Windows: Anwendungen blockieren oder erlauben: Softwareeinschränkung

Den Start von bestimmten Anwendungen verhindern oder nur bestimmte Anwendungen erlauben: Viren, Malware oder Ransomware gar nicht erst ausführen: Mit Hilfe der Softwareeinschränkung können nur erlaubte ausführbare Dateien gestartet werden. Erlaubt werden kann der Hash-Wert der Dateien oder bestimmte Pfade. Die Softwareeinschränkung ist ab den Windows Versionen Professional enthaltenen. Windows Enterprise bietet mit Applocker zusätzlich eine etwas bessere Verwaltung und die Möglichkeit automatisch Hashwerte aus allen aktuell vorhandenen Programmen zu erstellen.

Wer auf seinem Computer nur sehr selten neue Programme installiert, muss für den zusätzlichen Schutz nur initial etwas Zeit investieren. Neu installierte Programme müssen dann, je nach Konfiguriation, erlaubt werden.

Richtlinien für Softwareeinschränkung

Die Sofwareeinschränkung kann in der lokalen Gruppenrichtlinie mit dem Befehl gpedit.msc konfiguriert werden.

Voraussetzung dafür ist, wie bereits erwähnt, Windows 10 Enterprise oder Professional, siehe auch: Windows 10 Build Version anzeigen - herausfinden.

Unter "Computerkonfiguration", "Windows-Einstellungen", "Sicherheitseinstellungen" kann eine "Neue Richtlinie für Softwareeinschränkung" erstellt werden

Blacklist oder Whitelist

Die Softwareeinschränkung ist bezüglich der Konfiguration sehr flexibel. So können zum Beispiel nur bestimme Programme verboten werden oder wesentlich sicherer: nur gewünschte Programme erlaubt werden.

Nicht erlauben als Standard

Um nur bestimmte Programme zu erlauben, stelle ich die Sicherheitsstufe auf "Nicht erlaubt".

Damit im Anschluss das Startmenü noch funktioniert musste ich .LNK als Dateierweiterung entfernt:

Der Großteil der Windows-Programme funktioniert standardmäßig, eine Ausnahme dazu sind einige Programme im Ordner: "Programme (x86)", so kann zum Beispiel der 32bit-Internet Explorer gar nicht mehr gestartet werden:

In der Ereignisanzeige erzeugen alle blockierten Programme einen Eintrag.

Um ein blockiertes Programm zu erlauben, reicht also ein Blick in die Ereignisanzeige und das Definieren einer Ausnahme. Als zusätzliche Regel kann der Pfad zur ausführbaren Datei zu einem Ordner mit ausführbaren Dateien oder ein Hash-Wert erlaubt werden:

Pfad-Regel

Würde ich "c:\Program Files (x86)" als Pfadregel angeben, würde dies alle ausführbaren Dateien in allen Unterordnern erlauben.

Hashregel

Noch sicherer ist eine Hash-Regel. Durch Auswahl der Datei wird für die ausführbare Datei ein eindeutiger Hash-Wert errechnet. Sollte sich die Datei ändern, kann diese nicht mehr ausgeführt werden. Das ist auch gleichzeigt das Problem der Hash-regel: Updates an den Programmen verhindern eventuell das Ausführen dieser.

Nicht eingeschränkt

Standardmäßig werden alle Programme erlaubt, für die ein Benutzer die Berechtigungen hat: der Standard ist also: Nicht eingeschränkt.

Da Schadprogramme sehr oft aus dem Benutzerprofil (%appdata%) gestartet werden, bringt das Verbieten von ausführbaren Dateien aus dem Benutzerprofil bereits eine bessere Sicherheit:

Pfade und Variablen:

“%UserProfile%” zeigt auf: C:\Documents and Settings\User and all subfolders under this directory.
“%ProgramFiles%\Anwendung” zeigt auf: "C:\Program Files\Anwendung" und alle Unterordner des Verzeichnisses.

“\\DC-??\login$” zeigt auf: \\DC-01\login$, \\DC-02\login$
“*\Windows” zeigt auf: C:\Windows, D:\Windows, E:\Windows
“c:\win*” zeigt auf: c:\winnt, c:\windows, c:\windir

siehe auch: https://technet.microsoft.com/en-us/library/cc786941(v=ws.10).aspx

Applocker

Microsoft hat in den jüngsten Windows-Versionen zusätzlich eine Anwendungssteuerungsrichtlinie eingeführt: AppLocker. AppLocker bietet durch den vorhandenen Wizard mehr Komfort bei der Einrichtung als die Softwareeinschränkung.

Auch wenn das Applocker-Menü in der Gruppenrichtlinienverwaltung von Windows 10 Professional enthalten ist, kann es dennoch nur mit Windows 10 Enterprise verwendet werden: