Verwalten der Richtlinien für Softwareeinschränkung

In diesem Artikel für IT-Fachkräfte erfahren Sie, wie Sie ab Windows Server 2008 und Windows Vista Anwendungssteuerungsrichtlinien mithilfe von Richtlinien für die Softwareeinschränkung (Software Restriction Policies, SRP) verwalten.

Einführung

Die Richtlinien für Softwareeinschränkung (Software Restriction Policies, SRP) sind ein auf der Gruppenrichtlinie basierendes Feature, das Softwareprogramme identifiziert, die auf Computern in einer Domäne ausgeführt werden, und die Fähigkeit zur Ausführung dieser Programme steuert. Sie können Richtlinien für Softwareeinschränkung auch verwenden, um eine stark eingeschränkte Konfiguration für Computer zu erstellen, in der Sie ausschließlich die Ausführung explizit angegebener Anwendungen zulassen. Diese sind mit Microsoft Active Directory Domain Services und Gruppenrichtlinie integriert, können jedoch auch auf eigenständigen Computern konfiguriert werden. Weitere Informationen zu SRP finden Sie in den Softwareeinschränkungsrichtlinien.

Ab Windows Server 2008 R2 und Windows 7 kann Windows AppLocker anstelle von oder in Verbindung mit SRP für einen Teil der Steuerungsstrategie Ihrer Anwendungen verwendet werden.

Dieses Thema enthält:

• So öffnen Sie Softwareeinschränkungsrichtlinien

• So erstellen Sie neue Richtlinien für Softwareeinschränkung

• So fügen Sie einen bestimmten Dateityp hinzu oder löschen sie

• So verhindern Sie, dass Softwareeinschränkungsrichtlinien auf lokale Administratoren angewendet werden

• So ändern Sie die Standardsicherheitsstufe von Softwareeinschränkungsrichtlinien

• So wenden Sie Softwareeinschränkungsrichtlinien auf DLLs an

Informationen zur Ausführung bestimmter Aufgaben mit SRP finden Sie in den folgenden Artikeln:

• Ermitteln Sie die Liste Allow-Deny und das Anwendungsinventar für Softwareeinschränkungsrichtlinien

• Arbeiten mit Regeln der Richtlinien für Softwareeinschränkung

• Verwenden von Softwareeinschränkungsrichtlinien zum Schutz Ihres Computers vor einem E-Mail-Virus

So öffnen Sie Softwareeinschränkungsrichtlinien für Folgendes:

• Für Ihren lokalen Computer

• Für eine Domäne, einen Standort oder eine Organisationseinheit, und Sie befinden sich auf einem Mitgliedsserver oder auf einer Arbeitsstation, die einer Domäne beigetreten ist

• Bei einer Domäne oder Organisationseinheit befinden Sie sich auf einem Domänencontroller oder auf einer Arbeitsstation, auf der die Remoteserver-Verwaltungstools installiert sind.

• Für einen Standort, und Sie befinden sich an einem Domänencontroller oder einer Arbeitsstation, auf dem bzw. der die Remoteserver-Verwaltungstools installiert sind

Für den lokalen Computer

1. Öffnen Sie %%amp;quot;Lokale Sicherheitseinstellungen%%amp;quot;.

2. Klicken Sie in der Konsolenstruktur auf "Softwareeinschränkungsrichtlinien".

   Wo?

   • Sicherheitseinstellungen/Softwareeinschränkungsrichtlinien

Hinweis

Um diese Schritte auszuführen, müssen Sie Mitglied der Gruppe "Administratoren" auf dem lokalen Computer sein, oder die entsprechende Berechtigung muss an Sie delegiert worden sein.

Für eine Domäne, einen Standort oder eine Organisationseinheit, wenn Sie sich auf einem Mitgliedsserver oder einer Arbeitsstation befinden, die einer Domäne angehört

1. Öffnen Sie die Microsoft Management Console (MMC).

