Arbeiten mit Regeln der Richtlinien für die Softwareeinschränkung

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

In diesem Thema werden die Prozeduren beschrieben, die mit Zertifikat-, Pfad-, Internetzonen- und Hashregeln mithilfe von Softwareeinschränkungsrichtlinien arbeiten.

Einführung

Mit Richtlinien für Softwareeinschränkung können Sie Ihre IT-Umgebung vor nicht vertrauenswürdiger Software schützen, indem Sie festlegen, welche Software ausgeführt werden darf. Sie können die Standardsicherheitsstufe Nicht eingeschränkt oder Nicht erlaubt für ein Gruppenrichtlinienobjekt festlegen, um die Ausführung von Software entweder standardmäßig zuzulassen oder zu verhindern. Sie können Ausnahmen für diese Standardsicherheitsstufe festlegen, indem Sie Regeln für die Softwareeinschränkungsrichtlinien für bestimmte Software erstellen. Wird als Standardsicherheitsstufe beispielsweise Nicht erlaubt festgelegt, können Sie Regeln erstellen, die die Ausführung bestimmter Software zulassen. Es gibt die folgenden Arten von Regeln:

• Zertifikatregeln

  Informationen zu entsprechenden Verfahren finden Sie unter Arbeiten mit Zertifikatregeln.

• Hashregeln

  Informationen zu entsprechenden Verfahren finden Sie unter Arbeiten mit Hashregeln.

• Internetzonenregeln

  Informationen zu entsprechenden Verfahren finden Sie unter Arbeiten mit Internetzonenregeln.

• Pfadregeln

  Informationen zu entsprechenden Verfahren finden Sie unter Arbeiten mit Pfadregeln.

Informationen zu anderen Aufgaben zum Verwalten von Softwareeinschränkungsrichtlinien finden Sie unter Verwalten von Softwareeinschränkungsrichtlinien.

Arbeiten mit Zertifikatregeln

Softwareeinschränkungsrichtlinien können Software anhand ihres Signaturzertifikats identifizieren. Sie können eine Zertifikatregel erstellen, die Software identifiziert und anschließend ihre Ausführung abhängig von der Sicherheitsstufe zulässt oder verweigert. Sie können Zertifikatregeln beispielsweise verwenden, um Software aus einer vertrauenswürdigen Quelle in einer Domäne automatisch ohne Benutzeraufforderung zu vertrauen. Sie können mithilfe von Zertifikatregeln auch Dateien in nicht zulässigen Bereichen des Betriebssystems ausführen. Zertifikatregeln sind nicht standardmäßig aktiviert.

Wenn mithilfe der Gruppenrichtlinie Regeln für die Domäne erstellt werden, müssen Sie über die Berechtigung zum Erstellen und Ändern von Gruppenrichtlinienobjekten verfügen. Beim Erstellen von Regeln für den lokalen Computer benötigen Sie Administratorrechte für diesen Computer.

So erstellen Sie eine Zertifikatregel

1. Öffnen Sie %%amp;quot;Richtlinien für Softwareeinschränkung%%amp;quot;.

2. Klicken Sie entweder in der Konsolenstruktur oder im Detailbereich mit der rechten Maustaste auf Zusätzliche Regeln und anschließend auf Neue Zertifikatregel.

