Richtlinien zur Softwareeinschränkung (Software Restriction Policies, SRP) – Technische Übersicht

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

In diesem Thema werden Softwareeinschränkungsrichtlinien beschrieben, wann und wie sie das Feature verwenden, welche Änderungen in früheren Versionen implementiert wurden, und bietet Links zu zusätzlichen Ressourcen, die Ihnen beim Erstellen und Bereitstellen von Softwareeinschränkungsrichtlinien ab Windows Server 2008 und Windows Vista helfen.

Einführung

Softwareeinschränkungsrichtlinien bieten Administratoren einen Gruppenrichtlinie-gesteuerten Mechanismus, um Software zu identifizieren und ihre Fähigkeit zu steuern, auf dem lokalen Computer auszuführen. Diese Richtlinien können verwendet werden, um Computer zu schützen, die Microsoft Windows Betriebssystemen (beginnend mit Windows Server 2003 und Windows XP Professional) vor bekannten Konflikten schützen und die Computer vor Sicherheitsbedrohungen wie böswilligen Viren und Trojanischen Pferdeprogrammen schützen. Sie können Richtlinien für Softwareeinschränkung auch verwenden, um eine stark eingeschränkte Konfiguration für Computer zu erstellen, mit der Sie ausschließlich die Ausführung explizit ausgewiesene Anwendungen zulassen. Richtlinien für Softwareeinschränkung sind mit Microsoft Active Directory und Gruppenrichtlinien verknüpft. Sie können Richtlinien für Softwareeinschränkung auch auf eigenständigen Computern erstellen.

Richtlinien für Softwareeinschränkung sind Vertrauensrichtlinien. Hierbei handelt es sich um von einem Administrator festgelegte Vorschriften, um die Ausführung von Skripts und anderem Code zu beschränken, der als nicht als absolut vertrauenswürdig erachtet wird. Die Erweiterung "Softwareeinschränkungsrichtlinien" auf den lokalen Gruppenrichtlinie-Editor bietet eine einzelne Benutzeroberfläche, über die die Einstellungen für die Einschränkung der Verwendung von Anwendungen auf dem lokalen Computer oder in einer Domäne verwaltet werden können.

Prozeduren

Nutzungsszenarien für Softwareeinschränkungsrichtlinien

Geschäftsbenutzer arbeiten mit E-Mail-, Chat- und Peer-to-Peer-Anwendungen zusammen. Da diese Zusammenarbeiten erhöht werden, insbesondere bei der Verwendung des Internets in Geschäftscomputern, gehen die Bedrohungen von böswilligen Code wie Würmern, Viren und böswilligen Benutzern oder Angreifern bedrohungen vor.

Benutzer erhalten möglicherweise feindlichen Code in vielen Formularen, die von nativen Windows ausführbaren Dateien (.exe Dateien) bis zu Makros in Dokumenten (z. B. .doc Dateien) und Skripts (z. B. VBS-Dateien) stammen. Böswillige Benutzer oder Angreifer verwenden häufig Social Engineering-Methoden, um Benutzer zum Ausführen von Code mit Viren und Würmern zu erhalten. (Social Engineering ist ein Begriff, mit dem Personen ihr Kennwort oder eine Form von Sicherheitsinformationen offenlegen können.) Wenn dieser Code aktiviert wird, kann er Denial-of-Service-Angriffe auf das Netzwerk generieren, vertrauliche oder private Daten an das Internet senden, die Sicherheit des Computers gefährden oder den Inhalt der Festplatte beeinträchtigen.

IT-Organisationen und Benutzer müssen feststellen können, welche Software sicher ausgeführt werden kann und welche nicht. Mit den großen Zahlen und Formularen, die feindlichen Code nehmen kann, wird dies zu einer schwierigen Aufgabe.

Um ihre Netzwerkcomputer sowohl von feindlichem Code als auch von unbekannter oder nicht unterstützter Software zu schützen, können Organisationen Softwareeinschränkungsrichtlinien im Rahmen ihrer allgemeinen Sicherheitsstrategie implementieren.

Administratoren können Richtlinien für Softwareeinschränkung für die folgenden Aufgaben verwenden:

  • Definieren, was als vertrauenswürdiger Code gilt.

  • Entwerfen einer flexiblen Gruppenrichtlinie zum Regulieren von Skripts, ausführbaren Dateien und ActiveX-Steuerelementen.

Richtlinien für Softwareeinschränkung werden durch das Betriebssystem und von Anwendungen (beispielsweise Skriptanwendungen) durchgesetzt, die Richtlinien für Softwareeinschränkungen erfüllen.

