Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Kapitel 6: Richtlinie für Softwareeinschränkungen auf Windows XP-Clients
Aktualisiert: 20.10.2005
Auf dieser Seite
Überblick
Architektur der Richtlinie für Softwareeinschränkungen
Optionen der Richtlinie für Softwareeinschränkungen
Entwerfen und Bereitstellen von Richtlinien für Softwareeinschränkungen
Zusammenfassung
Überblick
Richtlinien für Softwareeinschränkungen bieten Administratoren die Möglichkeit, Software zu identifizieren und ihre Ausführung auf dem lokalen Computer zu kontrollieren. Mit diesem Programm können Computer, auf denen Microsoft® Windows® XP Professional ausgeführt wird, vor bekannten Problemen sowie schädlichen Programmen wie z. B. Viren und Trojanern geschützt werden. Richtlinien für Softwareeinschränkungen passen sich vollständig in den Active Directory®-Verzeichnisdienst und die Gruppenrichtlinien ein. Sie können auch auf eigenständigen Computern verwendet werden.
Aufgrund der Funktionsweise der Richtlinien für Softwareeinschränkungen ist dieses Kapitel anders aufgebaut als die vorherigen Kapitel dieses Handbuchs. Die vorherigen Kapitel enthalten Empfehlungen zur Konfiguration von Gruppenrichtlinieneinstellungen. Bei Richtlinien für Softwareeinschränkungen muss ein Administrator die Anwendungen definieren, die auf den Clientcomputern in Ihrer Umgebung ausgeführt werden dürfen. Anschließend wird die Richtlinie bestimmt, die auf die Clients angewendet wird.
Wenn Sie Richtlinien für Softwareeinschränkungen implementieren, müssen Sie zunächst entscheiden, ob Sie als Standardsicherheitsstufe Nicht eingeschränkt oder Nicht erlaubt wählen möchten. Wenn die Standardsicherheitsstufe Nicht eingeschränkt ist, wird jede Software zur Ausführung zugelassen, und Sie müssen zusätzliche Regeln konfigurieren, um bestimmte Anwendungen zu blockieren. Die sicherere Ansatz ist, die Standardsicherheitsstufe auf Nicht erlaubt zu setzen. Dies bedeutet, dass keine Software zur Ausführung zugelassen wird. Anschließend werden zusätzliche Regeln konfiguriert, um bestimmte Anwendungen zuzulassen. Mithilfe der domänenbasierten Gruppenrichtlinien können Sie Richtlinien zur Softwareeinschränkung auf mehrere Computer anwenden, und mithilfe der lokalen Gruppenrichtlinie können Sie die Einschränkungen auf einzelne Computer anwenden.
Wichtig: Sie sollten alle Richtlinieneinstellungen, die in diesem Handbuch erörtert werden, sorgfältig prüfen, bevor Sie sie in Produktionssystemen bereitstellen. Dies gilt insbesondere für Einstellungen für Richtlinien zur Softwareeinschränkung. Fehler im Entwurf oder der Implementierung dieser Funktion können für die Benutzer beträchtliche Probleme verursachen.
Die Richtlinie für Softwareeinschränkungen bietet verschiedene Verfahren zur Identifizierung von Software und eine auf Richtlinien beruhende Infrastruktur zur Durchsetzung der Regeln, mit denen die Art der Ausführung der identifizierten Software festgelegt wird. Computerbenutzer müssen sich an die Richtlinien halten, die vom Administrator in ihrer Umgebung in den Richtlinien für Softwareeinschränkungen eingerichtet werden.
Richtlinien für Softwareeinschränkungen können für folgende Aufgaben verwendet werden:
Steuern der Möglichkeit, Software auf Clientcomputern in der Umgebung auszuführen
Einschränken des Benutzerzugriffs auf bestimmte Dateien auf Computern mit mehreren Benutzern
Festlegen der Personen, die Clientcomputern vertrauenswürdige Herausgeber hinzufügen dürfen
Definieren des Gültigkeitsbereichs der Richtlinien – alle Benutzer oder eine Teilmenge der Benutzer oder Clientcomputer
Verhindern der Ausführung ausführbarer Dateien auf den lokalen Computern mithilfe von Richtlinien, die auf einem Computer, einer Organisationseinheit, einer Website oder einer Domänenebene festgelegt sind
Architektur der Richtlinie für Softwareeinschränkungen
Richtlinien für Softwareeinschränkungen bieten die folgenden leistungsfähigen Funktionen:
Erzwingen von Richtlinien, das entweder auf Domänen oder lokalen Computern beruht. Administratoren erstellen die Richtlinie und definieren dann die vertrauenswürdigen und nicht vertrauenswürdigen Anwendungen. Die Richtlinie wird zur Laufzeit erzwungen, und Benutzer erhalten keine Aufforderungen, die es ihnen erlauben würden auszuwählen, ob ausführbare Dateien ausgeführt werden sollen.
Richtlinien, die nicht nur für binäre ausführbare Dateien gelten. Der Begriff der Software ist nicht eindeutig. Die Richtlinie für Softwareeinschränkungen ermöglicht die Steuerung von Microsoft Visual Basic® Scripting Edition (VBScript), JScript® und anderen Skriptsprachen. Sie ist zudem in die Windows Installer-Funktion integriert, um die Steuerung von Paketen zu ermöglichen, die auf Clientcomputern installiert werden können. Diese Funktion enthält eine API (Application Programming Interface, Anwendungsprogrammierschnittstelle), die zum Koordinieren der Richtlinienlaufzeit mit anderen Laufzeitmodulen verwendet werden kann.
Eine skalierbare Richtlinie. Da sie durch die Gruppenrichtlinie implementiert werden, können Richtlinien für Softwareeinschränkungen effektiv in Domänen implementiert und verwaltet werden, die zehntausende Computer umfassen.
Eine flexible Richtlinie. Administratoren haben die Möglichkeit, die Ausführung nicht autorisierter Skripts zu untersagen, Microsoft ActiveX®-Steuerelemente zu steuern oder Clientcomputer zu sperren.
Eine Richtlinie, die starke Kryptografie beim Identifizieren von Software verwendet. Richtlinien für Softwareeinschränkungen können Software mithilfe von Hashwerten oder digitalen Signaturen identifizieren.
Die Implementierung einer Richtlinie für Softwareeinschränkungen umfasst drei Phasen:
Der Administrator oder ein autorisierter Stellvertreter erstellt die Richtlinie mithilfe des Gruppenrichtlinien-Snap-Ins der MMC (Microsoft Management Console) für den Containerstandort, die Domäne oder Organisationseinheit in Active Directory. Microsoft empfiehlt, ein getrenntes Gruppenrichtlinienobjekt (GPO) für Richtlinien für Softwareeinschränkungen zu erstellen.
Hinweis: Zum Erstellen einer neuen Richtlinie für Softwareeinschränkungen für einen lokalen eigenständigen Computer müssen Sie Mitglied der Gruppe Administratoren auf dem lokalen Computer sein. Um diese Richtlinieneinstellungen zu konfigurieren, klicken Sie auf Windows-Einstellungen, auf Sicherheitseinstellungen und dann auf Richtlinie für Softwareeinschränkungen.
Die Richtlinie auf Computerebene wird heruntergeladen und tritt in Kraft, sobald Sie den Computer starten. Benutzerrichtlinien werden bei der Anmeldung des Benutzers am System oder an der Domäne wirksam. Führen Sie den Befehl gpupdate.exe /force aus, um die Richtlinie zu aktualisieren.
Wenn ein Benutzer eine ausführbare Datei wie z. B. eine Anwendung oder ein Skript startet, wird durch die Richtlinie bestimmt, ob die Ausführung entsprechend den Vorrangsregeln zulässig ist.
