Softwareeinschränkungen - Software Whitelisting und Nicht privilegierte Anwendungen - "Application Sandboxing" (Ab Windows XP Professional oder höher)
Die Richtlinien für Softwareeinschränkung dienen zur Regulierung des Umgangs mit unbekannter oder nicht vertrauenswürdiger Software.
Grundprinzipien
Mit Richtlinien für Softwareeinschränkung können Sie Ihr System vor nicht vertrauenswürdiger Software schützen. Sie können Standardsicherheitsstufen für ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) definieren, so dass Software entweder standardmäßig ausgeführt oder standardmäßig nicht ausgeführt werden darf.
Für Softwareeinschränkungen stehen folgende Sicherheitsstufen zur Verfügung:
- Nicht eingeschränkt: Ermöglicht das Ausführen von Software mit allen Berechtigungen des am Computer angemeldeten Benutzers.
- Nicht erlaubt: Verhindert das Ausführen der Software.
Sie können mithilfe von Regeln für Richtlinien für Softwareeinschränkung für bestimmte Software Ausnahmen von der Standardsicherheitsstufe angeben. Wenn z. B. die Standardsicherheitsstufe auf Nicht erlaubt festgelegt ist, können Sie durch Regeln die Ausführung bestimmter Software zulassen.
Sie haben also standardmäßig zwei Möglichkeiten:
- Software Blacklisting: Sie lassen alles zu und verbieten ausgewählte Programme, z.B. bekannte Spyware
- Software Whitelisting: Sie verbieten alles und lassen nur ausgewählte Programme zu, dabei sind standardmäßig folgende Verzeichnisse erlaubt:
- %SystemRoot%, z.B. C:\Windows
- %ProgramFiles%, z.B. C:\Programme
Weiterhin stehen folgende Regeltypen zur Verfügung:
- Hashregeln
- Zertifikatregeln
- Pfadregeln (einschließlich Registrierungspfadregeln)
- Internetzonenregeln
Ausführliche Informationen zu Richtlinien für Softwarebeschränkungen finden Sie unter:
Software Whitelisting einschalten
Die folgenden Schritte zeigen Ihnen, wie Sie Software Whitelisting unter Windows einschalten und konfigurieren können, um vor Viren und Malware besser geschützt zu sein.
1. Starten Sie den Gruppenrichtlinieneditor mit dem Kommando „gpedit.msc“ über den Befehl Ausführen im Start Menü.
2. Navigieren Sie zu Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Richtlinien für Softwareeinschränkung
3. Klicken Sie im Menü Aktion auf Neue Richtlinien für Softwareeinschränkungen erstellen.
Sie haben eine neue Richtlinie für Softwareeinschränkungen definiert.
4. Navigieren Sie zu Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Richtlinien für Softwareeinschränkung -> Sicherheitstufen
Sie sollten mindestens 2 Sicherheitsstufen zur Auswahl finden: Nicht erlaubt und Nicht eingeschränkt. Das Häkchen an der Sicherheitstufe Nicht eingeschränkt zeigt an, dass diese Sicherheitstufe als Standard definiert ist, also Software Blacklisting eingeschaltet ist.
Klicken Sie der rechten Maustaste auf Nicht erlaubt und dann auf den Befehl Als Standard. Folgende Dialogbox erscheint:
Klicken Sie auf "Ja".
Ab jetzt sind die Softwareeinschränkungen auf Software Whitelisting konfiguriert.
5. Navigieren Sie zu Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Richtlinien für Softwareeinschränkung -> Zusätzliche Regeln
Klicken Sie im Menü Aktion auf Neue Pfadregel und definieren Sie zusätzliche Verzeichnisse aus denen Programme ausgeführt werden dürfen.
Geben Sie im Feld Pfad ein Verzeichnis ein, oder klicken Sie auf Durchsuchen, um eine Datei bzw. ein Verzeichnis zu suchen. Definieren Sie als Sicherheitsstufe Nicht eingeschränkt und klicken Sie anschließend auf OK.
Folgende Verzeichnisse sind standardmäßig zugelassen (whitelisted):
- %SystemRoot%, z.B. C:\Windows
- %ProgramFiles%, z.B. C:\Programme
6. Navigieren Sie zu Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Richtlinien für Softwareeinschränkung. Doppelklicken Sie Designierte Dateitypen.
Designierte Dateitypen definieren die Dateiendungen, welche von den Softwareeinschränkungen beachtet werden.
Klicken Sie in der Liste auf die Erweiterung LNK und anschließend auf den Befehl Entfernen, damit Sie überall Explorer Shortcuts ausführen können.
Dasselbe können Sie auch für andere Dateiendungen durchführen, wenn Sie diese Dateien per Doppelklick im Explorer überall öffnen möchten.