Administratoren können Richtlinien für Softwareeinschränkung insbesondere für die folgenden Zwecke verwenden:

  • Angeben, welche Software (ausführbare Dateien) auf Clientcomputern ausgeführt werden kann

  • Verhindern, dass Benutzer bestimmte Programme auf gemeinsam genutzten Computern ausführen.

  • Angeben, wer vertrauenswürdige Herausgeber zu Clientcomputern hinzufügen kann

  • Legen Sie den Umfang der Softwareeinschränkungsrichtlinien fest (geben Sie an, ob Richtlinien alle Benutzer oder eine Teilmenge von Benutzern auf Clientcomputern beeinflussen)

  • Verhindern, dass ausführbare Dateien auf dem lokalen Computer, in einer Organisationseinheit, am Standort oder in der Domäne ausgeführt werden. Dies wäre in adäquat, wenn Sie Richtlinien für Softwareeinschränkung nicht verwenden, um potenziellen Problemen durch böswillige Benutzer zu begegnen.

Unterschiede und Änderungen an Funktionen

Es gibt keine Änderungen in der Funktionalität in SRP für Windows Server 2012 und Windows 8.

Unterstützte Versionen

Softwareeinschränkungsrichtlinien können nur auf Computern konfiguriert und angewendet werden, die mindestens Windows Server 2003 ausgeführt werden, einschließlich Windows Server 2012, und mindestens Windows XP, einschließlich Windows 8.

Hinweis

Bestimmte Editionen des Windows Clientbetriebssystems ab Windows Vista verfügen nicht über Softwareeinschränkungen. Computer, die in einer Domäne nicht verwaltet werden, Gruppenrichtlinie möglicherweise keine verteilten Richtlinien erhalten.

Vergleich von Anwendungssteuerungsfunktionen in Softwareeinschränkungsrichtlinien und AppLocker

In der folgenden Tabelle werden die Features und Funktionen von AppLocker und den Richtlinien für Softwareeinschränkung verglichen.

Anwendungssteuerungsfunktion SRP AppLocker
`Scope` Richtlinien für Softwareeinschränkung können auf allen Windows-Betriebssystemen ab Windows XP und Windows Server 2003 angewendet werden. AppLocker-Richtlinien gelten nur für Windows Server 2008 R2, Windows Server 2012, Windows 7 und Windows 8.
Richtlinienerstellung SRP-Richtlinien werden mithilfe von Gruppenrichtlinien verwaltet, und nur der Administrator des GPO kann die SRP-Richtlinie aktualisieren. Der Administrator auf dem lokalen Computer kann die im lokalen GPO definierten SRP-Richtlinien ändern. AppLocker-Richtlinien werden mithilfe von Gruppenrichtlinien verwaltet, und nur der Administrator des GPO kann die Richtlinie aktualisieren. Der Administrator auf dem lokalen Computer kann die im lokalen GPO definierten AppLocker-Richtlinien ändern.

Mit AppLocker können Fehlermeldungen so angepasst werden, dass Benutzer auf eine Webseite für Hilfe verwiesen werden.

Richtlinienwartung SRP-Richtlinien müssen mithilfe des Snap-Ins „Lokale Sicherheitsrichtlinie“ (bei lokal erstellten Richtlinien) oder der Gruppenrichtlinien-Verwaltungskonsole (GPMC) aktualisiert werden. AppLocker-Richtlinien können mithilfe des Snap-Ins „Lokale Sicherheitsrichtlinie“ (bei lokal erstellten Richtlinien), der GPMC oder den Windows PowerShell-Cmdlets für AppLocker aktualisiert werden.
Richtlinienanwendung SRP-Richtlinien werden über eine Gruppenrichtlinie verteilt. AppLocker-Richtlinien werden über eine Gruppenrichtlinie verteilt.
Erzwingungsmodus SRP funktioniert im "Ablehnungslistenmodus", in dem Administratoren Regeln für Dateien erstellen können, die sie in diesem Enterprise nicht zulassen möchten, während die restliche Datei standardmäßig ausgeführt werden darf.

SRP kann auch im "Listenmodus zulassen" konfiguriert werden, sodass standardmäßig alle Dateien blockiert werden und Administratoren Regeln für Dateien erstellen müssen, die sie zulassen möchten.