Einstellungen für nicht eingeschränkte oder nicht erlaubte Ausführung
Eine Richtlinie für Softwareeinschränkungen besteht aus zwei Teilen:
Einer Standardregel für die Programme, die ausgeführt werden dürfen
Einer Liste der Ausnahmen von dieser Standardregel
Sie können die Standardregel für die Identifizierung von Software auf Nicht eingeschränkt (d. h. wird ausgeführt) oder Nicht erlaubt (d. h. wird nicht ausgeführt) setzen.
Wenn die Standardregel auf Nicht eingeschränkt gesetzt wird, kann ein Administrator Ausnahmen definieren, d. h. eine Gruppe von Programmen, die nicht ausgeführt werden dürfen. Verwenden Sie die Standardeinstellung Nicht eingeschränkt in einer Umgebung mit weniger streng verwalteten Clientcomputern. Beispielsweise können Sie Benutzer daran hindern, ein Programm zu installieren, das zu Konflikten mit vorhandenen Programmen führt, indem Sie eine Blockierungsregel erstellen.
Eine höhere Sicherheit erreichen Sie, wenn Sie die Standardregel auf Nicht erlaubt setzen und dann nur die Ausführung einer bestimmten Gruppe von Programmen zulassen. Bei Nicht erlaubt als Standardeinstellung muss der Administrator alle Regeln für die einzelnen Anwendungen definieren und sicherstellen, dass Benutzer auf den Computern über die korrekten Sicherheitseinstellungen verfügen, um auf die zugelassenen Anwendungen zugreifen zu können. Die Standardeinstellung Nicht erlaubt ist der sicherere Ansatz für Organisationen, die Windows XP-Clientcomputer schützen möchten.
Vier Regeln zum Identifizieren von Software
Die Regeln in einer Richtlinie für Softwareeinschränkungen identifizieren eine oder mehrere Anwendungen und geben an, ob diese ausgeführt werden dürfen. Das Modul für das Erzwingen in Windows XP fragt die Regeln der Richtlinie ab, bevor Anwendungen ausgeführt werden dürfen. Zur Erstellung einer Richtlinie müssen Sie Anwendungen identifizieren und diese dann als Ausnahmen zur Standardeinstellung Nicht erlaubt angeben. Teil der Regeln können Kommentare sein, die den Zweck beschreiben.
Eine Richtlinie für Softwareeinschränkungen verwendet die folgenden vier Regeln für die Identifizierung von Software:
Hashregel. Verwendet einen kryptografischen Fingerabdruck der ausführbaren Datei.
Zertifikatsregel. Verwendet das digital signierte Zertifikat eines Softwareherausgebers für die.exe-Datei.
Pfadregel. Verwendet den lokalen, UNC- (Universal Naming Convention) oder Registrierungspfad des Speicherortes der.exe-Datei.
Zonenregel. Verwendet die Internetursprungszone der ausführbaren Datei (wenn die Datei mit Microsoft Internet Explorer heruntergeladen wurde).
Die Hashregel
Ein Hashwert ist ein digitaler Fingerabdruck, der ein Softwareprogramm oder eine ausführbare Datei eindeutig identifiziert, selbst wenn das Programm oder die ausführbare Datei verschoben oder umbenannt wird. Mithilfe eines Hashwertes können Administratoren eine bestimmte Version einer ausführbaren Datei oder eines Programms überwachen, die Benutzer nicht ausführen sollen.
Mithilfe einer Hashregel können Softwareprogramme eindeutig identifiziert werden, da die Prüfung durch die Hashregel auf einer kryptografischen Berechnung beruht, die den Inhalt der Datei berücksichtigt. Die Dateitypen, auf die sich Hashregeln auswirken, sind Abschnitt Designierte Dateitypen des Detailbereichs von Richtlinien für Softwareeinschränkungen aufgeführt.
Hashregeln sind in statischen Umgebungen effektiv. Wenn Software in Ihrer Umgebung aktualisiert wird, muss der Hashwert für jede aktualisierte ausführbare Datei neu berechnet werden. Hashregeln funktionieren sehr gut in Umgebungen, in denen die Software nur gelegentlich geändert oder aktualisiert wird.
Eine Hashregel besteht aus den folgenden drei Datenangaben, die durch Doppelpunkt getrennt werden:
MD5- oder SHA-1-Hashwert
Dateilänge
ID des Hashalgorithmus
Digital signierte Dateien verwenden den in der Signatur enthaltenen MD5- oder SHA-1-Hashwert. Ausführbare Dateien, die nicht digital signiert sind, verwenden einen MD5-Hashwert.
Hashregeln werden wie folgt formatiert:
[MD5- oder SHA-1-Hashwert]:[Dateilänge]:[Hashalgorithmus-ID]
Die folgende Beispielhashregel bezeichnet eine Datei mit einer Länge von 126 Byte und einem Inhalt, der dem MD5-Hashwert (7bc04acc0d6480af862d22d724c3b049) und dem Hashalgorithmus mit der Hashalgorithmus-ID 32771 entspricht:
7bc04acc0d6480af862d22d724c3b049:126:32771
Für jede Datei, die der Administrator zulassen oder nicht zulassen möchte, muss eine Hashregel vorhanden sein. Wenn Software aktualisiert wird, muss der Administrator eine neue Hashregel für die einzelnen Anwendungen erstellen, da die Hashwerte der ursprünglichen ausführbaren Dateien nicht mit jenen der neuen Dateien übereinstimmen.
Führen Sie die im Folgenden beschriebenen Schritte aus, um eine Hashregel für eine ausführbare Datei zu erstellen.
So erstellen Sie eine Hashregel für eine vorhandene ausführbare Datei
Klicken Sie in der Symbolleiste des Gruppenrichtlinienobjekt-Editors auf Windows-Einstellungen, Sicherheitseinstellungen, Richtlinien für Softwareeinschränkung, und klicken Sie dann mit der rechten Maustaste auf Zusätzliche Regeln.
Klicken Sie im Kontextmenü auf Neue Hashregel.
.gif)
Abbildung 6.1: Dialogfeld „Neue Hashregel“
Bild in voller Größe anzeigenKlicken Sie auf Durchsuchen, um die Datei auszuwählen, für die Sie eine Hashregel erstellen möchten. Die ausführbare Datei in diesem Beispiel ist Excel.exe. Der neue Dateihashwert wird im Feld Dateihash: angezeigt, und die Anwendungsversion im Feld Dateiinformationen:.
Wählen Sie die für diese Regel gewünschte Standardeinstellung für die Sicherheitsstufe aus. Folgende Optionen stehen zur Auswahl:
Nicht erlaubt
Nicht eingeschränkt
.gif){kind=link}
Die Zertifikatsregel
Eine Zertifikatsregel gibt an, dass das Zertifikat eines Softwareherausgebers (das für die Codesignierung verwendet wird) vorhanden sein muss, bevor das Programm ausgeführt werden darf. Ein Administrator kann beispielsweise für alle Skripts und ActiveX-Steuerelemente signierte Zertifikate verlangen. Folgenden Quellen sind u. a. für die Zertifikatsregel zulässig:
Eine kommerzielle Zertifizierungsstelle (Certificate Authority, CA), z. B. VeriSign
Eine Microsoft Windows 2000- oder Windows Server 2003-PKI (Public Key Infrastructure, Infrastruktur öffentlicher Schlüssel)
Ein selbstsigniertes Zertifikat
Eine Zertifikatsregel stellt ein starkes Verfahren der Softwareidentifizierung dar, da zum Prüfen der Dateien unabhängig vom Namen und Speicherort signierte Hashwerte verwendet werden, die in der Signatur der signierten Datei enthalten sind. Leider verwenden nur wenige Softwareanbieter Codesignierung. Selbst diejenigen, die es tun, signieren in der Regel nur einen kleinen Prozentsatz der von ihnen verteilten ausführbaren Dateien. Aus diesen Gründen werden Zertifikatsregeln im Allgemeinen für einige wenige spezielle Anwendungstypen wie z. B. ActiveX-Steuerelemente oder intern entwickelte Anwendungen verwendet. In diesem Handbuch wird Organisationen z. B. empfohlen, Skripts zur Verwaltung von Computern und Benutzern digital zu signieren, damit alle nicht signierten Skripts blockiert werden können. Mit einer Hashregel können Ausnahmen von einer Zertifikatsregel identifiziert werden.
