Verwalten der Richtlinien für Softwareeinschränkung
In diesem Artikel für IT-Fachkräfte erfahren Sie, wie Sie ab Windows Server 2008 und Windows Vista Anwendungssteuerungsrichtlinien mithilfe von Richtlinien für die Softwareeinschränkung (Software Restriction Policies, SRP) verwalten.
Einführung
Die Richtlinien für Softwareeinschränkung (Software Restriction Policies, SRP) sind ein auf der Gruppenrichtlinie basierendes Feature, das Softwareprogramme identifiziert, die auf Computern in einer Domäne ausgeführt werden, und die Fähigkeit zur Ausführung dieser Programme steuert. Sie können Richtlinien für Softwareeinschränkung auch verwenden, um eine stark eingeschränkte Konfiguration für Computer zu erstellen, in der Sie ausschließlich die Ausführung explizit angegebener Anwendungen zulassen. Diese sind mit Microsoft Active Directory Domain Services und Gruppenrichtlinie integriert, können jedoch auch auf eigenständigen Computern konfiguriert werden. Weitere Informationen zu SRP finden Sie unter Richtlinien für die Softwareeinschränkung.
Ab Windows Server 2008 R2 und Windows 7 kann Windows AppLocker anstelle von oder in Verbindung mit SRP für einen Teil der Steuerungsstrategie Ihrer Anwendungen verwendet werden.
Dieses Thema enthält:
Verhindern, dass Softwareeinschränkungsrichtlinien für lokale Administratoren gelten
Ändern der Standardsicherheitsstufe von Softwareeinschränkungsrichtlinien
Informationen zur Ausführung bestimmter Aufgaben mit SRP finden Sie in den folgenden Artikeln:
So öffnen Sie Softwareeinschränkungsrichtlinien für Folgendes:
Für den lokalen Computer
Öffnen Sie %%amp;quot;Lokale Sicherheitseinstellungen%%amp;quot;.
Klicken Sie in der Konsolenstruktur auf Softwareeinschränkungsrichtlinien.
Wo?
- Sicherheitseinstellungen/Softwareeinschränkungsrichtlinien
Hinweis
Um diese Schritte auszuführen, müssen Sie Mitglied der Gruppe "Administratoren" auf dem lokalen Computer sein, oder die entsprechende Berechtigung muss an Sie delegiert worden sein.
Für eine Domäne, einen Standort oder eine Organisationseinheit, wenn Sie sich auf einem Mitgliedsserver oder einer Arbeitsstation befinden, die einer Domäne angehört
Öffnen Sie die Microsoft Management Console (MMC).
Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen, und klicken Sie dann auf Hinzufügen.
Klicken Sie auf Lokaler Gruppenrichtlinienobjekt-Editor und anschließend auf Hinzufügen.
Klicken Sie unter Gruppenrichtlinienobjekt auswählen auf Durchsuchen.
Wählen Sie unter Gruppenrichtlinienobjekt suchen ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) in der entsprechenden Domäne, dem Standort oder der Organisationseinheit aus (oder erstellen Sie eine neue), und klicken Sie dann auf Fertig stellen.
Klicken Sie auf Schließen und dann auf OK.
Klicken Sie in der Konsolenstruktur auf Softwareeinschränkungsrichtlinien.
Wo?
Gruppenrichtlinienobjekt [Computername] Richtlinie/Computerkonfiguration oder
Benutzerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Softwareeinschränkungsrichtlinien
Hinweis
Zur Durchführung dieses Verfahrens müssen Sie ein Mitglied der Gruppe „Domänen-Admins“ sein.
Für eine Domäne oder Organisationseinheit, und Sie befinden sich auf einem Domänencontroller oder auf einer Arbeitsstation, auf der die Remoteserver-Verwaltungstools installiert sind
Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole.
Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf das Gruppenrichtlinienobjekt (GPO), für das Sie Softwareeinschränkungsrichtlinien öffnen möchten.
Klicken Sie auf Bearbeiten, um das zu bearbeitende Gruppenrichtlinienobjekt zu öffnen. Sie können auch auf Neu klicken, um ein neues Gruppenrichtlinienobjekt zu erstellen, und anschließend auf Bearbeiten klicken.
Klicken Sie in der Konsolenstruktur auf Softwareeinschränkungsrichtlinien.
Wo?
Gruppenrichtlinienobjekt [Computername] Richtlinie/Computerkonfiguration oder
Benutzerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Softwareeinschränkungsrichtlinien
Hinweis
Zur Durchführung dieses Verfahrens müssen Sie ein Mitglied der Gruppe „Domänen-Admins“ sein.
Für einen Standort, und Sie befinden sich auf einem Domänencontroller oder auf einer Arbeitsstation, auf der die Remoteserver-Verwaltungstools installiert sind
Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole.
Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf die Website, für die Sie Gruppenrichtlinie festlegen möchten.
Wo?