AppLocker funktioniert standardmäßig im "Listenmodus zulassen", bei dem nur diese Dateien ausgeführt werden dürfen, für die eine übereinstimmende Berechtigungsregel vorhanden ist.
Steuerbare Dateitypen SRP kann die folgenden Dateitypen steuern:

- Ausführbare Dateien
- Dlls
- Skripts
- Windows Installer

SRP kann nicht jeden Dateityp separat steuern. Alle SRP-Regeln sind in einer zentralen Regelsammlung enthalten.

AppLocker kann folgende Dateitypen steuern:

- Ausführbare Dateien
- Dlls
- Skripts
- Windows Installer
- Verpackte Apps und Installer ( Windows Server 2012 und Windows 8)

AppLocker verwaltet für alle fünf Dateitypen eine separate Regelsammlung.

Designierte Dateitypen SRP unterstützt eine erweiterbare Liste von Dateitypen, die als ausführbar gelten. Administratoren können Erweiterungen für Dateien hinzufügen, die als ausführbar gelten sollten. Dies wird durch AppLocker nicht unterstützt. AppLocker unterstützt derzeit die folgenden Dateierweiterungen:

- Ausführbare Dateien (.exe, .com)
- Dlls (.ocx, .dll)
- Skripts (.vbs, .js, .ps1, .cmd, .bat)
- Windows Installer (.msi, .mst, .msp)
- Verpackte App-Installer (.appx)

Regeltypen SRP unterstützt vier Regeltypen:

- Hash
- Pfad
- Signatur
- Internetzone

AppLocker unterstützt drei Regeltypen:

- Hash
- Pfad
- Publisher

Bearbeiten des Hashwerts SRP ermöglicht Administratoren die Bereitstellung benutzerdefinierter Hashwerte. AppLocker berechnet den Hashwert selbst. Intern verwendet es den SHA1 Authenticode-Hash für tragbare ausführbare Dateien (Exe und Dll) und Windows Installers und einen SHA1-Flachdatei-Hash für den Rest.
Unterstützung für verschiedene Sicherheitsstufen Mit SRP-Administratoren können die Berechtigungen angeben, mit denen eine App ausgeführt werden kann. Ein Administrator kann also eine Regel so konfigurieren, dass das Editor immer mit eingeschränkten Berechtigungen und nie mit Administratorrechten ausgeführt wird.

Unter Windows Vista und früheren Versionen hat SRP mehrere Sicherheitsstufen unterstützt. Auf Windows 7 wurde diese Liste nur auf zwei Ebenen beschränkt: Nicht zulässig und uneingeschränkt (Der Einfache Benutzer übersetzt in "Nicht zulässig").

AppLocker unterstützt keine Sicherheitsstufen.
Verwalten von verpackten Apps und Verpackten App-Installationsprogrammen Nicht möglich APPX ist ein gültiger Dateityp, den AppLocker verwalten kann.
Ausrichten einer Regel auf einen Benutzer bzw. eine Benutzergruppe SRP-Regeln gelten für alle Benutzer auf einem bestimmten Computer. AppLocker-Regeln können auf einen bestimmten Benutzer bzw. eine Benutzergruppe ausgerichtet werden.
Unterstützung für Regelausnahmen SRP unterstützt keine Regelausnahmen. AppLocker-Regeln können Ausnahmen aufweisen, mit denen Administratoren Regeln wie "Alles aus Windows zulassen, außer für Regedit.exe".
Unterstützung für Überwachungsmodus SRP unterstützt den Überwachungsmodus nicht. Die einzige Möglichkeit zum Testen von SRP-Richtlinien ist das Einrichten einer Testumgebung und das Durchführen einiger Experimente. AppLocker unterstützt den Überwachungsmodus. Dies ermöglicht Administratoren das Testen der Auswirkung der Richtlinie in der echten Produktionsumgebung ohne die Benutzerfreundlichkeit zu beeinträchtigen. Sobald Sie mit den Ergebnissen zufrieden sind, können Sie mit dem Erzwingen der Richtlinie beginnen.
Unterstützung für den Export und Import von Richtlinien SRP unterstützt keinen Import/Export von Richtlinien. AppLocker unterstützt das Importieren und Exportieren von Richtlinien. Dies ermöglicht Ihnen das Erstellen einer AppLocker-Richtlinie auf einem Beispielcomputer, das Testen der Richtlinie sowie das anschließende Exportieren und erneute Importieren in das gewünschte GPO.
Regelerzwingung Intern erfolgt die Erzwingung von SRP-Regeln im weniger sicheren Benutzermodus. Intern werden AppLocker-Regeln für Exes und Dlls im Kernelmodus erzwungen, was sicherer ist als das Erzwingen der Regeln im Benutzermodus.