Aktivieren von Zertifikatsregeln
Zertifikatsregeln sind standardmäßig nicht aktiviert. Führen Sie zum Aktivieren von Zertifikatsregeln die im Folgenden beschriebenen Schritte aus.
So aktivieren Sie Zertifikatsregeln
Öffnen Sie das Gruppenrichtlinienobjekt im Gruppenrichtlinienobjekt-Editor.
Klicken Sie in der Konsolenstruktur auf Sicherheitsoptionen.
Doppelklicken Sie im Detailbereich auf Systemeinstellungen: Zertifikatsregeln zur Durchsetzung von Softwareeinschränkungsrichtlinien auf Windows-Programme anwenden.
Klicken Sie auf Aktiviert, um die Zertifikatsregeln verfügbar zu machen.
Ausführliche Anweisungen zum digitalen Signieren von Dateien finden Sie im Abschnitt „Handbuch zum Digitalen Signieren von Dateien mit Testzertifikaten“ in „Verwendung von Richtlinien für Softwareeinschränkungen zum Schutz vor nicht autorisierter Software“ (in englischer Sprache) unter www.microsoft.com/technet/prodtechnol/winxppro/maintain/rstrplcy.mspx.
Viele kommerzielle Websites lassen ihren Softwarecode von einer kommerziellen Zertifizierungsstelle signieren. Die Gültigkeit dieser Zertifikate liegt meist zwischen einem und mehreren Jahren. Achten Sie bei der Verwendung von Zertifikatsregeln auf das Ablaufdatum der Zertifikate. Möglicherweise können Sie sich an den Softwareherausgeber wenden, um weitere Informationen zum Gültigkeitszeitraum der herausgegebenen Zertifikate zu erhalten. Wenn Sie ein Zertifikat von einer kommerziellen Zertifizierungsstelle erhalten, können Sie es zum Erstellen einer Zertifikatsregel in eine Datei exportieren. Führen Sie zum Exportieren eines Zertifikats die im Folgenden beschriebenen Schritte aus.
So exportieren Sie ein Zertifikat
Wählen Sie den vertrauenswürdigen Herausgeber aus, der das Zertifikat herausgibt. In diesem Beispiel lautet der Herausgeber des Zertifikats Microsoft MSN®.
.jpg)
Abbildung 6.2: Dialogfeld „Sicherheitswarnung“, in dem der vertrauenswürdige Herausgeber angezeigt wird
Bild in voller Größe anzeigenKlicken Sie auf die Registerkarte Details und dann auf In Datei kopieren..., um dieses Zertifikat in eine Datei zu kopieren und damit eine Zertifikatsregel zu erstellen.
.jpg)
Abbildung 6.3: Registerkarte „Details“ im Dialogfeld „Zertifikat“
Bild in voller Größe anzeigen](https://technet.microsoft.com/de-de/cc163080.xpsg0603_big(de-de,technet.10).jpg)Die Willkommensseite des Zertifikatsexport-Assistenten wird angezeigt. Klicken Sie auf Weiter, um den Vorgang fortzusetzen.
.jpg)
Abbildung 6.4: Willkommenseite des Zertifikatexport-Assistenten
Bild in voller Größe anzeigenWählen Sie auf der Seite Exportdateiformat die Option DER-codiert-binär X.509 (.CER) aus, und klicken Sie auf Weiter, um die Zertifikatdatei mit der Erweiterung.cer zu erstellen.
.jpg)
Abbildung 6.5: Seite „Exportdateiformat“ des Zertifikatexport-Assistenten mit der ausgewählten Codierungsmethode
Bild in voller Größe anzeigenGeben Sie auf der Seite Exportdatei einen beschreibenden Namen für die Zertifikatsregeldatei ein. Sie können das Zertifikat an einem beliebigen Speicherort unter einem beliebigen Dateinamen speichern.
.jpg)
Abbildung 6.6: Seite „Exportdatei“ des Zertifikatexport-Assistenten mit einem Beispieldateinamen
Bild in voller Größe anzeigenDie Seite Fertigstellen des Assistenten wird mit den ausgewählten Einstellungen der Zertifikatdatei angezeigt. Überprüfen Sie die Einstellungen, und klicken Sie zum Exportieren der Datei auf Fertig stellen.
.jpg)
Abbildung 6.7: Seite „Fertigstellen des Assistenten“ mit den ausgewählten Einstellungen
Bild in voller Größe anzeigen
.jpg){kind=link}
.jpg){kind=link}
.jpg){kind=link}
.jpg){kind=link}
.jpg){kind=link}
.jpg){kind=link}
Die Pfadregel
Eine Pfadregel gibt entweder einen Ordner oder den vollständigen Pfad zu einem Programm an. Wenn durch eine Pfadregel ein Ordner angegeben wird, trifft sie auf alle Programme zu, die sich in diesem Ordner und den entsprechenden Unterordnern befinden. Pfadregeln unterstützen lokale Pfade und UNC-Pfade.
Der Administrator muss in der Pfadregel alle Verzeichnisse definieren, von denen aus eine bestimmte Anwendung gestartet werden kann. Wenn eine Anwendung z. B. mit einer Desktopverknüpfung gestartet wird, muss die Pfadregel sowohl die ausführbare Datei als auch die Verknüpfungspfade für das Ausführen der Anwendung angeben. Wenn ein Benutzer versucht, eine Anwendung mit einer unvollständigen Pfadregel auszuführen, wird die Warnung Software eingeschränkt angezeigt.
Bei der Installation von Dateien auf der Festplatte von Windows XP-basierten Computern verwenden viele Anwendungen die Variable %ProgramFiles%. Leider sind einige Anwendungen darauf programmiert, Dateien in das Unterverzeichnis C:\Programme zu kopieren, und tun dies selbst dann, wenn diese Variable auf ein anderes Verzeichnis in einem anderen Laufwerk gesetzt wird. Denken Sie an diese Beschränkung, wenn Sie Pfadregeln erstellen und testen.
Verwenden von Umgebungsvariablen in Pfadregeln
Bei der Definition einer Pfadregel können Sie Umgebungsvariablen verwenden. Da Pfadregeln in der Clientumgebung ausgewertet werden, ermöglicht die Verwendung von Umgebungsvariablen, eine Regel an die Umgebung eines bestimmten Benutzers anzupassen.
Die folgenden beiden Beispiele veranschaulichen die Anwendung von Umgebungsvariablen auf eine Pfadregel.
„%UserProfile%“ entspricht C:\Dokumente und Einstellungen<Benutzer> und allen Unterordnern dieses Verzeichnisses.
„%ProgramFiles%*<Anwendung>*“ entspricht C:\Programme\ <Anwendung> und allen Unterordnern dieses Verzeichnisses.
Hinweis: Umgebungsvariablen werden nicht durch Zugriffssteuerungslisten (Access Control Lists, ACLs) geschützt. Es werden zwei Arten von Umgebungsvariablen unterschieden: Benutzervariablen und Systemvariablen. Benutzer, die eine Eingabeaufforderung öffnen dürfen, können die Umgebungsvariable Benutzer mit einem anderen Pfad neu definieren. Die Umgebungsvariable System können nur Benutzer ändern, die Mitglied der Gruppe Administratoren sind.
Obwohl die beiden obigen Beispiele sehr nützlich sind, sollten Sie auch andere verfügbare Umgebungsvariablen in Erwägung ziehen. Eine vollständige Liste finden Sie in „Überblick über Command Shell“ (in englischer Sprache) unter www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/ntcmds_shelloverview.mspx.
Verwenden von Platzhaltern in Pfadregeln
In einer Pfadregel können die Platzhalter „?“ und „*“ verwendet werden. Die folgenden Beispiele veranschaulichen die Anwendung von Platzhaltern auf verschiedene Pfadregeln:
\DC – ??\login$ entspricht \DC – 01\login$, \DC – 02\login$ und so weiter.
