In diesem Thema werden Richtlinien für Softwareeinschränkung beschrieben, und Sie erfahren, wann und wie Sie das Feature verwenden und welche Änderungen in früheren Releases implementiert wurden. Außerdem finden Sie hier Links zu weiteren Ressourcen, die Ihnen bei Betriebssystemversionen ab Windows Server 2008 und Windows Vista beim Erstellen und Bereitstellen von Richtlinien für Softwareeinschränkung helfen.
Einführung
Richtlinien für Softwareeinschränkung bieten Administratoren einen gruppenrichtlinienbasierten Mechanismus zum Identifizieren von Software und Steuern ihrer Ausführbarkeit auf dem lokalen Computer. Diese Richtlinien können verwendet werden, um Computer mit Microsoft Windows-Betriebssystemen (ab Windows Server 2003 und Windows XP Professional) vor bekannten Konflikten sowie Sicherheitsbedrohungen wie Viren und Trojanern zu schützen. Sie können Richtlinien für Softwareeinschränkung auch verwenden, um eine stark eingeschränkte Konfiguration für Computer zu erstellen, mit der Sie ausschließlich die Ausführung explizit ausgewiesene Anwendungen zulassen. Richtlinien für Softwareeinschränkung sind mit Microsoft Active Directory und Gruppenrichtlinien verknüpft. Sie können Richtlinien für Softwareeinschränkung auch auf eigenständigen Computern erstellen.
Richtlinien für Softwareeinschränkung sind Vertrauensrichtlinien. Hierbei handelt es sich um von einem Administrator festgelegte Vorschriften, um die Ausführung von Skripts und anderem Code zu beschränken, der als nicht als absolut vertrauenswürdig erachtet wird. Die Erweiterung „Richtlinien für Softwareeinschränkung“ des Editors für lokale Gruppenrichtlinien stellt eine einzelne Benutzeroberfläche bereit, über die die Einstellungen zum Einschränken der Verwendung von Anwendungen auf dem lokalen Computer oder in einer ganzen Domäne verwaltet werden können.
Verwendungsszenarien für Richtlinien für Softwareeinschränkung
Geschäftsbenutzer nutzen E-Mail, Chat und Peer-to-Peer-Anwendungen für die Zusammenarbeit. In dem Maße, in dem diese Zusammenarbeit an Umfang zunimmt – insbesondere durch die Nutzung des Internets auf geschäftlich genutzten Computern –, nehmen auch die Bedrohungen durch schädlichen Code wie Würmer, Viren und böswillige Benutzer oder Angreifer zu.
Benutzer können schädlichen Code in vielen Formen erhalten, angefangen bei nativen ausführbaren Windows-Dateien (EXE-Dateien) über Makros in Dokumenten (z. B. DOC-Dateien) bis hin zu Skripts (z. B. VBS-Dateien). Böswillige Benutzer oder Angreifer verwenden häufig Social Engineering-Methoden, um Benutzer zur Ausführung von Code zu verleiten, der Viren und Würmer enthält. (Social Engineering ist ein Verfahren, bei dem Personen durch entsprechende Beeinflussung dazu verleitet werden, ihr Kennwort oder andere Sicherheitsinformationen preiszugeben.) Wenn solcher Code aktiviert wird, kann er Denial-of-Service-Angriffe auf das Netzwerk generieren, vertrauliche oder private Daten an das Internet senden, die Sicherheit des Computers gefährden oder den Inhalt der Festplatte beschädigen.
IT-Organisationen und Benutzer müssen bestimmen können, welche Software sicher ausgeführt werden kann und welche nicht. Dies kann sich aufgrund der Vielzahl von schädlichem Code und der vielen unterschiedlichen Formen, die dieser annehmen kann, als eine schwierige Aufgabe erweisen.
Zum Schutz ihrer Netzwerkcomputer vor schädlichem Code sowie unbekannter oder nicht unterstützter Software können Organisationen Richtlinien für Softwareeinschränkung als Teil ihrer allgemeinen Sicherheitsstrategie implementieren.
Administratoren können Richtlinien für Softwareeinschränkung für die folgenden Aufgaben verwenden:
Definieren, was als vertrauenswürdiger Code gilt.
Entwerfen einer flexiblen Gruppenrichtlinie zum Regulieren von Skripts, ausführbaren Dateien und ActiveX-Steuerelementen.