3. Klicken Sie auf Durchsuchen, und wählen Sie ein Zertifikat oder eine signierte Datei aus.

4. Klicken Sie unter Sicherheitsstufe entweder auf Nicht erlaubt oder Nicht eingeschränkt.

5. Geben Sie unter Beschreibung eine Beschreibung für die Regel ein, und klicken Sie anschließend auf OK.

Hinweis

• Möglicherweise muss eine neue Softwareeinschränkungsrichtlinien-Einstellung für das Gruppenrichtlinienobjekt erstellt werden, sofern noch nicht geschehen.
• Zertifikatregeln sind nicht standardmäßig aktiviert.
• Zertifikatregeln wirken sich nur auf die Dateitypen aus, die im Detailbereich von %%amp;quot;Richtlinien für Softwareeinschränkung%%amp;quot; unter Designierte Dateitypen aufgeführt sind. Dort finden Sie eine Liste der designierten Dateitypen, die für alle Regeln gilt.
• Damit Softwareeinschränkungsrichtlinien wirksam werden, müssen Benutzer die Richtlinieneinstellungen aktualisieren, indem sie sich von ihren Computern abmelden und anschließend erneut anmelden.
• Wenn für die Richtlinieneinstellungen mehrere Regeln für Softwareeinschränkungsrichtlinien gelten, werden Konflikte gemäß einer bestimmten Regelrangfolge behandelt.

Aktivieren von Zertifikatregeln

Abhängig von Ihrer Umgebung stehen verschiedene Vorgehensweisen zum Aktivieren von Zertifikatregeln zur Verfügung:

• Für den lokalen Computer

• Für ein Gruppenrichtlinienobjekt, und Sie befinden sich auf einem Server, der einer Domäne beigetreten ist

• Für ein Gruppenrichtlinienobjekt, und Sie befinden sich auf einem Domänencontroller oder auf einer Arbeitsstation, auf der die Remoteserver-Verwaltungstools installiert sind

• Nur für Domänencontroller, und Sie befinden sich auf einem Domänencontroller oder auf einer Workstation, auf der die Remoteserver-Verwaltungstool-Paket installiert ist

So aktivieren Sie Zertifikatsregeln für den lokalen Computer

1. Öffnen Sie %%amp;quot;Lokale Sicherheitseinstellungen%%amp;quot;.

2. Klicken Sie in der Konsolenstruktur unter „Sicherheitseinstellungen/Lokale Richtlinien“ auf Sicherheitsoptionen.

3. Doppelklicken Sie im Detailbereich auf Systemeinstellungen: Zertifikatsregeln zur Durchsetzung von Softwareeinschränkungsrichtlinien auf Windows-Programme anwenden.

4. Führen Sie eine der folgenden Aktionen aus, und klicken Sie dann auf OK:

   • Klicken Sie zum Aktivieren von Zertifikatregeln auf Aktiviert.

   • Klicken Sie zum Deaktivieren von Zertifikatregeln auf Deaktiviert.

Um Zertifikatregeln für ein Gruppenrichtlinienobjekt zu aktivieren, und Sie befinden sich auf einem Server, der einer Domäne beigetreten ist

1. Öffnen Sie die Microsoft Management Console (MMC).

2. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen, und klicken Sie dann auf Hinzufügen.

3. Klicken Sie auf Lokaler Gruppenrichtlinienobjekt-Editor und anschließend auf Hinzufügen.

4. Klicken Sie unter Gruppenrichtlinienobjekt auswählen auf Durchsuchen.

5. Wählen Sie unter Gruppenrichtlinienobjekt suchen ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) in der entsprechenden Domäne, dem Standort oder der Organisationseinheit aus (oder erstellen Sie eine neue), und klicken Sie dann auf Fertig stellen.

6. Klicken Sie auf Schließen und dann auf OK.

7. Klicken Sie in der Konsolenstruktur auf Sicherheitsoptionen unter Gruppenrichtlinienobjekt [Computername]/Richtlinie/Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/.

8. Doppelklicken Sie im Detailbereich auf Systemeinstellungen: Zertifikatsregeln zur Durchsetzung von Softwareeinschränkungsrichtlinien auf Windows-Programme anwenden.

9. Wurde diese Richtlinieneinstellung noch nicht definiert, aktivieren Sie das Kontrollkästchen Diese Richtlinieneinstellungen definieren.

10. Führen Sie eine der folgenden Aktionen aus, und klicken Sie dann auf OK:

    • Klicken Sie zum Aktivieren von Zertifikatregeln auf Aktiviert.

