Richtlinien für die Softwareeinschränkung
Gilt für: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Dieses Thema richtet sich an IT-Spezialisten und beschreibt die Richtlinien für Software-Einschränkung (Software Restriction Policies, SRP) in Windows Server 2012 und 2016 und Windows 8. Es enthält zudem Links zu technischen Informationen zu SRP, beginnend mit SRP in Windows Server 2003.
Wichtig
Richtlinien für Softwareeinschränkung waren ab Windows 10 Build 1803 veraltet und gelten auch für Windows Server 2019 und höher. Sie sollten Windows Defender Anwendungssteuerung (Windows Defender Application Control, WDAC) oder AppLocker verwenden, um zu steuern, welche Software ausgeführt wird.
Verfahren und Tipps zur Problembehandlung finden Sie im Thema Verwalten von Richtlinien für Software-Einschränkung und Problembehandlung bei Richtlinien für Software-Einschränkung.
Richtlinien für Softwareeinschränkung: Beschreibung
Die Richtlinien für Softwareeinschränkung (Software Restriction Policies, SRP) sind ein auf der Gruppenrichtlinie basierendes Feature, das Softwareprogramme identifiziert, die auf Computern in einer Domäne ausgeführt werden, und die Fähigkeit zur Ausführung dieser Programme steuert. Richtlinien für Softwareeinschränkung sind Teil der Microsoft-Sicherheits- und Verwaltungsstrategie, die Unternehmen dabei helfen soll, die Zuverlässigkeit, Integrität und Verwaltbarkeit ihrer Computer zu verbessern.
Sie können Richtlinien für Softwareeinschränkung auch verwenden, um eine stark eingeschränkte Konfiguration für Computer zu erstellen, mit der Sie ausschließlich die Ausführung explizit ausgewiesene Anwendungen zulassen. Richtlinien für Softwareeinschränkung sind mit Microsoft Active Directory und Gruppenrichtlinien verknüpft. Sie können Richtlinien für Softwareeinschränkung auch auf eigenständigen Computern erstellen. Richtlinien für Softwareeinschränkung sind Vertrauensrichtlinien. Hierbei handelt es sich um von einem Administrator festgelegte Vorschriften, um die Ausführung von Skripts und anderem Code zu beschränken, der als nicht als absolut vertrauenswürdig erachtet wird.
Sie können diese Richtlinien über die Erweiterung %%amp;quot;Richtlinien für Softwareeinschränkung%%amp;quot; des Editors für lokale Gruppenrichtlinien oder über das Snap-In %%amp;quot;Lokale Sicherheitsrichtlinie%%amp;quot; der Microsoft Management Console (MMC) definieren.
Ausführliche Informationen zu SRP finden Sie in der technischen Übersicht zu den Richtlinien für Softwareeinschränkung.
Praktische Anwendung
Administratoren können Richtlinien für Softwareeinschränkung für die folgenden Aufgaben verwenden:
Definieren, was als vertrauenswürdiger Code gilt.
Entwerfen einer flexiblen Gruppenrichtlinie zum Regulieren von Skripts, ausführbaren Dateien und ActiveX-Steuerelementen.
Richtlinien für Softwareeinschränkung werden durch das Betriebssystem und von Anwendungen (beispielsweise Skriptanwendungen) durchgesetzt, die Richtlinien für Softwareeinschränkungen erfüllen.
Administratoren können Richtlinien für Softwareeinschränkung insbesondere für die folgenden Zwecke verwenden:
Angeben, welche Software (ausführbare Dateien) auf Clients ausgeführt werden darf.
Verhindern, dass Benutzer bestimmte Programme auf gemeinsam genutzten Computern ausführen.
Angeben, wer vertrauenswürdige Herausgeber zu Clients hinzufügen kann.
Festlegen der Reichweite der Richtlinien für Softwareeinschränkung (Angeben, ob Richtlinien alle Benutzer oder nur eine Teilmenge der Benutzer von Clients betreffen).
Verhindern, dass ausführbare Dateien auf dem lokalen Computer, in einer Organisationseinheit, am Standort oder in der Domäne ausgeführt werden. Dies wäre in adäquat, wenn Sie Richtlinien für Softwareeinschränkung nicht verwenden, um potenziellen Problemen durch böswillige Benutzer zu begegnen.
Neue und geänderte Funktionalität
Für die Richtlinien für Softwareeinschränkung gibt es keine Funktionalitätsänderungen.
Entfernte oder veraltete Funktionen
Für die Richtlinien für Softwareeinschränkung gibt es keine entferne oder veraltete Funktionalität.
Softwareanforderungen
Der Zugriff auf die Erweiterung %%amp;quot;Richtlinien für Softwareeinschränkung%%amp;quot; des Editors für lokale Gruppenrichtlinien erfolgt über die MMC.
Die folgenden Features sind erforderlich, um Richtlinien für Softwareeinschränkung auf dem lokalen Computer zu erstellen und zu pflegen:
Editor für lokale Gruppenrichtlinien
Windows Installer
Authenticode und WinVerifyTrust
Wenn Ihre Strategie eine Domänenbereitstellung dieser Richtlinien erfordert, sind außer den zuvor aufgeführten Features noch die folgenden Features erforderlich:
Active Directory Domain Services
Gruppenrichtlinie
Informationen zum Server-Manager
Die Richtlinien für Softwareeinschränkung sind eine Erweiterung des Editors für lokale Gruppenrichtlinien und werden nicht über die Option %%amp;quot;Rollen und Features hinzufügen%%amp;quot; des Server-Managers installiert.
Siehe auch
In der folgenden Tabelle finden Sie Links zu relevanten Ressourcen mit Grundlageninformationen und mit Informationen zur Verwendung von SRP.