2. Klicken Sie im Menü "Datei " auf " Snap-In hinzufügen/entfernen", und klicken Sie dann auf "Hinzufügen".

3. Klicken Sie auf den Objekt-Editor für lokale Gruppenrichtlinien, und klicken Sie dann auf Hinzufügen.

4. Klicken Sie unter Gruppenrichtlinienobjekt auswählen auf Durchsuchen.

5. Wählen Sie in der Suche nach einem Gruppenrichtlinienobjekt ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) in der entsprechenden Domäne, Website oder Organisationseinheit aus, oder erstellen Sie eine neue, und klicken Sie dann auf "Fertig stellen".

6. Klicken Sie auf "Schließen", und klicken Sie dann auf "OK".

7. Klicken Sie in der Konsolenstruktur auf "Softwareeinschränkungsrichtlinien".

   Wo?

   • Gruppenrichtlinienobjekt [ComputerName] Richtlinie/Computerkonfiguration oder

     Benutzerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Softwareeinschränkungsrichtlinien

Hinweis

Zur Durchführung dieses Verfahrens müssen Sie ein Mitglied der Gruppe „Domänen-Admins“ sein.

Für eine Domäne oder Organisationseinheit, und Sie befinden sich auf einem Domänencontroller oder auf einer Arbeitsstation, auf der die Remoteserver-Verwaltungstools installiert sind

1. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole.

2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf das Gruppenrichtlinienobjekt (GPO), für das Sie Softwareeinschränkungsrichtlinien öffnen möchten.

3. Klicken Sie auf Bearbeiten, um das Gruppenrichtlinienobjekt, das Sie bearbeiten möchten, zu öffnen. Sie können auch auf Neu klicken, um ein neues Gruppenrichtlinienobjekt zu erstellen, und anschließend auf Bearbeiten klicken.

4. Klicken Sie in der Konsolenstruktur auf "Softwareeinschränkungsrichtlinien".

   Wo?

   • Gruppenrichtlinienobjekt [ComputerName] Richtlinie/Computerkonfiguration oder

     Benutzerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Softwareeinschränkungsrichtlinien

Hinweis

Zur Durchführung dieses Verfahrens müssen Sie ein Mitglied der Gruppe „Domänen-Admins“ sein.

Für einen Standort, und Sie befinden sich auf einem Domänencontroller oder auf einer Arbeitsstation, auf der die Remoteserver-Verwaltungstools installiert sind

1. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole.

2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf die Website, für die Sie Gruppenrichtlinie festlegen möchten.

   Wo?

   • Active Directory-Websites und -Dienste [Domain_Controller_Name.Domain_Name]/Sites/Site

3. Klicken Sie auf einen Eintrag in Gruppenrichtlinienobjektlinks , um ein vorhandenes Gruppenrichtlinienobjekt (Group Policy Object, GPO) auszuwählen, und klicken Sie dann auf "Bearbeiten". Sie können auch auf Neu klicken, um ein neues Gruppenrichtlinienobjekt zu erstellen, und anschließend auf Bearbeiten klicken.

4. Klicken Sie in der Konsolenstruktur auf "Softwareeinschränkungsrichtlinien".

   Wobei Folgendes gilt

   • Gruppenrichtlinienobjekt [ComputerName] Richtlinie/Computerkonfiguration oder

     Benutzerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Softwareeinschränkungsrichtlinien

Hinweis

• Um diese Schritte auszuführen, müssen Sie Mitglied der Gruppe "Administratoren" auf dem lokalen Computer sein, oder die entsprechende Berechtigung muss an Sie delegiert worden sein. Wenn der Computer zu einer Domäne gehört, können möglicherweise Mitglieder der Gruppe "Domänen-Admins" dieses Verfahren ausführen.
• Um Richtlinieneinstellungen festzulegen, die auf Computer angewendet werden, unabhängig davon, welche Benutzer sich bei ihnen anmelden, klicken Sie auf "Computerkonfiguration".
• Um Richtlinieneinstellungen festzulegen, die auf Benutzer angewendet werden, unabhängig davon, an welchem Computer sie sich anmelden, klicken Sie auf "Benutzerkonfiguration".

Erstellen neuer Softwareeinschränkungsrichtlinien

1. Öffnen Sie %%amp;quot;Richtlinien für Softwareeinschränkung%%amp;quot;.