    • Klicken Sie zum Deaktivieren von Zertifikatregeln auf Deaktiviert.

Um Zertifikatregeln für ein Gruppenrichtlinienobjekt zu aktivieren, und Sie befinden sich auf einem Domänencontroller oder auf einer Workstation, auf der die Remoteserver-Verwaltungstools installiert sind

1. Öffnen Sie „Active Directory-Benutzer und -Computer“.

2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf das Gruppenrichtlinienobjekt, für das Zertifikatregeln aktiviert werden sollen.

3. Klicken Sie auf Eigenschaften und dann auf die Registerkarte Gruppenrichtlinie.

4. Klicken Sie auf Bearbeiten, um das zu bearbeitende Gruppenrichtlinienobjekt zu öffnen. Sie können auch auf Neu klicken, um ein neues Gruppenrichtlinienobjekt zu erstellen, und anschließend auf Bearbeiten klicken.

5. Klicken Sie in der Konsolenstruktur auf Sicherheitsoptionen unter Gruppenrichtlinienobjekt [Computername]Richtlinie/Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien.

6. Doppelklicken Sie im Detailbereich auf Systemeinstellungen: Zertifikatsregeln zur Durchsetzung von Softwareeinschränkungsrichtlinien auf Windows-Programme anwenden.

7. Wurde diese Richtlinieneinstellung noch nicht definiert, aktivieren Sie das Kontrollkästchen Diese Richtlinieneinstellungen definieren.

8. Führen Sie eine der folgenden Aktionen aus, und klicken Sie dann auf OK:

   • Klicken Sie zum Aktivieren von Zertifikatregeln auf Aktiviert.

   • Klicken Sie zum Deaktivieren von Zertifikatregeln auf Deaktiviert.

Um Zertifikatregeln nur für Domänencontroller zu aktivieren, und Sie befinden sich auf einem Domänencontroller oder auf einer Workstation, auf der die Remoteserver-Verwaltungstools installiert sind

1. Öffnen Sie die Domänencontroller-Sicherheitseinstellungen.

2. Klicken Sie in der Konsolenstruktur auf Sicherheitsoptionen (unter Richtlinie Gruppenrichtlinienobjekt für [Computername]/Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien).

3. Doppelklicken Sie im Detailbereich auf Systemeinstellungen: Zertifikatsregeln zur Durchsetzung von Softwareeinschränkungsrichtlinien auf Windows-Programme anwenden.

4. Wurde diese Richtlinieneinstellung noch nicht definiert, aktivieren Sie das Kontrollkästchen Diese Richtlinieneinstellungen definieren.

5. Führen Sie eine der folgenden Aktionen aus, und klicken Sie dann auf OK:

   • Klicken Sie zum Aktivieren von Zertifikatregeln auf Aktiviert.

   • Klicken Sie zum Deaktivieren von Zertifikatregeln auf Deaktiviert.

Hinweis

Sie müssen dieses Verfahren ausführen, damit Zertifikatregeln wirksam werden.

Optionen für vertrauenswürdige Herausgeber festlegen

Immer mehr Softwareherausgeber und Anwendungsentwickler verwenden Softwaresignierung, um zu bestätigen, dass ihre Anwendungen aus einer vertrauenswürdigen Quelle stammen. Viele Benutzer kennen jedoch die mit den installierten Anwendungen verbundenen Signaturzertifikate nicht oder schenken diesen wenig Beachtung.

Mit den Richtlinieneinstellungen auf der Registerkarte Vertrauenswürdige Herausgeber der Richtlinie für die Validierung des Zertifikatpfads können Administratoren steuern, welche Zertifikate akzeptiert werden können, da sie von einem vertrauenswürdigen Herausgeber stammen.