- Active Directory-Standorte und -Dienste [Domain_Controller_Name.Domain_Name]/Sites/Site
Klicken Sie auf einen Eintrag in Gruppenrichtlinienobjekt-Verknüpfungen, um ein vorhandenes Gruppenrichtlinienobjekt (GPO) auszuwählen, und klicken Sie dann auf Bearbeiten. Sie können auch auf Neu klicken, um ein neues Gruppenrichtlinienobjekt zu erstellen, und anschließend auf Bearbeiten klicken.
Klicken Sie in der Konsolenstruktur auf Softwareeinschränkungsrichtlinien.
Where
Gruppenrichtlinienobjekt [Computername] Richtlinie/Computerkonfiguration oder
Benutzerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Softwareeinschränkungsrichtlinien
Hinweis
- Um diese Schritte auszuführen, müssen Sie Mitglied der Gruppe "Administratoren" auf dem lokalen Computer sein, oder die entsprechende Berechtigung muss an Sie delegiert worden sein. Wenn der Computer zu einer Domäne gehört, können möglicherweise Mitglieder der Gruppe "Domänen-Admins" dieses Verfahren ausführen.
- Wenn Sie Richtlinieneinstellungen festlegen möchten, die auf Computer angewendet werden, unabhängig davon, welche Benutzer sich bei ihnen anmelden, klicken Sie auf Computerkonfiguration.
- Wenn Sie Richtlinieneinstellungen festlegen möchten, die auf Benutzer angewendet werden, unabhängig davon, bei welchem Computer sie sich anmelden, klicken Sie auf Benutzerkonfiguration.
Erstellen neuer Softwareeinschränkungsrichtlinien
Öffnen Sie %%amp;quot;Richtlinien für Softwareeinschränkung%%amp;quot;.
Klicken Sie im Menü Aktion auf Neue Richtlinien für Softwareeinschränkung erstellen.
Warnung
Abhängig von Ihrer Umgebung sind für das Verfahren verschiedene Administratorrechte erforderlich:
- Wenn Sie neue Softwareeinschränkungsrichtlinien für Ihren lokalen Computer erstellen, gilt: Die Mitgliedschaft in der lokalen Gruppe Administratoren oder einer gleichwertigen Gruppe ist die Mindestanforderung für die Durchführung dieser Schritte.
- Wenn Sie neue Softwareeinschränkungsrichtlinien für einen Computer erstellen, der einer Domäne angehört, kann dieses Verfahren von Mitgliedern der Gruppe %%amp;quot;Domänen-Admins%%amp;quot; ausgeführt werden.
Falls für ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) bereits Softwareeinschränkungsrichtlinien erstellt wurden, wird der Befehl Neue Richtlinien für Softwareeinschränkung erstellen im Menü Aktion nicht angezeigt. Klicken Sie zum Löschen der auf ein Gruppenrichtlinienobjekt angewendeten Softwareeinschränkungsrichtlinien in der Konsolenstruktur mit der rechten Maustaste auf Richtlinien für Softwareeinschränkung, und klicken Sie anschließend auf Richtlinien für Softwareeinschränkungen löschen. Wenn Sie Softwareeinschränkungsrichtlinien für ein GPO löschen, löschen Sie damit auch alle Regeln der Softwareeinschränkungsrichtlinien für dieses GPO. Nach dem Löschen der Softwareeinschränkungsrichtlinien können Sie neue Softwareeinschränkungsrichtlinien für das Gruppenrichtlinienobjekt erstellen.
Hinzufügen und Entfernen von designierten Dateitypen
Öffnen Sie %%amp;quot;Richtlinien für Softwareeinschränkung%%amp;quot;.
Doppelklicken Sie im Detailbereich auf Designierte Dateitypen.
Führen Sie eines der folgenden Verfahren aus:
Geben Sie zum Hinzufügen eines Dateityps unter Dateinamenerweiterung die Dateinamenerweiterung ein, und klicken Sie dann auf Hinzufügen.
Klicken Sie zum Löschen eines Dateityps unter Designierte Dateitypen auf den Dateityp, und klicken Sie dann auf Entfernen.
Hinweis
Abhängig von der Umgebung, in der Sie einen designierten Dateityp hinzufügen oder entfernen, sind für das Verfahren verschiedene Administratorrechte erforderlich:
- Wenn Sie einen designierten Dateityp für Ihren lokalen Computer hinzufügen oder löschen, gilt: Die Mitgliedschaft in der lokalen Gruppe Administratoren oder einer gleichwertigen Gruppe ist die Mindestanforderung für die Durchführung dieser Schritte.
- Wenn Sie neue Softwareeinschränkungsrichtlinien für einen Computer erstellen, der einer Domäne angehört, kann dieses Verfahren von Mitgliedern der Gruppe %%amp;quot;Domänen-Admins%%amp;quot; ausgeführt werden.
Möglicherweise muss eine neue Softwareeinschränkungsrichtlinien-Einstellung für das Gruppenrichtlinienobjekt erstellt werden, sofern noch nicht geschehen.
Die Liste der designierten Dateitypen gilt sowohl für die Regeln für die Computerkonfiguration als auch für die Benutzerkonfiguration eines GPOs.
