS-DOS-Programm |
. REG | Registrierungseintrag |
. SCR | Bildschirmschoner |
. SCT | Windows Script-Komponente |
. SHS | Shell Scrap-Objekt |
. URL | Uniform Resource Locator |
. VB | VBScript-Datei |
. VBE | VBScript EnProgrammcoded Script File |
. VBS | VBScript-Datei |
. WSC | Windows Script Component |
. WSF | Windows Script-Datei |
. WSH | Windows Scripting Host-Datei |
Registrierungsformat
Nachdem eine Richtlinie angewandt wurde, wird die Konfiguration der Richtlinie für Softwareeinschränkung in der Registrierung gespeichert. Eine SACL (Security Access Control List) schützt die Registrierungseinträge. Nur Administratoren und das Konto SYSTEM haben einen Schreibzugriff auf solche Einträge.
Benutzerkonfiguration
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\
Computerkonfiguration
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\
Das Registrierungsformat
[HKCU oder HKLM]\SOFTWARE\Policies\Microsoft\Windows\Safer
ProgrammcodeIdentifiers
DefaultLevel, DWORD (40000 für "Nicht eingeschränkt" und 0 für "Nicht zugelassen")
ExecutableTypes, REG_MULTI_SZ (Liste mit den Dateierweiterungen)
TransparentEnabled, DWORD, (0 kein Erzwingen, 1 keine DLLs, 2 alle Dateien)
PolicyScope, DWORD, (0 alle Benutzer, 1 keine Administrators) nur HKLM
[Optionale Registrierungseinstellunge - müssen manuell erstellt werden]
AuthentiProgrammcodeEnabled, DWORD, (1 Zertifikatsregel auf EXE-Dateien anwenden) nur HKLM
LogFileName, REG_SZ (Pfad zur Protokolldatei) nur HKLM
0
Anmerkung: Unter diesem Eintrag finden Sie nicht zugelassene Regeln
Hashes
{0140090a-6e4d-4dc3-b1fa-27563cc91fda}
Description, REG_SZ (Beschreibung)
FriendlyName, REG_SZ (Dateiversion)
ItemData, REG_BINARY, (Hashwert)
ItemSize, QWORD, (Dateigröße)
HashAlg, DWORD, (32771 ist MD5, 32772 ist SHA1)
LastModified, QWORD, (Zeitstempel)
SaferFlags, DWORD, (nicht genutzt)
Path
{5c03dc31-e128-426e-bad6-9223ee92d0b8}
Description, REG_SZ (Beschreibung)
ItemData, REG_SZ (Pfad)
oder
ItemData, REG_EXPAND_SZ
Anmerkung: REG_EXPAND_SZ wird bei Pfadregeln mit Umgebungsvariablen und Registrierungs-Pfadregeln verwendet
LastModified, QWORD, (Zeitstempel)
SaferFlags, DWORD, (nicht verwendet)
UrlZones
{dda3f824-d8cb-441b-834d-be2efd2c1a33}
ItemData, DWORD (Zone)
LastModified, QWORD, (Zeitstempel)
SaferFlags, DWORD, (nicht verwendet)
262144
Anmerkung: Hier finden Sie die nicht eingeschränkten Regeln
Hashes
{0140090a-6e4d-4dc3-b1fa-27563cc91fda}
Paths
{302fe78d-0b85-484a-b16f-0ae6262b7969}
Zertifikatsregeln
Zertifikatsregeln werden in einem separaten Teil der Registrierung gespeichert.
Benutzerkonfiguration:
- HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\SystemCertificates
Computerkonfiguration:
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates
[HKCU oder HKLM]\SOFTWARE\Policies\Microsoft\Windows\SystemCertificates
TrustedPublishers
Anmerkung: Hier finden Sie die nicht eingeschränkten Regeln
Certificates
D4C408A1F8EF6B49F837C54E5F697DC11EEB3F53
Anmerkung: Hash des Zertifikates
Blob, REG_BINARY (Binärwert des Zertifikates)
Disallowed
Anmerkung: Unter diesem Eintrag finden Sie nicht zugelassene Regeln
Certificates
C9902A94036312086FFAD974760D96CA93284555
Anmerkung: Hash des Zertifikates
Blob, REG_BINARY (Binärwert des Zertifikates)
Standardeinstellungen
[HKCU oder HKLM]\SOFTWARE\Policies\Microsoft\Windows\Safer
ProgrammcodeIdentifiers
DefaultLevel, DWORD (40000)
ExecutableTypes, REG_MULTI_SZ (WSC,VB,URL,SHS, SCR, REG,PIF,PCD, OCX, MST,MSP, MSI, MSC, MDE,MDB,LNK, ISP,INS,INF,HTA,HLP,EXE, CRT, CPL,COM,CMD,CHM, BAT,BAS,ADP,ADE)
TransparentEnabled, DWORD, (1 keine DLLs)
PolicyScope, DWORD, (0)
0
Path
{dda3f824-d8cb-441b-834d-be2efd2c1a33}
Description, REG_SZ
ItemData, REG_EXPAND_SZ
%HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache%OLK*
LastModified, QWORD, (Zeitstempel)
SaferFlags, DWORD, (0)
Step-by-Step-Guide zur Erstellung von signierten Dateien mit Testzertifikaten
Schritt 1: Herunterladen der Tools
Laden Sie sich das Tool AuthentiProgrammcode für Internet Explorer 5.0 herunter. Mit diesem Tool können Sie Dateien signieren. https://msdn.microsoft.com/downloads/default.aspx
Schritt 2: Erstellen eines Zertifikates zur Signierung von Programmcode
Es gibt drei mögliche Wege:
Über eine kommerzielle Zertifizierungsstelle wie zum Beispiel VeriSign. Diese Variante sollten Sie nutzen, wenn Ihre Zertifikate auch außerhalb Ihrer Organisation gültig sein sollen.