Richtlinien für Softwareeinschränkung werden durch das Betriebssystem und von Anwendungen (beispielsweise Skriptanwendungen) durchgesetzt, die Richtlinien für Softwareeinschränkungen erfüllen.
Administratoren können Richtlinien für Softwareeinschränkung insbesondere für die folgenden Zwecke verwenden:
Angeben, welche Software (ausführbare Dateien) auf Clientcomputern ausgeführt werden kann
Verhindern, dass Benutzer bestimmte Programme auf gemeinsam genutzten Computern ausführen.
Angeben, wer Clientcomputern vertrauenswürdige Herausgeber hinzufügen kann
Festlegen des Geltungsbereichs der Richtlinien für Softwareeinschränkung (Angeben, ob Richtlinien alle Benutzer oder nur eine Teilmenge der Benutzer von Clientcomputern betreffen)
Verhindern, dass ausführbare Dateien auf dem lokalen Computer, in einer Organisationseinheit, am Standort oder in der Domäne ausgeführt werden. Dies wäre in adäquat, wenn Sie Richtlinien für Softwareeinschränkung nicht verwenden, um potenziellen Problemen durch böswillige Benutzer zu begegnen.
Unterschiede und Änderungen der Funktionalität
Die Funktionalität von Richtlinien für Softwareeinschränkung wurde in Windows Server 2012 und Windows 8 nicht geändert.
Unterstützte Versionen
Richtlinien für Softwareeinschränkung können nur auf Computern konfiguriert und auf Computer angewendet werden, auf denen mindestens Windows Server 2003, einschließlich Windows Server 2012, und mindestens Windows XP, einschließlich Windows 8, ausgeführt wird.
Hinweis
Bestimmte Editionen des Windows-Clientbetriebssystems ab Windows Vista verfügen nicht über Richtlinien für Softwareeinschränkung. Computer, die nicht in einer Domäne durch Gruppenrichtlinien verwaltet werden, empfangen möglicherweise keine verteilten Richtlinien.
Vergleich der Anwendungssteuerungsfunktionen der Richtlinien für Softwareeinschränkung und von AppLocker
In der folgenden Tabelle werden die Features und Funktionen von AppLocker und den Richtlinien für Softwareeinschränkung verglichen.
Anwendungssteuerungsfunktion
SRP
AppLocker
`Scope`
Richtlinien für Softwareeinschränkung können auf allen Windows-Betriebssystemen ab Windows XP und Windows Server 2003 angewendet werden.
AppLocker-Richtlinien gelten nur für Windows Server 2008 R2, Windows Server 2012, Windows 7 und Windows 8.
Richtlinienerstellung
SRP-Richtlinien werden mithilfe von Gruppenrichtlinien verwaltet, und nur der Administrator des GPO kann die SRP-Richtlinie aktualisieren. Der Administrator auf dem lokalen Computer kann die im lokalen GPO definierten SRP-Richtlinien ändern.
AppLocker-Richtlinien werden mithilfe von Gruppenrichtlinien verwaltet, und nur der Administrator des GPO kann die Richtlinie aktualisieren. Der Administrator auf dem lokalen Computer kann die im lokalen GPO definierten AppLocker-Richtlinien ändern.
Mit AppLocker können Fehlermeldungen so angepasst werden, dass Benutzer auf eine Webseite für Hilfe verwiesen werden.
Richtlinienwartung
SRP-Richtlinien müssen mithilfe des Snap-Ins „Lokale Sicherheitsrichtlinie“ (bei lokal erstellten Richtlinien) oder der Gruppenrichtlinien-Verwaltungskonsole (GPMC) aktualisiert werden.
AppLocker-Richtlinien können mithilfe des Snap-Ins „Lokale Sicherheitsrichtlinie“ (bei lokal erstellten Richtlinien), der GPMC oder den Windows PowerShell-Cmdlets für AppLocker aktualisiert werden.
Richtlinienanwendung
SRP-Richtlinien werden über eine Gruppenrichtlinie verteilt.
AppLocker-Richtlinien werden über eine Gruppenrichtlinie verteilt.
Erzwingungsmodus
Richtlinien für Softwareeinschränkung werden im „Verweigerungslistenmodus“ angewendet, d. h. Administratoren können Regeln für Dateien erstellen, die sie im Unternehmen nicht zulassen möchten, während die übrigen Dateien standardmäßig ausgeführt werden dürfen.