So konfigurieren Sie die Richtlinieneinstellungen für vertrauenswürdige Herausgeber für einen lokalen Computer

1. Geben Sie auf dem Startbildschirmgpedit.msc ein, und drücken Sie dann die EINGABETASTE.

2. Klicken Sie in der Konsolenstruktur unter Richtlinie für %%amp;quot;Lokaler Computer%%amp;quot;\Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen auf Richtlinien öffentlicher Schlüssel.

3. Doppelklicken Sie auf Einstellungen für die Überprüfung des Zertifikatpfades, und klicken Sie dann auf die Registerkarte Vertrauenswürdige Herausgeber.

4. Aktivieren Sie das Kontrollkästchen Diese Richtlinieneinstellungen definieren, wählen Sie die gewünschten Richtlinienoptionen aus, und klicken Sie dann auf OK, um die neuen Einstellungen zu übernehmen.

So konfigurieren Sie die Richtlinieneinstellungen für vertrauenswürdige Herausgeber für eine Domäne

1. Öffnen Sie Gruppenrichtlinienverwaltung.

2. Doppelklicken Sie in der Konsolenstruktur in der Gesamtstruktur und Domäne, die das zu bearbeitende Gruppenrichtlinienobjekt Standarddomänenrichtlinie enthält, auf Gruppenrichtlinienobjekte.

3. Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt Standarddomänenrichtlinie, und klicken Sie dann auf Bearbeiten.

4. Klicken Sie in der Konsolenstruktur unter Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen auf Richtlinien öffentlicher Schlüssel.

5. Doppelklicken Sie auf Einstellungen für die Überprüfung des Zertifikatpfades, und klicken Sie dann auf die Registerkarte Vertrauenswürdige Herausgeber.

6. Aktivieren Sie das Kontrollkästchen Diese Richtlinieneinstellungen definieren, wählen Sie die gewünschten Richtlinienoptionen aus, und klicken Sie dann auf OK, um die neuen Einstellungen zu übernehmen.

So lassen Sie nur für Administratoren das Verwalten von Zertifikaten, die für Codesignaturen verwendet werden, für einen lokalen Computer zu

1. Geben Sie auf dem Startbildschirmgpedit.msc unter Programme und Dateien durchsuchen oder in Windows 8 auf dem Desktop ein, und drücken Sie dann die EINGABETASTE.

2. Doppelklicken Sie in der Konsolenstruktur unter Standarddomänenrichtlinie oder Richtlinie für "Lokaler Computer" auf Computerkonfiguration, Windows-Einstellungen und Sicherheitseinstellungen, und klicken Sie dann auf Richtlinien öffentlicher Schlüssel.

3. Doppelklicken Sie auf Einstellungen für die Überprüfung des Zertifikatpfades, und klicken Sie dann auf die Registerkarte Vertrauenswürdige Herausgeber.

4. Aktivieren Sie das Kontrollkästchen Diese Richtlinieneinstellungen definieren.

5. Klicken Sie unter Verwaltung von vertrauenswürdigen Herausgebern auf Nur Administratoren sind berechtigt, %%amp;quot;Vertrauenswürdige Herausgeber%%amp;quot; zu verwalten, und klicken Sie dann auf OK, um die neuen Einstellungen zu übernehmen.

So lassen Sie nur für Administratoren das Verwalten von Zertifikaten, die für Codesignaturen verwendet werden, für eine Domäne zu

1. Öffnen Sie Gruppenrichtlinienverwaltung.

2. Doppelklicken Sie in der Konsolenstruktur in der Gesamtstruktur und Domäne, die das zu bearbeitende Gruppenrichtlinienobjekt Standarddomänenrichtlinie enthält, auf Gruppenrichtlinienobjekte.

3. Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt Standarddomänenrichtlinie, und klicken Sie dann auf Bearbeiten.

4. Klicken Sie in der Konsolenstruktur unter Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen auf Richtlinien öffentlicher Schlüssel.