2. Klicken Sie im Menü "Aktion " auf "Neue Softwareeinschränkungsrichtlinien".

Warnung

• Abhängig von Ihrer Umgebung sind für das Verfahren verschiedene Administratorrechte erforderlich:

  • Wenn Sie neue Richtlinien für Softwareeinschränkung für Ihren lokalen Computer erstellen: Die Mitgliedschaft in der lokalen Gruppe "Administratoren " oder gleichwertig ist die Mindestanforderung, um dieses Verfahren abzuschließen.
  • Wenn Sie neue Softwareeinschränkungsrichtlinien für einen Computer erstellen, der einer Domäne angehört, kann dieses Verfahren von Mitgliedern der Gruppe %%amp;quot;Domänen-Admins%%amp;quot; ausgeführt werden.

• Wenn Richtlinien für Softwareeinschränkung bereits für ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) erstellt wurden, wird der Befehl "Neue Softwareeinschränkungsrichtlinien " nicht im Menü "Aktion " angezeigt. Um die Softwareeinschränkungsrichtlinien zu löschen, die auf ein Gruppenrichtlinienobjekt angewendet werden, klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Softwareeinschränkungsrichtlinien, und klicken Sie dann auf "Softwareeinschränkungsrichtlinien löschen". Wenn Sie Softwareeinschränkungsrichtlinien für ein GPO löschen, löschen Sie damit auch alle Regeln der Softwareeinschränkungsrichtlinien für dieses GPO. Nach dem Löschen der Softwareeinschränkungsrichtlinien können Sie neue Softwareeinschränkungsrichtlinien für das Gruppenrichtlinienobjekt erstellen.

Hinzufügen und Entfernen von designierten Dateitypen

1. Öffnen Sie %%amp;quot;Richtlinien für Softwareeinschränkung%%amp;quot;.

2. Doppelklicken Sie im Detailbereich auf "Festgelegte Dateitypen".

3. Führen Sie eines der folgenden Verfahren aus:

   • Wenn Sie einen Dateityp hinzufügen möchten, geben Sie in der Dateinamenerweiterung die Dateinamenerweiterung ein, und klicken Sie dann auf "Hinzufügen".

   • Um einen Dateityp zu löschen, klicken Sie in den designierten Dateitypen auf den Dateityp, und klicken Sie dann auf Entfernen.

Hinweis

• Abhängig von der Umgebung, in der Sie einen designierten Dateityp hinzufügen oder entfernen, sind für das Verfahren verschiedene Administratorrechte erforderlich:

  • Wenn Sie einen bestimmten Dateityp für Ihren lokalen Computer hinzufügen oder löschen: Die Mitgliedschaft in der lokalen Gruppe "Administratoren " oder "gleichwertig" ist die Mindestanforderung, um dieses Verfahren abzuschließen.
  • Wenn Sie neue Softwareeinschränkungsrichtlinien für einen Computer erstellen, der einer Domäne angehört, kann dieses Verfahren von Mitgliedern der Gruppe %%amp;quot;Domänen-Admins%%amp;quot; ausgeführt werden.

• Möglicherweise muss eine neue Softwareeinschränkungsrichtlinien-Einstellung für das Gruppenrichtlinienobjekt erstellt werden, sofern noch nicht geschehen.

• Die Liste der designierten Dateitypen gilt sowohl für die Regeln für die Computerkonfiguration als auch für die Benutzerkonfiguration eines GPOs.

Verhindern, dass Softwareeinschränkungsrichtlinien für lokale Administratoren gelten

1. Öffnen Sie %%amp;quot;Richtlinien für Softwareeinschränkung%%amp;quot;.

2. Doppelklicken Sie im Detailbereich auf Enforcement.

3. Klicken Sie unter "Softwareeinschränkungsrichtlinien auf die folgenden Benutzer anwenden" auf "Alle Benutzer mit Ausnahme lokaler Administratoren".