Systemanforderungen

Softwareeinschränkungsrichtlinien können nur auf Computern konfiguriert und angewendet werden, die mindestens Windows Server 2003 ausgeführt werden, und mindestens Windows XP. Gruppenrichtlinie ist erforderlich, Gruppenrichtlinie Objekte zu verteilen, die Softwareeinschränkungsrichtlinien enthalten.

Komponenten und Architektur von Softwareeinschränkungsrichtlinien

Softwareeinschränkungsrichtlinien bieten einen Mechanismus für das Betriebssystem und Anwendungen, die mit Softwareeinschränkungsrichtlinien kompatibel sind, um die Laufzeitausführung von Softwareprogrammen einzuschränken.

Auf hoher Ebene bestehen Softwareeinschränkungsrichtlinien aus den folgenden Komponenten:

  • Softwareeinschränkungsrichtlinien-API. Die Anwendungsprogrammierungsschnittstellen (APIs) werden verwendet, um die Regeln zu erstellen und zu konfigurieren, die die Softwareeinschränkungsrichtlinie darstellen. Es gibt auch Softwareeinschränkungsrichtlinien-APIs für Abfrage, Verarbeitung und Erzwingung von Softwareeinschränkungsrichtlinien.

  • Ein Softwareeinschränkungsrichtlinienverwaltungstool. Dies besteht aus der Erweiterung der Softwareeinschränkungsrichtlinien des lokalen Gruppenrichtlinie Objekt-Editor-Snap-Ins, das Administratoren zum Erstellen und Bearbeiten der Softwareeinschränkungsrichtlinien verwenden.

  • Eine Reihe von Betriebssystem-APIs und Anwendungen, die die Richtlinien für die Softwareeinschränkung aufrufen, um die Durchsetzung der Softwareeinschränkungsrichtlinien zur Laufzeit bereitzustellen.

  • Active Directory und Gruppenrichtlinie. Softwareeinschränkungsrichtlinien hängen von der Gruppenrichtlinie Infrastruktur ab, um die Softwareeinschränkungsrichtlinien aus dem Active Directory an die entsprechenden Clients zu verteilen und die Anwendung dieser Richtlinien auf die entsprechenden Zielcomputer zu filtern.

  • Authenticode und WinVerify Trust APIs, die zum Verarbeiten signierter ausführbarer Dateien verwendet werden.

  • Ereignisanzeige: Die Funktionen, die von Softwareeinschränkungsrichtlinien verwendet werden, protokollieren Ereignisse mit den Ereignisanzeige Protokollen.

  • Ergebnismenge von Richtlinien (RSoP), die bei der Diagnose der effektiven Richtlinie, die auf einen Client angewendet wird, unterstützen kann.

Weitere Informationen zur SRP-Architektur finden Sie in der Windows Server 2003 Technical Library, wie SRP Regeln, Prozesse und Interaktionen verwaltet.

Bewährte Methoden

Ändern Sie die Standarddomänenrichtlinie nicht.

  • Wenn Sie die Standarddomänenrichtlinie nicht bearbeiten, haben Sie immer die Möglichkeit, die Standarddomänenrichtlinie neu zu anwenden, wenn etwas mit Ihrer angepassten Domänenrichtlinie falsch geht.

Erstellen Sie ein separates Gruppenrichtlinie -Objekt für Softwareeinschränkungsrichtlinien.

  • Wenn Sie ein separates Gruppenrichtlinie-Objekt (GPO) für Softwareeinschränkungsrichtlinien erstellen, können Sie Softwareeinschränkungsrichtlinien in einem Notfall deaktivieren, ohne den Rest Ihrer Domänenrichtlinie zu deaktivieren.

Wenn Probleme mit angewendeten Richtlinieneinstellungen auftreten, starten Sie Windows im Tresor Modus neu.

  • Softwareeinschränkungsrichtlinien gelten nicht, wenn Windows im Tresor Modus gestartet wird. Wenn Sie versehentlich eine Arbeitsstation mit Softwareeinschränkungsrichtlinien sperren, starten Sie den Computer im Tresor Modus neu, melden Sie sich als lokaler Administrator an, ändern Sie die Richtlinie, führen Sie gpupdate aus, starten Sie den Computer neu, und melden Sie sich dann normal an.

Verwenden Sie Vorsicht beim Definieren einer Standardeinstellung von "Nicht zulässig".