*\Windows entspricht C:\Windows, D:\Windows, E:\Windows und allen Unterordnern der jeweiligen Verzeichnisse.
C:\win* entspricht C:\winnt, C:\windows, C:\windir und allen Unterordnern der jeweiligen Verzeichnisse.
*.vbs entspricht allen Anwendungen in Windows XP Professional mit dieser Erweiterung.
C:\Anwendungsdateien*.* entspricht allen Anwendungsdateien im angegebenen Unterverzeichnis.
Registrierungspfadregeln
Viele Anwendungen speichern Pfade zu ihren Installationsordnern oder Anwendungsverzeichnissen in der Microsoft Windows-Registrierung. Einige Anwendungen können an beliebigen Speicherorten im Dateisystem installiert werden. Um diese zu suchen, können Sie eine Pfadregel zur Ermittlung der entsprechenden Registrierungsschlüssel erstellen.
Diese Speicherorte können möglicherweise nicht einfach mithilfe bestimmter Ordnerpfade wie C:\Programme\Microsoft Platform SDK oder Umgebungsvariablen wie %ProgramFiles%\Microsoft Platform SDK bestimmt werden. Wenn das Programm seine Anwendungsverzeichnisse in der Registrierung speichert, können Sie eine Pfadregel speichern, die den in der Registrierung gespeicherten Wert verwendet, wie z. B.:
*%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PlatformSDK\Directories*
Install Dir%
Diese Art von Pfadregel, die als Registrierungspfadregel bezeichnet wird, hat folgendes Format:
%<Registrierungsstruktur>\ <Registrierungsschlüssel>\ <Wertname>%
Hinweis: Das Suffix einer Registrierungspfadregel darf innerhalb der Regel unmittelbar nach dem letzten %-Zeichen kein -Zeichen aufweisen. Für die Registrierungsstruktur muss der vollständige Name angegeben werden, Abkürzungen funktionieren nicht.
Wenn die Standardregel auf Nicht erlaubt gesetzt ist, werden vier Registrierungspfadregeln eingerichtet, sodass das Betriebssystem Zugriff auf Systemdateien hat. Diese Registrierungspfadregeln werden als Sicherheitsvorkehrung erstellt – damit Sie sich selbst und andere Benutzer nicht aus dem System aussperren können – und sind auf Nicht eingeschränkt gesetzt. Diese Regeln sollten nur von fortgeschrittenen Benutzern geändert oder gelöscht werden. Die Einstellungen für die Registrierungspfadregeln lauten wie folgt:
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\SystemRoot%%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\SystemRoot%*.exe%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\SystemRoot%\System32*.exe%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\ProgramFilesDir%
Vorrang bei Pfadregeln
Wenn mehrere Pfadregeln zutreffen, hat die am engsten gefasste Regel Vorrang vor den anderen Regeln. Die folgende Gruppe von Pfaden ist in der Reihenfolge vom höchsten Vorrang (genaueste Übereinstimmung) zum niedrigsten Vorrang (allgemeinste Übereinstimmung) angeordnet:
Laufwerk:\Ordner1\Ordner2\Dateiname.Erweiterung
Laufwerk:\Ordner1\Ordner2*.Erweiterung
*.Erweiterung
Laufwerk:\Ordner1\Ordner2\
Laufwerk:\Ordner1\
Zonenregel
Mit einer Zonenregel können Sie Software identifizieren, die aus einer der folgenden in Internet Explorer definierten Zonen heruntergeladen wurde:
Internet
Intranet
Eingeschränkte Sites
Vertrauenswürdige Sites
Arbeitsplatz
Die aktuelle Version der Internetzonenregel gilt nur für Windows Installer-Pakete (*.msi). Außerdem gilt diese Regel nicht für über Internet Explorer heruntergeladene Software. Alle anderen Dateitypen, auf die sich Zonenregeln auswirken, sind in der Tabelle mit designierten Dateitypen weiter unten in diesem Kapitel aufgeführt. Es gibt nur eine Liste designierter Dateitypen, die von allen Zonenregeln verwendet wird.
Empfehlungen für Regeln
Bestimmen Sie anhand der Informationen in der folgenden Tabelle, welche Pfadregel sich am besten für die Benutzer und die Umgebung einer Anwendung eignet.
Tabelle 6.1: Bestimmen der besten Regel für eine bestimmte Anwendung
|
Aufgabe |
Empfohlene Regel |
|---|---|
|
Zulassen oder nicht zulassen einer bestimmten Programmversion. |
Hashregel |
|
Identifizieren eines Programms, das immer am gleichen Speicherort installiert ist. |
Pfadregel mit Umgebungsvariablen |
|
Identifizieren eines Programms, das an einem beliebigen Speicherort auf Clientcomputern installiert werden kann. |
Registrierungspfadregeln |
|
Identifizieren einer Gruppe von Skripts auf einem zentralen Server. |
Pfadregel |
|
Identifizieren einer Gruppe von Skripts auf einer Gruppe von Servern. Beispielsweise DC01, DC02 und DC03. |
Pfadregel mit Platzhalter |
|
Keine.vbs-Dateien erlauben, mit Ausnahme der Dateien in einem Anmeldeskriptverzeichnis. |
Pfadregel mit Platzhalter *.VBS auf Nicht erlaubt gesetzt \\LOGIN_SRV\Share*.VBS auf Nicht eingeschränkt gesetzt |
|
Eine Datei mit dem Namen Flcss.exe nicht erlauben, da diese nur von einem Virus installiert wird. |
Pfadregel Flcss.exe auf Nicht erlaubt gesetzt |
|
Identifizieren einer Gruppe von Skripts, die an beliebigen Speicherorten ausgeführt werden können. |
Zertifikatsregel Verwenden Sie ein Zertifikat, um die Skripts digital zu signieren. |
|
Zulassen von Software, die von Websites in der vertrauenswürdigen Internetzone installiert wird. |
Zonenregel Vertrauenswürdige Sites auf Nicht eingeschränkt setzen. |
Vorrang von Regeln der Richtlinie für Softwareeinschränkungen
Regeln werden in einer bestimmten Reihenfolge ausgewertet. Regeln, denen ein Programm genauer entspricht, haben gegenüber Regeln Vorrang, denen das gleiche Programm weniger exakt entspricht. Wenn zwei identische Regeln mit unterschiedlichen Sicherheitsstufen für die gleiche Software festgelegt wurden, hat die Regel mit der höchsten Sicherheitsstufe Vorrang. Wenn z. B. zwei Hashregeln, von denen eine die Sicherheitsstufe Nicht erlaubt und die andere die Sicherheitsstufe Nicht eingeschränkt aufweist, auf das gleiche Softwareprogramm angewendet werden, hat die Regel mit der Sicherheitsstufe Nicht erlaubt Vorrang, und das Programm wird nicht ausgeführt. In der folgenden Liste wird die Vorrangsreihenfolge für Regeln von der genauesten zur am wenigsten genauen Regel definiert:
Hashregel
Zertifikatsregel
Pfadregel
Zonenregel
Standardregel
Optionen der Richtlinie für Softwareeinschränkungen
In diesem Abschnitt werden die unterschiedlichen Erzwingungsoptionen behandelt, die Einfluss auf die Funktionsweise einer Richtlinie für Softwareeinschränkungen haben. Diese Optionen ändern die Art und Weise der Erzwingung von Microsoft Authenticode®-Vertrauenseinstellungen für digital signierte Dateien. Zwei Erzwingungsoptionen sind verfügbar: DLL-Prüfung (Dynamic Link Library) und Überspringen von Administratoren.
DLL-Prüfung
Viele Programme bestehen aus einer ausführbaren Datei und vielen Hilfs-DLLs. Standardmäßig werden Regeln einer Richtlinie für Softwareeinschränkungen nicht für DLLs erzwungen. Diese Option wird für die meisten Kunden aus den folgenden drei Gründen empfohlen:
Wenn die Ausführung der ausführbaren Hauptdatei nicht erlaubt ist, kann das Programm nicht ausgeführt werden. Es ist also nicht erforderlich, die Ausführung der zugehörigen DLLs zu verweigern.