Richtlinien für Softwareeinschränkung können auch im „Zulassungslistenmodus“ konfiguriert werden, sodass standardmäßig alle Dateien blockiert werden und Administratoren für Dateien, die sie zulassen möchten, Zulassungsregeln erstellen müssen.
AppLocker verwendet standardmäßig den „Zulassungslistenmodus“, d. h. nur Dateien mit einer entsprechenden Zulassungsregel dürfen ausgeführt werden.
Steuerbare Dateitypen
SRP kann die folgenden Dateitypen steuern:
- Ausführbare Dateien - DLL-Dateien - Skripts - Windows Installer
SRP kann nicht jeden Dateityp separat steuern. Alle SRP-Regeln sind in einer zentralen Regelsammlung enthalten.
AppLocker kann folgende Dateitypen steuern:
- Ausführbare Dateien - DLL-Dateien - Skripts - Windows Installer - App- und Installer-Pakete (Windows Server 2012 und Windows 8)
AppLocker verwaltet für alle fünf Dateitypen eine separate Regelsammlung.
Designierte Dateitypen
SRP unterstützt eine erweiterbare Liste von Dateitypen, die als ausführbar gelten. Administratoren können Erweiterungen für Dateien hinzufügen, die als ausführbar gelten sollten.
Dies wird durch AppLocker nicht unterstützt. AppLocker unterstützt derzeit die folgenden Dateierweiterungen:
Richtlinien für Softwareeinschränkung ermöglichen es Administratoren, benutzerdefinierte Hashwerte anzugeben.
AppLocker berechnet den Hashwert selbst. Intern wird der SHA1-Authenticode-Hash für übertragbare ausführbare Dateien (EXE- und DLL-Dateien) sowie Windows Installer und ein SHA1-Flatfile-Hash für alle anderen Dateien verwendet.
Unterstützung für verschiedene Sicherheitsstufen
Mit Richtlinien für Softwareeinschränkung können Administratoren die Berechtigungen angeben, mit denen eine App ausgeführt werden kann. Beispielsweise kann ein Administrator eine Regel konfigurieren, dass Editor immer mit eingeschränkten Berechtigungen und nie mit Administratorrechten ausgeführt wird.
Unter Windows Vista und früheren Versionen hat SRP mehrere Sicherheitsstufen unterstützt. Unter Windows 7 wurde diese Liste auf nur zwei Stufen beschränkt: „Nicht erlaubt“ und „Nicht eingeschränkt“ („Standardbenutzer“ entspricht „Nicht erlaubt“).
AppLocker unterstützt keine Sicherheitsstufen.
Verwalten von App-Paketen und App-Installer-Paketen
Nicht möglich
APPX ist ein gültiger Dateityp, den AppLocker verwalten kann.
Ausrichten einer Regel auf einen Benutzer bzw. eine Benutzergruppe
SRP-Regeln gelten für alle Benutzer auf einem bestimmten Computer.
AppLocker-Regeln können auf einen bestimmten Benutzer bzw. eine Benutzergruppe ausgerichtet werden.
Unterstützung für Regelausnahmen
SRP unterstützt keine Regelausnahmen.
AppLocker-Regeln können Ausnahmen aufweisen, die Administratoren das Erstellen von Regeln wie z. B. „Alle Dateien von Windows mit Ausnahme von Regedit.exe zulassen“ ermöglichen.
Unterstützung für Überwachungsmodus
SRP unterstützt den Überwachungsmodus nicht. Die einzige Möglichkeit zum Testen von SRP-Richtlinien ist das Einrichten einer Testumgebung und das Durchführen einiger Experimente.
AppLocker unterstützt den Überwachungsmodus. Dies ermöglicht Administratoren das Testen der Auswirkung der Richtlinie in der echten Produktionsumgebung ohne die Benutzerfreundlichkeit zu beeinträchtigen. Sobald Sie mit den Ergebnissen zufrieden sind, können Sie mit dem Erzwingen der Richtlinie beginnen.
Unterstützung für den Export und Import von Richtlinien
SRP unterstützt keinen Import/Export von Richtlinien.
AppLocker unterstützt das Importieren und Exportieren von Richtlinien. Dies ermöglicht Ihnen das Erstellen einer AppLocker-Richtlinie auf einem Beispielcomputer, das Testen der Richtlinie sowie das anschließende Exportieren und erneute Importieren in das gewünschte GPO.
Regelerzwingung
Intern erfolgt die Erzwingung von SRP-Regeln im weniger sicheren Benutzermodus.