  • Wenn Sie eine Standardeinstellung für "Nicht zulässig" definieren, ist alle Software außer für Software, die explizit zulässig ist, nicht zulässig. Jede Datei, die Sie öffnen möchten, muss über eine Richtlinienregel zur Softwareeinschränkung verfügen, mit der sie geöffnet werden kann.

  • Um Administratoren vor der Sperrung des Systems zu schützen, werden vier Registrierungspfadregeln automatisch erstellt, wenn die Standardsicherheitsstufe auf "Nicht zulässig" festgelegt ist. Sie können diese Registrierungspfadregeln löschen oder ändern; Dies wird jedoch nicht empfohlen.

Verwenden Sie für optimale Sicherheit Zugriffssteuerungslisten in Verbindung mit Softwareeinschränkungsrichtlinien.

  • Benutzer können versuchen, Softwareeinschränkungen zu umgehen, indem Sie dateien umbenennen oder nicht zulässige Dateien verschieben oder uneingeschränkte Dateien überschreiben. Daher wird empfohlen, dass Sie Zugriffssteuerungslisten (ACLs) verwenden, um Benutzern den Zugriff zu verweigern, der zum Ausführen dieser Aufgaben erforderlich ist.

Testen Sie neue Richtlinieneinstellungen gründlich in Testumgebungen, bevor Sie die Richtlinieneinstellungen auf Ihre Domäne anwenden.

  • Neue Richtlinieneinstellungen können anders als ursprünglich erwartet handeln. Das Testen verringert die Chance, ein Problem zu auftreten, wenn Sie Richtlinieneinstellungen im gesamten Netzwerk bereitstellen.

  • Sie können eine Testdomäne einrichten, getrennt von der Domäne Ihrer Organisation, in der neue Richtlinieneinstellungen getestet werden sollen. Sie können auch die Richtlinieneinstellungen testen, indem Sie ein Test-GPO erstellen und sie mit einer Testorganisationseinheit verknüpfen. Wenn Sie die Richtlinieneinstellungen mit Testbenutzern gründlich getestet haben, können Sie das Test-GPO mit Ihrer Domäne verknüpfen.

  • Legen Sie keine Programme oder Dateien auf " Nicht zulässig " fest, ohne zu testen, was der Effekt möglicherweise sein kann. Einschränkungen für bestimmte Dateien können sich ernsthaft auf den Betrieb Ihres Computers oder Netzwerks auswirken.

  • Informationen, die falsch eingegeben werden oder Fehler eingeben, können zu einer Richtlinieneinstellung führen, die nicht wie erwartet ausgeführt wird. Testen neuer Richtlinieneinstellungen, bevor sie angewendet werden, können unerwartetes Verhalten verhindert werden.

Filtern Sie Benutzerrichtlinieneinstellungen basierend auf der Mitgliedschaft in Sicherheitsgruppen.

  • Sie können Benutzer oder Gruppen angeben, für die Sie keine Richtlinieneinstellung anwenden möchten, indem Sie die Kontrollkästchen "Gruppenrichtlinie anwenden" und "Lesen" deaktivieren, die sich auf der Registerkarte "Sicherheit" des Dialogfelds "Eigenschaften" für das GPO befinden.

  • Wenn die Leseberechtigung verweigert wird, wird die Richtlinieneinstellung nicht vom Computer heruntergeladen. Dadurch wird weniger Bandbreite durch Herunterladen unnötiger Richtlinieneinstellungen verbraucht, wodurch das Netzwerk schneller funktionieren kann. Um die Leseberechtigung zu verweigern , wählen Sie das Kontrollkästchen " Lesen " aus, das sich auf der Registerkarte "Sicherheit " des Dialogfelds "Eigenschaften" für das GPO befindet.

  • Die Verknüpfung mit einem GPO in einer anderen Domäne oder Website kann zu einer schlechten Leistung führen.

Zusätzliche Ressourcen

Inhaltstyp Referenzen
Planung Technische Referenz zu Softwareeinschränkungsrichtlinien
Vorgänge Verwalten der Richtlinien für Softwareeinschränkung
Problembehandlung Problembehandlung für Softwareeinschränkungsrichtlinien (2003)
Security Bedrohungen und Gegenmaßnahmen für Softwareeinschränkungen (2008)

Bedrohungen und Gegenmaßnahmen für Softwareeinschränkungen (2008 R2)

Tools und Einstellungen Tools für Softwareeinschränkungsrichtlinien und Einstellungen (2003)
Communityressourcen Sperren von Anwendungen mit Richtlinien für Softwareeinschränkung