Durch die DLL-Prüfung verringert sich die Systemleistung, da alle Bibliotheken überprüft werden müssen, die mit der Anwendung verknüpft sind. Wenn ein Benutzer z. B. während einer Anmeldesitzung zehn Programme ausführt, wertet die Richtlinie für Softwareeinschränkungen jedes einzelne Programm aus. Bei aktivierter DLL-Prüfung wertet die Richtlinie für Softwareeinschränkungen jede DLL aus, die in die einzelnen Programme geladen wird. Wenn jedes Programm 20 DLLs verwendet, ergeben sich daraus 10 Prüfungen von ausführbaren Programmen plus 200 DLL-Prüfungen. Die Richtlinie für Softwareeinschränkungen muss somit 210 Auswertungen durchführen.
Ein Programm wie Internet Explorer besteht aus der ausführbaren Datei iexplore.exe und vielen Hilfs-DLLs.
Wenn die Standardsicherheitsstufe auf Nicht erlaubt gesetzt ist, wird das System gezwungen, nicht nur die ausführbare Hauptdatei zu identifizieren, bevor diese ausgeführt werden darf, sondern auch alle zugehörigen DLLs der.exe-Datei, wodurch das System zusätzlich belastet wird.
Viren greifen zwar hauptsächlich ausführbare Dateien an, manche sind sich jedoch gegen DLLs gerichtet. Aus diesem Grund wird die Option „DLL-Prüfung“ empfohlen, wenn die höchstmögliche Sicherheit für die in der Umgebung ausgeführten Programme gewünscht wird.
Um sicherzustellen, dass ein Programm keine Viren enthält, können Sie eine Gruppe von Hashregeln verwenden, die die ausführbare Datei und alle zugehörigen DLLs identifizieren.
So deaktivieren Sie die Option für die DLL-Prüfung
Wenn Sie eine Richtlinie für Softwareeinschränkungen bearbeiten, wählen Sie im Dialogfeld Eigenschaften von Erzwingen die Option Alle Softwaredateien außer Bibliotheken (z. B. DLLs) aus, wie in der folgenden Abbildung dargestellt:
.jpg)
Abbildung 6.8: Dialogfeld „Eigenschaften von Erzwingen“ mit Datei- und Benutzererzwingungsoptionen
Bild in voller Größe anzeigen
.jpg){kind=link}
Überspringen von Administratoren
Unter Umständen möchte ein Administrator die Ausführung von Programmen für die meisten Benutzer verhindern, Administratoren aber die Ausführung aller Programme erlauben. Ein Administrator verfügt z. B. über einen freigegebenen Computer, mit dem mehrere Benutzer über den Terminalserver eine Verbindung herstellen. Der Administrator möchte Benutzer nur die Ausführung bestimmter Anwendungen auf dem Computer erlauben, Mitglieder der lokalen Gruppe Administratoren sollen jedoch beliebige Anwendungen ausführen dürfen. Verwenden Sie hierzu die Erzwingungsoption zum Überspringen von Administratoren.
Wenn die Richtlinie für Softwareeinschränkungen in einem Gruppenrichtlinienobjekt erstellt wird, das mit einem Objekt in Active Directory verknüpft ist, empfiehlt Microsoft, nicht die Option zum Überspringen von Administratoren zu verwenden und der Gruppe Administratoren die Berechtigung Gruppenrichtlinie übernehmen für das Gruppenrichtlinienobjekt zu verweigern. Hierdurch wird weniger Netzwerkbandbreite in Anspruch genommen, da die Einstellungen des Gruppenrichtlinienobjekts, die nicht für Administratoren gelten, nicht heruntergeladen werden.
Hinweis: In lokalen Sicherheitsrichtlinien definierte Richtlinien für Softwareeinschränkungen können keine Benutzergruppen filtern. Aus diesem Grund ist die Option Überspringen von Administratoren erforderlich.
So aktivieren Sie die Option zum Überspringen von Administratoren
- Wählen Sie in dem in Abbildung 6.8 dargestellten Dialogfeld Eigenschaften von Erzwingen die Option Alle Benutzer außer den lokalen Administratoren aus.
Definieren von ausführbaren Dateien
In dem in der folgenden Abbildung dargestellten Dialogfeld Eigenschaften von Designierte Dateitypen werden die Dateitypen aufgeführt, die durch die Richtlinie für Softwareeinschränkungen gesteuert werden. Diese Dateitypen werden als ausführbare Dateien betrachtet. Beispielsweise gilt eine Bildschirmschonerdatei (.scr) als ausführbare Datei, da sie als Programm geladen wird, wenn Sie in Windows Explorer darauf doppelklicken.
Die Regeln der Richtlinie für Softwareeinschränkungen gelten nur für die Dateitypen, die im Dialogfeld Eigenschaften von Designierte Dateitypen aufgeführt werden. Wenn in der Umgebung ein Dateityp verwendet wird, auf den Sie die Regeln anwenden möchten, fügen Sie ihn der Liste hinzu. Beispielsweise würden Sie bei Perl-Skriptdateien den Dateityp .pl und weitere Dateitypen, die dem Perl-Modul zugeordnet sind, der Liste Designierte Dateitypen: auf der Registerkarte Allgemein des Dialogfelds Eigenschaften von Designierte Dateitypen hinzufügen.
.jpg)
Abbildung 6.9: Dialogfeld „Eigenschaften von Designierte Dateitypen“
Bild in voller Größe anzeigen
.jpg){kind=link}
Bei dem in diesem Handbuch definierten Entwurf eines Gruppenrichtlinienobjekts werden die Dateitypen.mdb und.lnk entfernt und der Dateityp.ocx hinzugefügt. In der folgenden Tabelle werden die designierten Dateitypen aufgeführt.
Tabelle 6.2: Designierte Dateitypen
|
Dateierweiterung |
Beschreibung |
Dateierweiterung |
Beschreibung |
|---|---|---|---|
|
.ade |
Microsoft Access-Projekterweiterung |
.msc |
Microsoft Common Console-Dokument |
|
.adp |
Microsoft Access-Projekt |
.msi |
Windows Installer-Paket |
|
.bas |
Visual Basic-Klassenmodul |
.msp |
Windows Installer-Patch |
|
.bat |
Batchdatei |
.mst |
Visual Test-Quelldatei |
|
.chm |
Kompilierte HTML-Hilfedatei |
.ocx |
ActiveX-Steuerelement |
|
.cmd |
Windows NT-Befehlsskript |
.pcd |
Photo CD-Bild |
|
.com |
MS-DOS-Anwendung |
.pif |
Verknüpfung mit MS-DOS-Programm |
|
.cpl |
Systemsteuerungsoption |
.reg |
Registrierungseintrag |
|
.crt |
Sicherheitszertifikat |
.scr |
Bildschirmschoner |
|
.exe |
Anwendung |
.sct |
Windows-Skriptkomponente |
|
.hlp |
Windows-Hilfedatei |
.shs |
Shell-Datenauszug |
|
.hta |
HTML-Anwendung |
.url |
Internetverknüpfung (Uniform Resource Locator, URL) |
|
.inf |
Setupinformationsdatei |
.vb |
Visual Basic-Datei |
|
.ins |
Internetkommunikationseinstellung |
.vbe |
Codierte VBScript-Skriptdatei |
|
.isp |
Internetkommunikationseinstellung |
.vbs |
VBScript-Skriptdatei |
|
.js |
JScript-Datei |
.wsc |
Windows-Skriptkomponente |
|
.jse |
Codierte JScript-Skriptdatei |
.wsf |
Windows-Skriptdatei |
|
.mde |
Microsoft Access-MDE-Datenbank |
.wsh |
Windows Scripting Host-Einstellungsdatei |
Vertrauenswürdige Herausgeber
Sie können das Dialogfeld Eigenschaften von Vertrauenswürdigen Herausgebern verwenden, um festzulegen, welche Benutzer vertrauenswürdige Herausgeber auswählen können. Sie können auch bestimmen, welche Zertifikatssperrungsprüfungen ggf. durchgeführt werden, bevor ein Herausgeber als vertrauenswürdig eingestuft wird. Bei aktivierten Zertifikatsregeln wird durch Richtlinien für Softwareeinschränkungen eine Zertifikatssperrliste geprüft, um die Gültigkeit des Zertifikats und der Signatur der Software sicherzustellen. Durch diesen Vorgang kann jedoch beim Starten von Programmen die Systemleistung verringert werden.