Intern werden AppLocker-Regeln für EXE- und DLL-Dateien im Kernelmodus erzwungen. Dies ist sicherer als die Erzwingung im Benutzermodus.
Systemanforderungen
Richtlinien für Softwareeinschränkung können nur auf Computern konfiguriert und auf Computer angewendet werden, auf denen mindestens Windows Server 2003 und mindestens Windows XP ausgeführt wird. Zur Verteilung von Gruppenrichtlinienobjekten (Group Policy Object, GPO), die Richtlinien für Softwareeinschränkung enthalten, ist eine Gruppenrichtlinie erforderlich.
Komponenten und Architektur von Richtlinien für Softwareeinschränkung
Richtlinien für Softwareeinschränkung bieten einen Mechanismus für das Betriebssystem und Anwendungen, die mit Richtlinien für Softwareeinschränkung konform sind, um die Laufzeitausführung von Softwareprogrammen einzuschränken.
Allgemein gesprochen, bestehen Richtlinien für Softwareeinschränkung aus den folgenden Komponenten:
API für Richtlinien für Softwareeinschränkung. Die Anwendungsprogrammierschnittstellen (Application Programming Interface, API) werden zum Erstellen und Konfigurieren der Regeln verwendet, die die Richtlinie für Softwareeinschränkung bilden. Es sind auch APIs für Richtlinien für Softwareeinschränkung zum Abfragen, Verarbeiten und Erzwingen von Richtlinien für Softwareeinschränkung verfügbar.
Ein Tool zur Verwaltung von Richtlinien für Softwareeinschränkung. Bei diesem Tool handelt es sich um die Erweiterung Richtlinien für Softwareeinschränkung des Snap-Ins Lokaler Gruppenrichtlinienobjekt-Editor, mit dem Administratoren die Richtlinien für Softwareeinschränkung erstellen und bearbeiten.
Eine Reihe von Betriebssystem-APIs und Anwendungen, die die APIs für Richtlinien für Softwareeinschränkung aufrufen, um die Richtlinien für Softwareeinschränkung zur Laufzeit zu erzwingen.
Active Directory und Gruppenrichtlinie. Richtlinien für Softwareeinschränkung nutzen die Gruppenrichtlinieninfrastruktur, um die Richtlinien für Softwareeinschränkung aus Active Directory an die entsprechenden Clients zu verteilen und die Anwendung dieser Richtlinien auf die entsprechenden Zielcomputer einzugrenzen und zu filtern.
Authenticode- und WinVerifyTrust-APIs, die zum Verarbeiten signierter ausführbarer Dateien verwendet werden.
Ereignisanzeige: Die von Richtlinien für Softwareeinschränkung verwendeten Funktionen protokollieren Ereignisse in den Protokollen der Ereignisanzeige.
Ein Richtlinienergebnissatz (Resultant Set of Policies, RSoP), der bei der Diagnose der effektiven Richtlinie, die auf einen Client angewendet wird, helfen kann.
Weitere Informationen zur Architektur von Richtlinien für Softwareeinschränkung und dazu, wie diese Richtlinien Regeln, Prozesse und Interaktionen verwalten, finden Sie unter How Software Restriction Policies Work (Funktionsweise von Richtlinien für Softwareeinschränkung) in der technischen Bibliothek zu Windows Server 2003.
Bewährte Methoden
Ändern Sie nicht die Standarddomänenrichtlinie.
Wenn Sie die Standarddomänenrichtlinie nicht bearbeiten, haben Sie immer die Möglichkeit, diese erneut anzuwenden, falls bei Ihrer benutzerdefinierten Domänenrichtlinie ein Fehler auftritt.
Erstellen Sie ein separates Gruppenrichtlinienobjekt für Richtlinien für Softwareeinschränkung.
Wenn Sie ein separates Gruppenrichtlinienobjekt für Richtlinien für Softwareeinschränkung erstellen, können Sie Richtlinien für Softwareeinschränkung im Notfall deaktivieren, ohne die restliche Domänenrichtlinie zu deaktivieren.
Falls Probleme mit angewendeten Richtlinieneinstellungen auftreten, starten Sie Windows im abgesicherten Modus neu.
Richtlinien für Softwareeinschränkung gelten nicht, wenn Windows im abgesicherten Modus gestartet wird. Wenn Sie versehentlich eine Arbeitsstation mit Richtlinien für Softwareeinschränkung sperren, starten Sie den Computer im abgesicherten Modus neu, melden Sie sich als lokaler Administrator an, ändern Sie die Richtlinie, führen Sie gpupdate aus, starten Sie den Computer neu, und melden Sie sich dann normal an.