Warnung

• Die Mitgliedschaft in der lokalen Gruppe "Administratoren " oder einer gleichwertigen Gruppe ist mindestens erforderlich, um dieses Verfahren abzuschließen.
• Möglicherweise muss eine neue Softwareeinschränkungsrichtlinien-Einstellung für das Gruppenrichtlinienobjekt erstellt werden, sofern noch nicht geschehen.
• Falls Benutzer in Ihrer Organisation in der Regel Mitglied der lokalen Gruppe %%amp;quot;Administratoren%%amp;quot; auf ihren Computern sind, möchten Sie diese Option möglicherweise nicht aktivieren.
• Wenn Sie eine Softwareeinschränkungsrichtlinien-Einstellung für den lokalen Computer festlegen, verhindern Sie mithilfe dieses Verfahrens, dass Softwareeinschränkungsrichtlinien auf lokale Administratoren angewendet werden. Wenn Sie eine Softwareeinschränkungsrichtlinien-Einstellung für Ihr Netzwerk festlegen, filtern Sie über Gruppenrichtlinie Benutzerrichtlinieneinstellungen basierend auf der Mitgliedschaft in Sicherheitsgruppen.

Ändern der Standardsicherheitsstufe von Softwareeinschränkungsrichtlinien

1. Öffnen Sie %%amp;quot;Richtlinien für Softwareeinschränkung%%amp;quot;.

2. Doppelklicken Sie im Detailbereich auf "Sicherheitsstufen".

3. Klicken Sie mit der rechten Maustaste auf die Sicherheitsstufe, die Sie als Standard festlegen möchten, und klicken Sie dann auf "Als Standard festlegen".

Achtung

In bestimmten Verzeichnissen kann sich das Festlegen der Standardsicherheitsstufe auf "Nicht zugelassen" negativ auf Ihr Betriebssystem auswirken.

Hinweis

• Abhängig von der Umgebung, für die Sie die Standardsicherheitsstufe der Softwareeinschränkungsrichtlinien ändern, sind für das Verfahren verschiedene Administratorrechte erforderlich:
• Möglicherweise muss eine neue Softwareeinschränkungsrichtlinien-Einstellung für dieses Gruppenrichtlinienobjekt erstellt werden, sofern noch nicht geschehen.
• Im Detailbereich ist die aktuelle Standardsicherheitsstufe durch einen schwarzen Kreis mit einem Häkchen angegeben. Wenn Sie mit der rechten Maustaste auf die aktuelle Standardsicherheitsstufe klicken, wird der Befehl "Als Standard festlegen " nicht im Menü angezeigt.
• Regeln für Softwareeinschränkungsrichtlinien werden erstellt, um Ausnahmen für die Standardsicherheitsstufe anzugeben. Wenn die Standardsicherheitsstufe auf "Uneingeschränkt" festgelegt ist, können Regeln Software angeben, die nicht ausgeführt werden darf. Wenn die Standardsicherheitsstufe auf "Nicht zulässig" festgelegt ist, können Regeln Software angeben, die ausgeführt werden darf.
• Bei der Installation wird die Standardsicherheitsstufe der Softwareeinschränkungsrichtlinien für alle Dateien auf Ihrem System auf "Uneingeschränkt" festgelegt.

Anwenden von Softwareeinschränkungsrichtlinien auf DLLs

1. Öffnen Sie %%amp;quot;Richtlinien für Softwareeinschränkung%%amp;quot;.

2. Doppelklicken Sie im Detailbereich auf Enforcement.

3. Klicken Sie unter Softwareeinschränkungsrichtlinien auf die folgenden anwenden auf Alle Softwaredateien.

Hinweis

• Um diese Schritte auszuführen, müssen Sie Mitglied der Gruppe "Administratoren" auf dem lokalen Computer sein, oder die entsprechende Berechtigung muss an Sie delegiert worden sein. Wenn der Computer zu einer Domäne gehört, können möglicherweise Mitglieder der Gruppe "Domänen-Admins" dieses Verfahren ausführen.
• Standardmäßig werden Dynamic Link Libraries (DLLs) von Softwareeinschränkungsrichtlinien nicht überprüft. Die Überprüfung von DLLs kann die Systemleistung beeinträchtigen, da Softwareeinschränkungsrichtlinien bei jedem Laden einer DLL ausgewertet werden müssen. Sie können DLLs jedoch überprüfen, wenn Sie Bedenken bzgl. eines DLL-Virus haben. Wenn die Standardsicherheitsstufe auf "Nicht zulässig" festgelegt ist und Sie die DLL-Überprüfung aktivieren, müssen Sie Richtlinien für Softwareeinschränkungsrichtlinien erstellen, mit denen jede DLL ausgeführt werden kann.