Mit den Optionen auf der in der folgenden Abbildung dargestellten Registerkarte Allgemein des Dialogfelds Eigenschaften von Vertrauenswürdigen Herausgebern können Sie Einstellungen für ActiveX-Steuerelemente und andere signierte Inhalte konfigurieren.
.jpg)
Abbildung 6.10: Dialogfeld „Eigenschaften von Vertrauenswürdigen Herausgebern“
Bild in voller Größe anzeigen
.jpg){kind=link}
In der folgenden Tabelle werden die Optionen für vertrauenswürdige Herausgeber in Bezug auf ActiveX-Steuerelemente und andere signierte Inhalte aufgeführt.
Tabelle 6.3: Aufgaben und Einstellungen für vertrauenswürdige Herausgeber
|
Einstellungsname |
Aufgabe |
|---|---|
|
Unternehmensadministratoren |
Verwenden Sie diese Einstellung, um nur Unternehmensadministratoren zu erlauben, Entscheidungen zu signierten aktiven Inhalten zu treffen. |
|
Administratoren des lokalen Computers |
Verwenden Sie diese Einstellung, um Administratoren des lokalen Computers zu erlauben, alle Entscheidungen zu signierten aktiven Inhalten zu treffen. |
|
Endbenutzer |
Verwenden Sie diese Einstellung, um Benutzern zu erlauben, Entscheidungen zu signierten aktiven Inhalten zu treffen. |
|
Herausgeber |
Verwenden Sie diese Einstellung, um sicherzustellen, dass das Zertifikat des Softwareherausgebers nicht gesperrt wurde. |
|
Zeitstempel |
Verwenden Sie diese Einstellung, um sicherzustellen, dass das von der Organisation für den Zeitstempel der aktiven Inhalte verwendete Zertifikat nicht gesperrt wurde. |
Entwerfen und Bereitstellen von Richtlinien für Softwareeinschränkungen
In diesem Abschnitt wird beschrieben, wie Richtlinien für Softwareeinschränkungen mithilfe des Gruppenrichtlinien-Snap-Ins verwaltet werden, was bei der erstmaligen Bearbeitung einer Richtlinie zu berücksichtigen ist und wie eine Richtlinie für Softwareeinschränkungen auf eine Gruppe von Benutzern angewendet wird. Außerdem werden verschiedene Aspekte erörtert, die mit der Bereitstellung einer Richtlinie für Softwareeinschränkungen in Zusammenhang stehen.
Integration in Gruppenrichtlinien
Sie können eine Richtlinie für Softwareeinschränkungen mithilfe des Gruppenrichtlinien-Snap-Ins für eine Gruppe von Clientcomputern sowie für alle Benutzer verwalten, die sich bei den Computern anmelden. Die Richtlinie wird auf die die in diesem Handbuch definierten Organisationseinheiten „Desktop“ und „Laptop“ angewendet.
Domäne
Der Administrator sollte für die Richtlinie für Softwareeinschränkungen ein eigenes Gruppenrichtlinienobjekt erstellen. So lässt sich die Gruppenrichtlinie deaktivieren, ohne andere auf das Objekt angewendete Richtlinien zu beeinträchtigen, wenn unerwartete Probleme auftreten sollten.
Lokal
Für die eigenständigen Clientcomputer in der Umgebung sollte eine lokale Richtlinie konfiguriert werden. Dieser Vorgang wird in diesem Handbuch in Kapitel 5, „Schützen eigenständiger Windows XP-Clients“, beschrieben.
Entwerfen einer Richtlinie
In diesem Abschnitt werden die beim Entwerfen und Bereitstellen einer Richtlinie für Softwareeinschränkungen auszuführenden Schritte beschrieben. Beim Entwerfen von Richtlinien müssen mehrere Entscheidungen getroffen werden. Diese werden in der folgenden Tabelle beschrieben.
Tabelle 6.4: Wichtige Überlegungen beim Entwerfen von Richtlinien
|
Entscheidung |
Zu berücksichtigende Faktoren |
|---|---|
|
Laptops oder Arbeitsstationen |
Prüfen Sie die Bedürfnisse der mobilen Benutzer in der Umgebung, um zu bestimmen, ob für die Laptops eine andere Richtlinie erforderlich ist als für Desktops. Laptops verlangen häufig eine größere Flexibilität als Desktops. |
|
Serverfreigaben, Anmeldeskripts und Basislaufwerke |
Sie müssen Pfadregeln für alle Anwendungen definieren, die von einer Serverfreigabe oder einem Basisverzeichnis gestartet werden. Sie können der Pfadregel Anmeldeskriptdateien hinzufügen. Wenn ein Skript andere Skripts aufruft, fügen Sie der Pfadregel außerdem die Speicherorte dieser ausführbaren Dateien hinzu. |
|
Gruppenrichtlinienobjekt oder lokale Sicherheitsrichtlinie |
In diesem Handbuch wird für den Entwurf ein Gruppenrichtlinienobjekt verwendet. Sie sollten sich jedoch auch über die Auswirkungen einer lokalen Sicherheitsrichtlinie auf den Entwurf bewusst sein. |
|
Benutzer- oder Computerrichtlinie |
Dieser Entwurf wendet alle Einstellungen auf Computerebene an. |
|
Standardsicherheitsstufe |
Es wird empfohlen, Nicht erlaubt als Standardeinstellung zu festzulegen und anschließend den Rest der Richtlinie entsprechend zu konfigurieren. Die Standardeinstellung Nicht eingeschränkt ist ebenfalls verfügbar. |
|
Zusätzliche Regeln |
Wenn Sie die Standardrichtlinie Nicht erlaubt verwenden, müssen Sie je nach Bedarf zusätzliche Pfadregeln für das Betriebssystem anwenden. Bei Verwendung von Nicht erlaubt werden die vier Regeln automatisch erstellt. |
|
Richtlinienoptionen |
Wenn Sie eine lokale Sicherheitsrichtlinie verwenden und die Richtlinie nicht auf Administratoren auf den Clientcomputern in der Umgebung angewendet werden soll, wählen Sie für die Richtlinie die Erzwingungsoption zum Überspringen von Administratoren aus. Wenn Sie zusätzlich zu ausführbaren Dateien und Skripts auch DLLs überprüfen möchten, wählen Sie für die Richtlinie die Erzwingungsoption DLL-Prüfung aus. Wenn Sie Regeln für Dateitypen festlegen möchten, die nicht in der Standardliste der designierten Dateitypen aufgeführt werden, verwenden Sie je nach Bedarf die Option für das Hinzufügen zum Dialogfeld Eigenschaften von Designierte Dateitypen. Wenn Sie ändern möchten, welche Personen Entscheidungen zum Herunterladen von ActiveX-Steuerelementen und anderen signierten Inhalten treffen können, aktivieren Sie auf der Registerkarte Allgemein des Dialogfelds Eigenschaften von Vertrauenswürdigen Herausgebern das Kontrollkästchen Herausgeber. |
|
Anwenden der Richtlinie auf einen Standort, eine Domäne oder Organisationseinheit |
Die Richtlinie befindet sich unter der Organisationseinheit für Desktops und Laptops. |
Hinweis: Obwohl in diesem Handbuch empfohlen wird, Richtlinien für Softwareeinschränkungen auf Computerebene zu erzwingen, gibt es viele Fälle, in denen eine Erzwingung auf Benutzerebene sinnvoll ist. Eine Organisation mit freigegebenen Computern wie z. B. Terminalserver-Anwendungsservern oder Callcenter-Arbeitsstationen lassen möglicherweise zu, dass bestimmte Benutzer eine Anwendungsfamilie ausführen, wobei jedoch allen anderen Benutzern der Zugriff verweigert wird.