Gehen Sie mit Bedacht vor, wenn Sie eine Standardeinstellung für „Nicht erlaubt“ definieren.
Wenn Sie eine Standardeinstellung für Nicht erlaubt festlegen, ist sämtliche Software mit Ausnahme explizit zugelassener Software nicht erlaubt. Jede Datei, die Sie öffnen möchten, muss in den Richtlinien für Softwareeinschränkung über eine Regel verfügen, die das Öffnen der Datei zulässt.
Wenn die Standardsicherheitsstufe auf Nicht erlaubt festgelegt ist, werden automatisch vier Registrierungspfadregeln erstellt, um zu verhindern, dass Administratoren ihren eigenen Zugriff auf das System sperren. Sie können diese Registrierungspfadregeln löschen oder ändern, dies wird jedoch nicht empfohlen.
Für optimale Sicherheit verwenden Sie Zugriffssteuerungslisten (Access Control List, ACL) in Verbindung mit Richtlinien für Softwareeinschränkung.
Benutzer können versuchen, Richtlinien für Softwareeinschränkung zu umgehen, indem sie nicht erlaubte Dateien umbenennen oder verschieben oder nicht eingeschränkte Dateien überschreiben. Daher wird empfohlen, Benutzern mithilfe von Zugriffssteuerungslisten den erforderlichen Zugriff zum Ausführen dieser Aufgaben zu verweigern.
Testen Sie neue Richtlinieneinstellungen gründlich in Testumgebungen, bevor Sie sie auf Ihre Domäne anwenden.
Neue Richtlinieneinstellungen funktionieren möglicherweise anders als ursprünglich erwartet. Tests verringern die Wahrscheinlichkeit, dass ein Problem auftritt, wenn Sie Richtlinieneinstellungen in Ihrem Netzwerk bereitstellen.
Sie können eine von der Domäne Ihrer Organisation getrennte Testdomäne einrichten, in der Sie neue Richtlinieneinstellungen testen. Sie können die Richtlinieneinstellungen auch testen, indem Sie ein Test-Gruppenrichtlinienobjekt erstellen und mit einer Testorganisationseinheit verknüpfen. Nachdem Sie die Richtlinieneinstellungen sorgfältig mit Testbenutzern getestet haben, können Sie das Test-Gruppenrichtlinienobjekt mit Ihrer Domäne verknüpfen.
Legen Sie Programme oder Dateien nicht auf Nicht erlaubt fest, ohne die möglichen Auswirkungen zu testen. Einschränkungen für bestimmte Dateien können den Betrieb Ihres Computers oder Netzwerks erheblich beeinträchtigen.
Falsch eingegebene Informationen oder Tippfehler können zu einer Richtlinieneinstellung führen, die nicht wie erwartet funktioniert. Indem Sie neue Richtlinieneinstellungen vor ihrer Anwendung testen, können Sie unerwartetes Verhalten verhindern.
Filtern Sie Benutzerrichtlinieneinstellungen basierend auf der Mitgliedschaft in Sicherheitsgruppen.
Sie können Benutzer oder Gruppen angeben, für die eine Richtlinieneinstellung nicht gelten soll, indem Sie auf der Registerkarte Sicherheit des Eigenschaftendialogfelds für das Gruppenrichtlinienobjekt die Kontrollkästchen Gruppenrichtlinie übernehmen und Lesen deaktivieren.
Wenn die Berechtigung „Lesen“ verweigert wird, wird die Richtlinieneinstellung nicht vom Computer heruntergeladen. Dadurch wird weniger Bandbreite durch den Download unnötiger Richtlinieneinstellungen verbraucht und folglich die Netzwerkgeschwindigkeit erhöht. Wählen Sie zum Verweigern der Berechtigung „Lesen“ auf der Registerkarte Sicherheit des Eigenschaftendialogfelds für das Gruppenrichtlinienobjekt die Option Verweigern für das Kontrollkästchen Lesen aus.
Stellen Sie keine Verknüpfung mit einem Gruppenrichtlinienobjekt in einer anderen Domäne oder Website her.
Das Verknüpfen mit einem Gruppenrichtlinienobjekt in einer anderen Domäne oder Website kann die Leistung beeinträchtigen.