5. Doppelklicken Sie auf Einstellungen für die Überprüfung des Zertifikatpfades, und klicken Sie dann auf die Registerkarte Vertrauenswürdige Herausgeber.

6. Aktivieren Sie das Kontrollkästchen Diese Richtlinieneinstellungen definieren, implementieren Sie die gewünschten Änderungen, und klicken Sie dann auf OK, um die neuen Einstellungen zu übernehmen.

Arbeiten mit Hashregeln

Ein Hash ist eine Reihe von Bytes mit einer festen Länge, der eindeutig ein Softwareprogramm oder eine Datei angibt. Der Hash wird durch einen Hashalgorithmus berechnet. Wenn für ein Softwareprogramm eine Hashregel erstellt wird, wird von den Softwareeinschränkungsrichtlinien ein Hash des Programms berechnet. Wenn ein Benutzer versucht, ein Softwareprogramm zu öffnen, wird ein Hash des Programms mit vorhandenen Hashregeln für Softwareeinschränkungsrichtlinien verglichen. Der Hash eines Softwareprogramms ist immer gleich, unabhängig vom Speicherort des Programms auf dem Computer. Wird ein Softwareprogramm jedoch in irgendeiner Weise geändert, ändert sich auch sein Hash. Er entspricht dann nicht mehr dem Hash in der Hashregel für Softwareeinschränkungsrichtlinien.

Sie können beispielsweise eine Hashregel erstellen und als Sicherheitsstufe Nicht erlaubt festlegen, um die Ausführung einer bestimmten Datei durch Benutzer zu verhindern. Eine Datei kann umbenannt oder in einen anderen Ordner verschoben werden – der Hash bleibt derselbe. Durch Änderungen an der Datei selbst ändert sich jedoch auch der Hashwert, und die Datei kann dadurch Einschränkungen umgehen.

So erstellen Sie eine Hashregel

1. Öffnen Sie %%amp;quot;Richtlinien für Softwareeinschränkung%%amp;quot;.

2. Klicken Sie entweder in der Konsolenstruktur oder im Detailbereich mit der rechten Maustaste auf Zusätzliche Regeln und anschließend auf Neue Hashregel.

3. Klicken Sie auf Durchsuchen, um die entsprechende Datei zu finden.

   Hinweis

   In Windows XP ist es möglich, einen vorab berechneten Hash in Dateihash einzufügen. In Windows Server 2008 R2, Windows 7 und höheren Versionen ist diese Option nicht verfügbar.

4. Klicken Sie unter Sicherheitsstufe entweder auf Nicht erlaubt oder Nicht eingeschränkt.

5. Geben Sie unter Beschreibung eine Beschreibung für die Regel ein, und klicken Sie anschließend auf OK.

Hinweis

• Möglicherweise muss eine neue Softwareeinschränkungsrichtlinien-Einstellung für das Gruppenrichtlinienobjekt erstellt werden, sofern noch nicht geschehen.
• Hashregeln können für Viren oder Trojaner erstellt werden, um ihre Ausführung zu verhindern.
• Wenn andere Benutzer eine Hashregel verwenden sollen, um die Ausführung eines Virus zu verhindern, berechnen Sie den Hash des Virus mithilfe von Softwareeinschränkungsrichtlinien, und senden Sie den Hashwert anschließend per E-Mail an andere Personen. Senden Sie niemals den Virus selbst per E-Mail.
• Wurde ein Virus per E-Mail gesendet, können Sie auch eine Pfadregel erstellen, um die Ausführung der E-Mail-Anlagen zu verhindern.
• Eine umbenannte oder in einen anderen Ordner verschobene Datei ergibt denselben Hash. Änderungen an der Datei selbst führen zu einem anderen Hash.
• Hashregeln wirken sich nur auf die Dateitypen aus, die im Detailbereich von %%amp;quot;Richtlinien für Softwareeinschränkung%%amp;quot; unter Designierte Dateitypen aufgeführt sind. Dort finden Sie eine Liste der designierten Dateitypen, die für alle Regeln gilt.
• Damit Softwareeinschränkungsrichtlinien wirksam werden, müssen Benutzer die Richtlinieneinstellungen aktualisieren, indem sie sich von ihren Computern abmelden und anschließend erneut anmelden.
• Wenn für die Richtlinieneinstellungen mehrere Regeln für Softwareeinschränkungsrichtlinien gelten, werden Konflikte gemäß einer bestimmten Regelrangfolge behandelt.