Empfohlene Vorgehensweisen
Microsoft empfiehlt, für die Richtlinie für Softwareeinschränkungen ein eigenes Gruppenrichtlinienobjekt zu erstellen. Dann hat es keine Auswirkungen auf die verbleibende Domänen- oder lokale Richtlinie, wenn Sie die Richtlinie notfalls deaktivieren müssen.
Wenn Sie außerdem während der Entwurfsphase der Organisationseinheit eine Arbeitsstation mithilfe der Richtlinie für Softwareeinschränkungen versehentlich sperren, starten Sie den Computer im Abgesicherten Modus neu, melden Sie sich als lokaler Administrator an, und ändern Sie dann die Richtlinie. Die Richtlinie für Softwareeinschränkungen wird nicht angewendet, wenn Windows im Abgesicherten Modus gestartet wird. Nachdem Sie den Computer im Abgesicherten Modus gestartet haben, führen Sie Gpupdate.exe aus, und starten Sie den Computer dann neu.
Die optimale Sicherheit erzielen Sie, wenn Sie zusammen mit der Richtlinie für Softwareeinschränkungen Zugriffskontrolllisten verwenden. Gewähren Sie Benutzern keine Administratorrechte. Benutzer versuchen möglicherweise, nicht erlaubte Dateien umzubenennen bzw. zu verschieben oder nicht eingeschränkte Dateien zu überschreiben, um die Richtlinien für Softwareeinschränkungen zu umgehen. Verwenden Sie Zugriffskontrolllisten, um zu verhindern, dass Benutzer diese Aktionen ausführen. Benutzer, die Mitglied der lokalen Gruppe Administratoren sind, können die von Ihnen implementierten Richtlinien für Softwareeinschränkungen umgehen. Deshalb empfiehlt Microsoft, Benutzern möglichst keine Administratorrechte zu gewähren.
Anmeldeskripts befinden sich meist auf dem Domänencontroller oder zentralen Server unter SYSVOL. Häufig wird bei jeder Anmeldung ein anderer Domänencontroller verwendet. Wenn die Standardregel auf Nicht erlaubt gesetzt ist, müssen Sie Regeln erstellen, die die Speicherorte der Anmeldeskripts angeben. Wenn die Anmeldeserver ähnliche Namen haben, können Sie Platzhalter für die Identifizierung verwenden oder für den Namen des Anmeldeskripts die Einstellung „Nicht eingeschränkt“ verwenden.
Hinweis: Testen Sie die neuen Einstellungen der Richtlinie für Softwareeinschränkungen ausgiebig in Testumgebungen, bevor Sie sie auf die Domäne anwenden. Neue Richtlinieneinstellungen zeigen möglicherweise ein anderes Verhalten als zunächst erwartet. Durch umfassende Tests wird die Möglichkeit verringert, dass Sie auf Probleme zu stoßen, wenn Sie die Einstellungen der Richtlinie für Softwareeinschränkungen im gesamten Netzwerk bereitstellen.
Die einzelnen Verfahrensschritte
Verwenden Sie die folgenden Informationen als Leitfaden für das Entwerfen einer Richtlinie für Softwareeinschränkungen und das Anwenden des Entwurfs in Form eines Gruppenrichtlinienobjekts auf die Laptops und Desktops in der Umgebung.
Schritt 1. Erstellen eines Gruppenrichtlinienobjekts für die Organisationseinheit
Suchen Sie die Organisationseinheit, die für die Desktops oder Laptops in der Umgebung erstellt wurde. Wenn Sie auf einem eigenständigen Client arbeiten, befinden sich die Einstellungen in der lokalen Computerrichtlinie. Klicken Sie in dieser Richtlinie auf Eigenschaften, und erstellen Sie dann ein neues Gruppenrichtlinienobjekt. Benennen Sie die Richtlinie gemäß der Benennungskonvention der Organisation. Berücksichtigen Sie, dass diese Richtlinie nur zum Erzwingen von Softwareeinschränkungen verwendet wird.
Schritt 2. Festlegen der Richtlinien für Softwareeinschränkungen
Markieren Sie das Gruppenrichtlinienobjekt, und klicken Sie auf Bearbeiten. Durchlaufen Sie die Struktur bis zum Eintrag Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien für Softwareeinschränkung. Bei der ersten Bearbeitung der Richtlinie wird die folgende Meldung angezeigt:
Keine Richtlinien für Softwareeinschränkung definiert.
Durch diese Meldung werden Sie darauf hingewiesen, dass durch Erstellen einer Richtlinie Standardwerte definiert werden. Diese Standardwerte können Einstellungen anderer Richtlinien für Softwareeinschränkungen außer Kraft setzen. Da noch keine Einstellungen für Softwareeinschränkungen festgelegt wurden, gehen Sie von den Standardeinstellungen aus. Klicken Sie mit der rechten Maustaste auf das Menü Aktion, und wählen Sie Neue Richtlinien für Softwareeinschränkungen erstellen aus.
Schritt 3. Einrichten der Pfadregeln
Nachdem Sie bestimmt haben, welche Anwendungen und Skripts auf den Arbeitsstationen vorhanden sind, können Sie die Pfadregeln einrichten. Einige Programme starten zum Ausführen von Aufgaben andere Programme. Die Softwareanwendungen in der Umgebung sind u. U. von einem oder mehreren Hilfsprogrammen abhängig. Eine Inventar- und Installationsdokumentation der derzeit installierten Software ist beim Nachverfolgen von Pfadregeln hilfreich. Ein Entwurf für Arbeitstationen kann beispielsweise die folgenden Richtlinien umfassen:
Anwendungen = *\Programme
Freigegebene Gruppenanwendungen= g:\Gruppenanwendungen
Anmeldeskript = Logon.bat
Desktopverknüpfungen = *.lnk
Genehmigte VBS-Skripts =*.vbs
Schritt 4. Festlegen der Richtlinienoptionen
Die folgenden Optionen beinhalten die empfohlenen Richtlinieneinstellungen für den in diesem Handbuch definierten Entwurf. Diese Optionen ändern den Gültigkeitsbereich des Erzwingungsverhalten der Authenticode-Vertrauenseinstellungen für digital signierte Dateien.
Erzwingen. Wenn der Computer Teil der Domäne ist, stellen Sie sicher, dass die Gruppe Domänen-Admins automatisch der Gruppe Administratoren hinzugefügt wird.
Übernehmen für Benutzer. Umfasst alle Benutzer außer den lokalen Administratoren. Die Verwendung dieser Option verzögert den Start aller Anwendungen. Um diese Verzögerung auszugleichen, wird die Richtlinie darauf konfiguriert, DLLs nicht zu prüfen.
Übernehmen für Dateien. Umfasst alle Softwaredateien mit Ausnahme von Bibliotheken (z. B. DLLs). Die Verwendung dieser Option verzögert den Start aller Anwendungen. Um diese Verzögerung auszugleichen, wird die Richtlinie darauf konfiguriert, DLLs nicht zu prüfen.
Designierte Dateitypen. Bei dem in diesem Handbuch definierten Entwurf eines Gruppenrichtlinienobjekts werden die Dateitypen.mdb und.lnk entfernt und der Dateityp.ocx hinzugefügt. Sie können je nach Bedarf benutzerdefinierte Erweiterungen von Anwendungsdateitypen hinzufügen, damit für diese die gleichen Regeln gelten.