Einrichten einer Windows 2000- oder Windows Server 2003-Zertifizierungssstelle. Diese Variante können Sie nutzen, wenn Ihre Zertifikate nur innerhalb Ihrer Organisation gültig sein sollen.
Erstellen eines selbst signierten Zertifikates zu Testzwecken. Führen Sie die folgenden zwei Befehle aus:
- makecert.exe -n "cn=TEST CERTIFICATE (FOR TEST PURPOSES ONLY!)" -ss my -eku 1.3.6.1.5.5.7.3.3
- Setreg.exe 1 true
Mit setreg.exe weisen Sie den Computer an, der Zertifizierungsstelle, die Ihr Testzertifikat ausgestellt hat, zu vertrauen.
Schritt 3: Signieren der Datei
Erstellen Sie eine einfache VBS-Datei mit dem Namen hello.vbs und dem Inhalt:
- msgbox "hello world"
Signieren Sie die Datei mit dem folgenden Befehl:
- signProgrammcode.exe -cn "TEST CERTIFICATE (FOR TEST PURPOSES ONLY!)" -t http://timestamp.verisign.com/scripts/timstamp.dll hello.vbs
Wenn der Befehl erfolgreich war, erhalten Sie die Meldung "Succeeded". Im Skript finden Sie nun eine digitale Signatur:
Abbildung 11: Visual Basic Script mit digitaler Signatur
Mit dem folgenden Befehl können Sie überprüfen, ob die Signatur korrekt ist:
- chktrust.exe hello.vbs
Sie erhalten die folgende Ausgabe:
Abbildung 15: Überprüfen einer signierten Datei
Schritt 4: Erstellen von Zertifikats- und Pfadregeln
Erstellen Sie mit secpol.msc zwei Regeln:
- Neue Pfadregel: "*.VBS" und Sicherheitsebene "Nicht zugelassen"
- Neue Zertifikatsregel: Mit dem Testzertifikat und Sicherheitsebene "Nicht eingeschränkt"
Mit dem folgenden Befehl exportieren Sie das Zertifikat in eine Datei. Diese Datei benötigen Sie bei der Erstellung der Zertifikatsregel:
- Certmgr.exe -put -c -v -n "TEST CERTIFICATE (FOR TEST PURPOSES ONLY!)" -s my mytestcert.cer
Mit diesen zwei Regeln werden alle VBS-Dateien blockiert - bis auf die mit dem Zertifikat signierten.
Schritt 5: Neu anmelden und die Richtlinien testen
- Melden Sie sich ab und wieder an.
- Starten Sie hello.vbs - Sie sollten das kleine Nachrichtenfenster sehen. Das Skript wird also korrekt ausgeführt.
- Ändern Sie hello.vbs mit dem Editor. Speichern Sie das Skript.
- Starten Sie das Skript erneut. Das Skript sollte nun nicht mehr ausgeführt werden, da die digitale Signatur nicht mehr mit dem Skript übereinstimmt.
Zum Seitenanfang
Zusammenfassung
Richtlinien für Softwareeinschränkung ermöglichen es Administratoren, die auf einem Computer ausführbare Software genau zu kontrollieren. Die Richtlinien können schädliche Skripte blockieren, einen Computer besser absichern oder dafür sorgen, dass keine unerwünschten Anwendungen gestartet werden.
Zum Seitenanfang
Zusätzliche Informationen
Unter den folgenden Quellen finden Sie weitere Informationen:
- Technische Übersicht zu den Windows Server 2003-Sicherheitsdiensten (engl.)
- Technische Übersicht zu Terminaldienste (engl.)
- Windows 2000-Gruppenrichtinien (engl.)
- Neuigkeiten im Bezug auf die Sicherheit unter Windows XP Professional und Windows XP Home Edition (engl.)
- Windows XP und .NET: Ein Überblick (engl.)
- Verbesserte PKI unter Windows XP Professional und Windows Server 2003 (engl.)
- Das verschlüsselnde Dateisystem unter Windows XP und Windows Server 2003 (engl.)
- Absichern von mobilen Computer mit Windows XP Professional (engl.)
- AuthentiProgrammcode für Internet Explorer 5.0 (engl.)
- Windows XP-Website
- Windows Server-2003 Website
Zum Seitenanfang