Arbeiten mit Internetzonenregeln

Internetzonenregeln gelten nur für Windows Installer-Pakete. Mit einer Zonenregel kann Software aus einer durch Internet Explorer angegebenen Zone identifiziert werden. Diese Zonen sind %%amp;quot;Internet%%amp;quot;, %%amp;quot;Lokales Intranet%%amp;quot;, %%amp;quot;Eingeschränkte Sites%%amp;quot;, %%amp;quot;Vertrauenswürdige Sites%%amp;quot; und %%amp;quot;Eigener Computer%%amp;quot;. Mit einer Internetzonenregel soll verhindert werden, dass Benutzer Software herunterladen und installieren.

So erstellen Sie eine Internetzonenregel

1. Öffnen Sie %%amp;quot;Richtlinien für Softwareeinschränkung%%amp;quot;.

2. Klicken Sie entwedr in der Konsolenstruktur oder im Detailbereich mit der rechten Maustaste auf Zusätzliche Regeln und anschließend auf Neue Internetzonenregel.

3. Klicken Sie unter Internetzone auf eine Internetzone.

4. Klicken Sie unter Sicherheitsstufe entweder auf Nicht erlaubt oder auf Nicht eingeschränkt und dann auf OK.

Hinweis

• Möglicherweise muss eine neue Softwareeinschränkungsrichtlinien-Einstellung für das Gruppenrichtlinienobjekt erstellt werden, sofern noch nicht geschehen.
• Zonenregeln gelten nur für Dateien mit der Erweiterung %%amp;quot;.msi%%amp;quot;. Dabei handelt es sich um Windows Installer-Pakete.
• Damit Softwareeinschränkungsrichtlinien wirksam werden, müssen Benutzer die Richtlinieneinstellungen aktualisieren, indem sie sich von ihren Computern abmelden und anschließend erneut anmelden.
• Wenn für die Richtlinieneinstellungen mehrere Regeln für Softwareeinschränkungsrichtlinien gelten, werden Konflikte gemäß einer bestimmten Regelrangfolge behandelt.

Arbeiten mit Pfadregeln

Eine Pfadregel identifiziert Software anhand des Dateipfads. Wenn auf einem Computer beispielsweise die Standardsicherheitsstufe Nicht erlaubt festgelegt ist, können Sie jedem Benutzer dennoch unbeschränkten Zugriff auf einen bestimmten Ordner gewähren. Sie können eine Pfadregel erstellen, indem Sie den Dateipfad verwenden und als Sicherheitsstufe der Pfadregel Nicht eingeschränkt festlegen. Häufig verwendete Pfade für diesen Regeltyp: %userprofile%, %windir%, %appdata%, %programfiles%, und %temp%. Außerdem können Sie Registrierungspfadregeln erstellen, die den Registrierungsschlüssel der Software als Pfad verwenden.

Da diese Regeln anhand des Pfads angegeben werden, gilt die Pfadregel nicht mehr, wenn ein Softwareprogramm verschoben wird.

So erstellen Sie eine Pfadregel

1. Öffnen Sie %%amp;quot;Richtlinien für Softwareeinschränkung%%amp;quot;.

2. Klicken Sie entweder in der Konsolenstruktur oder im Detailbereich mit der rechten Maustaste auf Zusätzliche Regeln und anschließend auf Neue Pfadregel.