Verhindern, dass Softwareeinschränkungsrichtlinien für lokale Administratoren gelten
Öffnen Sie %%amp;quot;Richtlinien für Softwareeinschränkung%%amp;quot;.
Doppelklicken Sie im Detailbereich auf Erzwingen.
Klicken Sie unter Richtlinien für Softwareeinschränkung auf folgende Benutzer anwenden auf Alle Benutzer außer den lokalen Administratoren.
Warnung
- Grundvoraussetzung zur Ausführung dieses Vorgangs ist die Mitgliedschaft in der lokalen Gruppe Administratoren oder eine gleichwertige Mitgliedschaft.
- Möglicherweise muss eine neue Softwareeinschränkungsrichtlinien-Einstellung für das Gruppenrichtlinienobjekt erstellt werden, sofern noch nicht geschehen.
- Falls Benutzer in Ihrer Organisation in der Regel Mitglied der lokalen Gruppe %%amp;quot;Administratoren%%amp;quot; auf ihren Computern sind, möchten Sie diese Option möglicherweise nicht aktivieren.
- Wenn Sie eine Softwareeinschränkungsrichtlinien-Einstellung für den lokalen Computer festlegen, verhindern Sie mithilfe dieses Verfahrens, dass Softwareeinschränkungsrichtlinien auf lokale Administratoren angewendet werden. Wenn Sie eine Softwareeinschränkungsrichtlinien-Einstellung für Ihr Netzwerk festlegen, filtern Sie über Gruppenrichtlinie Benutzerrichtlinieneinstellungen basierend auf der Mitgliedschaft in Sicherheitsgruppen.
Ändern der Standardsicherheitsstufe von Softwareeinschränkungsrichtlinien
Öffnen Sie %%amp;quot;Richtlinien für Softwareeinschränkung%%amp;quot;.
Doppelklicken Sie im Detailbereich auf Sicherheitsstufen.
Klicken Sie mit der rechten Maustaste auf die Sicherheitsstufe, die Sie als Standard festlegen möchten, und klicken Sie dann auf Als Standard.
Achtung
In bestimmten Verzeichnissen kann es sich negativ auf das Betriebssystem auswirken, wenn Sie als Standardsicherheitsstufe Nicht erlaubt festlegen.
Hinweis
- Abhängig von der Umgebung, für die Sie die Standardsicherheitsstufe der Softwareeinschränkungsrichtlinien ändern, sind für das Verfahren verschiedene Administratorrechte erforderlich:
- Möglicherweise muss eine neue Softwareeinschränkungsrichtlinien-Einstellung für dieses Gruppenrichtlinienobjekt erstellt werden, sofern noch nicht geschehen.
- Im Detailbereich ist die aktuelle Standardsicherheitsstufe durch einen schwarzen Kreis mit einem Häkchen angegeben. Wenn Sie mit der rechten Maustaste auf die aktuelle Standardsicherheitsstufe klicken, wird der Befehl Als Standard nicht im Menü angezeigt.
- Regeln für Softwareeinschränkungsrichtlinien werden erstellt, um Ausnahmen für die Standardsicherheitsstufe anzugeben. Wenn als Standardsicherheitsstufe Nicht eingeschränkt festgelegt ist, kann mit Regeln Software angegeben werden, die nicht ausgeführt werden darf. Wenn als Standardsicherheitsstufe Nicht erlaubt festgelegt ist, kann mit Regeln Software angegeben werden, die ausgeführt werden darf.
- Bei der Installation wird die Standardsicherheitsstufe der Softwareeinschränkungsrichtlinien für alle Dateien im System auf Nicht eingeschränkt festgelegt.
Anwenden von Softwareeinschränkungsrichtlinien auf DLLs
Öffnen Sie %%amp;quot;Richtlinien für Softwareeinschränkung%%amp;quot;.
Doppelklicken Sie im Detailbereich auf Erzwingen.
Klicken Sie unter Richtlinien für Softwareeinschränkung anwenden auf auf Alle Softwaredateien.
Hinweis
- Um diese Schritte auszuführen, müssen Sie Mitglied der Gruppe "Administratoren" auf dem lokalen Computer sein, oder die entsprechende Berechtigung muss an Sie delegiert worden sein. Wenn der Computer zu einer Domäne gehört, können möglicherweise Mitglieder der Gruppe "Domänen-Admins" dieses Verfahren ausführen.
- Standardmäßig werden Dynamic Link Libraries (DLLs) von Softwareeinschränkungsrichtlinien nicht überprüft. Die Überprüfung von DLLs kann die Systemleistung beeinträchtigen, da Softwareeinschränkungsrichtlinien bei jedem Laden einer DLL ausgewertet werden müssen. Sie können DLLs jedoch überprüfen, wenn Sie Bedenken bzgl. eines DLL-Virus haben. Wenn die Standardsicherheitsstufe auf Nicht erlaubt eingestellt ist und Sie die DLL-Überprüfung aktivieren, müssen Sie Regeln für Softwareeinschränkungsrichtlinien erstellen, die die Ausführung jeder DLL erlauben.