Vertrauenswürdige Herausgeber. Bei dem in diesem Handbuch definierten Entwurf eines Gruppenrichtlinienobjekts wurde die Gruppe Administratoren aktiviert und die Option für Eigenschaften von Vertrauenswürdigen Herausgebern: Administratoren des lokalen Computers ausgewählt.
Bevor Sie einem Herausgeber vertrauen, wählen Sie beim Entwerfen eines Gruppenrichtlinienobjekts die Option Überprüfen: Herausgeber, um sicherzustellen, dass die Richtlinie Zertifikate überprüft.
Schritt 5. Anwenden der Standardeinstellungen
Es empfiehlt sich, die Richtlinie mit der Standardeinstellung Nicht eingeschränkt zu konfigurieren. Durch diese Methode wird sichergestellt, dass die Richtlinie korrekt initialisiert wird, bevor Softwareeinschränkungen angewendet werden. Setzen Sie die Standardeinstellung nach dem Überprüfen der Richtlinieneinstellungen auf Nicht erlaubt zurück.
Schritt 6. Testen der Richtlinie
Wenn der Computer sich in einer Domäne befindet, verschieben Sie den Computer in den Organisationseinheitscontainer, auf den die Richtlinie angewendet wird. Starten Sie den Testcomputer neu, und melden Sie sich an. Die Testpläne sollten Informationen dazu enthalten, wie die einzelnen Anwendungen nach dem Anwenden der Richtlinie funktionieren sollen. Führen Sie die Anwendungen aus, um sicherzustellen, dass sie ordnungsgemäß funktionieren und dass auf alle ihre Funktionen zugegriffen werden kann. Nachdem Sie das Funktionieren der Anwendungen überprüft haben, simulieren Sie einen Angriff auf die Anwendungen, um sicherzustellen, dass die Richtlinie keine Sicherheitslücken aufweist.
Wenn der Computer ein eigenständiger Client ist, melden Sie sich am Testcomputer an, und folgen Sie dem Testplan. Nachdem Sie die Anwendungen überprüft haben, starten Sie den simulierten Angriff erneut, um sicherzustellen, dass die Richtlinie keine Sicherheitslücken aufweist.
Bereitstellen der Richtlinie für Softwareeinschränkungen
Nach ausgiebigen Tests der Richtlinie wenden Sie sie auf die Desktop- oder Laptoporganisationseinheit in der Umgebung an. Wenn es sich um einen eigenständigen Client handelt, wenden Sie sie auf die lokalen Computereinstellungen auf dem Client an. Öffnen Sie das MMC-Snap-In „Computer und Benutzer“, und durchlaufen Sie das Verzeichnis bis zum Organisationseinheitscontainer für die Desktops oder Laptops. Erstellen Sie dann mithilfe des Gruppenrichtlinienobjekt-Editors das neue Gruppenrichtlinienobjekt. Bearbeiten Sie die Eigenschaften, und wenden Sie die entsprechenden Richtlinieneinstellungen gemäß den Informationen in den folgenden Tabellen unter Windows-Einstellungen\Sicherheitseinstellungen auf Richtlinien für Softwareeinschränkung an.
Tabelle 6.5: Sicherheitsstufen
|
Standardregel in der Benutzeroberfläche |
Beschreibung |
Einstellung |
|---|---|---|
|
Nicht erlaubt |
Software wird unabhängig von den Zugriffsrechten des Benutzers nicht ausgeführt. |
Verwenden Sie diese Standardregel |
Tabelle 6.6: Zusätzliche Regeln
|
Pfadregel |
Einstellung |
|---|---|
|
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\SystemRoot% |
Nicht eingeschränkt |
|
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\SystemRoot%*.exe |
Nicht eingeschränkt |
|
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\SystemRoot%\System32*.exe |
Nicht eingeschränkt |
|
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\ProgramFilesDir% |
Nicht eingeschränkt |
|
*.vbs |
Nicht erlaubt |
|
G:\Gruppenanwendungen |
Nicht eingeschränkt |
|
Logon.bat oder Anmeldeskript |
Nicht eingeschränkt |
|
*\Programme |
Nicht eingeschränkt |
Tabelle 6.7: Erzwingen für Dateien und Benutzer
|
Erzwingungsoptionen |
Empfehlung |
|---|---|
|
Wenden Sie Richtlinien für Softwareeinschränkungen auf Folgendes an: |
Alle Softwaredateien außer Bibliotheken (z. B. DLLs). |
|
Wenden Sie Richtlinien für Softwareeinschränkungen auf folgende Benutzer an: |
Alle Benutzer außer den lokalen Administratoren. |
Tabelle 6.8: Designierte Dateitypen
|
Dateitypen |
Empfehlung |
|---|---|
|
Eigenschaften von Designierte Dateitypen |
Entfernen Sie die Dateitypen.mdb und.lnk, und fügen Sie den Dateityp.ocx hinzu. |
Tabelle 6.9: Vertrauenswürdige Herausgeber
|
Vertrauenswürdige Herausgeber |
Empfehlung |
|---|---|
|
Erlauben Sie den folgenden Benutzergruppen die Auswahl vertrauenswürdiger Herausgeber: |
Administratoren des lokalen Computers |
|
Bestimmen Sie, ob das Zertifikat gesperrt wurde. |
Wählen Sie die Option Herausgeber aus. |
Zusammenfassung
Die Richtlinie für Softwareeinschränkungen bietet Administratoren eine effektive Möglichkeit für die Identifizierung und Steuerung von Software auf Computern mit Windows XP Professional. Sie können Richtlinien erstellen, um schädliche Skripts zu blockieren, Computer in der Umgebung zu sperren oder die Ausführung von Anwendungen zu verhindern. In einem Unternehmen empfiehlt es sich, Richtlinien für Softwareeinschränkungen mit Gruppenrichtlinienobjekten zu verwalten und dann die einzelnen Richtlinien an die Anforderungen der verschiedenen Benutzergruppen und Computer anzupassen. Microsoft empfiehlt, in einer Umgebung mit eigenständigen Computern keine Benutzergruppen zu verwalten.
Richtlinien für Softwareeinschränkungen erhöhen bei richtiger Anwendung die Sicherheit von Computern, erleichtern ihre Verwaltung und senken letzten Endes die Gesamtkosten für Betriebssysteme auf diesen Computern.
Weitere Informationen
Die folgenden Links bieten weitere Informationen zu sicherheitsbezogenen Themen hinsichtlich Windows XP Professional.
Weitere Informationen zur Verwendung von Richtlinien für Softwareeinschränkungen finden Sie im Artikel „Schutz vor nicht autorisierter Software mit Richtlinien für Softwareeinschränkung“ (in englischer Sprache) unter https://www.microsoft.com/germany/technet/prodtechnol/winxppro/maintain/rstrplcy.mspx.
Weitere Informationen zu Gruppenrichtlinien finden Sie in „Windows 2000-Gruppenrichtlinien“ (in englischer Sprache) unter www.microsoft.com/windows2000/techinfo/howitworks/management/grouppolwp.asp.
In diesem Beitrag
- Überblick
- Kapitel 1: Einführung zum Sicherheitshandbuch für Windows XP
- Kapitel 2: Konfigurieren der Domäneninfrastruktur von Active Directory
- Kapitel 3: Sicherheitseinstellungen für Windows XP-Clients
- Kapitel 4: Administrative Vorlagen für Windows XP
- Kapitel 5: Schützen eigenständiger Windows XP-Clients
- Kapitel 6: Richtlinie für Softwareeinschränkungen auf Windows XP-Clients
- Kapitel 7: Zusammenfassung
- Anhang A: Weitere Anleitungen für Windows XP Service Pack 2
- Anhang A: Zu berücksichtigende Schlüsseleinstellungen
- Anhang B: Testen des Sicherheitshandbuchs für Windows XP
- Danksagungen
Download
.gif){kind=icon}
[Windows XP-Sicherheitshandbuch herunterladen (engl.)](https://go.microsoft.com/fwlink/?linkid=14840&clcid=0x409"><img AltText="Download)