3. Geben Sie unter Pfad den Pfad ein, oder klicken Sie zum Suchen einer Datei oder eines Ordners auf Durchsuchen.

4. Klicken Sie unter Sicherheitsstufe entweder auf Nicht erlaubt oder Nicht eingeschränkt.

5. Geben Sie unter Beschreibung eine Beschreibung für die Regel ein, und klicken Sie anschließend auf OK.

Achtung

• Bei bestimmten Ordnern wie z. B. Windows-Ordnern kann sich das Festlegen der Sicherheitsstufe auf Nicht erlaubt negativ auf die Ausführung Ihres Betriebssystem auswirken. Stellen Sie sicher, dass die Ausführung einer wichtigen Komponente des Betriebssystems oder eines davon abhängigen Programms nicht verhindert wird.

Hinweis

• Möglicherweise müssen neue Softwareeinschränkungsrichtlinien für das Gruppenrichtlinienobjekt erstellt werden, sofern noch nicht geschehen.
• Wenn Sie eine Pfadregel für Software mit der Sicherheitsstufe Nicht erlaubt erstellen, können Benutzer die Software dennoch ausführen, indem sie sie an einen anderen Speicherort kopieren.
• Für Pfadregeln sind die Platzhalterzeichen %%amp;quot;*%%amp;quot; und %%amp;quot;?%%amp;quot; zulässig.
• In Pfadregeln können Umgebungsvariablen wie %%amp;quot;%programfiles%%%amp;quot; oder %%amp;quot;%systemroot%%%amp;quot; verwendet werden.
• Wenn Sie eine Pfadregel für Software erstellen möchten und nicht wissen, wo sie auf dem Computer gespeichert ist, aber den Registrierungsschlüssel besitzen, können Sie eine Registrierungspfadregel erstellen.
• Um zu verhindern, dass Benutzer E-Mail-Anlagen ausführen, können Sie eine Pfadregel für das Anlagenverzeichnis Ihres E-Mail-Programms erstellen, die die Ausführung von E-Mail-Anlagen verhindert.
• Pfadregeln wirken sich nur auf die Dateitypen aus, die im Detailbereich von %%amp;quot;Richtlinien für Softwareeinschränkung%%amp;quot; unter Designierte Dateitypen aufgeführt sind. Dort finden Sie eine Liste der designierten Dateitypen, die für alle Regeln gilt.
• Damit Softwareeinschränkungsrichtlinien wirksam werden, müssen Benutzer die Richtlinieneinstellungen aktualisieren, indem sie sich von ihren Computern abmelden und anschließend erneut anmelden.
• Wenn für die Richtlinieneinstellungen mehrere Regeln für Softwareeinschränkungsrichtlinien gelten, werden Konflikte gemäß einer bestimmten Regelrangfolge behandelt.

So erstellen Sie eine Registrierungspfaddatei

1. Geben Sie auf dem Startbildschirm „regedit“ ein.

2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf den Registrierungsschlüssel, für den eine Regel erstellt werden soll, und klicken Sie dann auf Schlüsselnamen kopieren. Notieren Sie den Wertnamen im Detailbereich.

3. Öffnen Sie %%amp;quot;Richtlinien für Softwareeinschränkung%%amp;quot;.

4. Klicken Sie entweder in der Konsolenstruktur oder im Detailbereich mit der rechten Maustaste auf Zusätzliche Regeln und anschließend auf Neue Pfadregel.

5. Fügen Sie unter Pfad den Registrierungsschlüsselnamen und anscließend den Wertnamen ein.

6. Schließen Sie den Registrierungspfad in Prozentzeichen (%) ein, z. B. %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PlatformSDK\Directories\InstallDir%.

7. Klicken Sie unter Sicherheitsstufe entweder auf Nicht erlaubt oder Nicht eingeschränkt.

8. Geben Sie unter Beschreibung eine Beschreibung für die Regel ein, und klicken Sie anschließend auf OK.