Ansonsten müssen Sie erst die zur Dateiendung gehörende Anwendung, z.B. Acces für die Dateiendung MDB, starten und dann die gewünschte Datei aus der Anwendung heraus öffnen.
Nicht privilegierte Anwendungen - Application Sandboxing
Zusätzlich zu den Sicherheitsstufen Nicht eingeschränkt und Nicht erlaubt gibt es noch drei weitere Sicherheitstufen:
- Standardbenutzer: Startet das Programm mit den Rechten der Gruppe Benutzer, und entfernt Rechte, welche über die Mitgliedschaft in anderen Gruppen zugewiesen wurden, wie z.B. die Rechte der Gruppe Administratoren oder Hauptbenutzer.
- Eingeschränkt: Startet das Programm mit den Rechten der Gruppe Eingeschränkt, d.h. Rechte wie Mitglied der Gruppe Benutzer und zusätzlich nur lesenden Zugriff auf die Registry, kein Zugriff auf Nutzerprofilverzeichnis
- Nicht Vertrauenswürdig: Startet das Programm ohne die Rechte der Gruppen Administratoren und Hauptbenutzer und ohne individuelle Rechte des Benutzers
Mithilfe dieser Sicherheitsstufen sind Sie in der Lage Anwendungen mit reduzierten Rechten ablaufen zu lassen. Ideale Kandidaten für diese nicht privilegierten Anwendungen sind natürlich alle Internetanwendungen, wie z.B. Webbrowser und Emailprogramme.
Im Moment kommt nur eine von diesen drei zusätzlichen Sicherheitstufen für den praktischen Einsatz in Frage, die Sicherheitstufe Standardbenutzer, da bei der Sicherheitsstufe Eingeschränkt SSL abgeschaltet ist und bei der Sicherheitstufe Nicht Vertrauenswürdig, die Rechte soweit eingeschränkt sind, dass z.B. der Internet Explorer nicht startet.
Folgende Schritte sind notwendig, um eine nicht privilegierte Anwendungen zu konfigurieren:
1. Starten des Registry-Editors und Editieren der Registry
Starten Sie den Registry-Editor mit dem Kommando „regedit.exe“ über den Befehl Ausführen im Start Menü.Anschließend fügen Sie den Registryeintrag Levels mit dem Datentyp DWORD und dem Wert 0x00031000 im Schlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\Codeidentifiers ein.
2. Starten Sie den Gruppenrichtlinieneditor mit dem Kommando „gpedit.msc“ über den Befehl Ausführen im Start Menü.
3. Navigieren Sie zu Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Richtlinien für Softwareeinschränkung
Klicken Sie im Menü Aktion auf Neue Richtlinien für Softwareeinschränkungen erstellen.
4. Navigieren Sie zu Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Richtlinien für Softwareeinschränkung -> Sicherheitstufen
Sie sollten 5 Sicherheitsstufen zur Auswahl finden: Nicht erlaubt, Nicht vertrauenswürdig, Eingeschränkt, Standardbenutzer und Nicht eingeschränkt
5. Navigieren Sie zu Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Richtlinien für Softwareeinschränkung -> Zusätzliche Regeln
6. Klicken Sie im Menü Aktion auf Neue Pfadregel
7. Geben Sie im Feld Pfad einen Pfad ein, oder klicken Sie auf Durchsuchen, um eine Datei bzw. ein Verzeichnis zu suchen. Wählen Sie C:\Programme\Internet Explorer\iexplore.exe
8. Klicken Sie unter Sicherheitsstufe auf Standardbenutzer
9. Klicken Sie dann auf OK
Ab jetzt kann keine Software mehr über den Internet Explorer in das System installiert werden, da die Anwendung mit den reduzierten Rechten der Gruppe Benutzer ausgeführt wird. Ansonsten ist der Internet Explorer voll funktionsfähig. Sie haben dem Webbrowser lediglich die Rechte entzogen, Software in das System zu installieren.
Um weiterhin Software über den Internet Explorer installieren zu können, z.B. um ein Plug-in zu installieren oder Windows Update zu nutzen, müssen Sie alle Dateien des Verzeichnisses "C:\Programme\Internet Explorer" in ein neues Verzeichnis kopieren, z.B. nach "C:\Programme\Administrativer Internet Explorer" und den Internet Explorer von dort aus starten. Diese neue Internet Explorer Instanz sollten Sie eindeutig kennzeichnen, indem Sie den Shortcut für diese neue Instanz entsprechend benennen, z.B. „Internet Explorer (nur für Administratoren)“ und eventuell über Dateisystemzugriffsrechte nur für bestimmte Benutzer zugänglich machen .
Weitere Informationen zu den beschriebenen Verfahren finden Sie unter:
- Fünf Grundregeln für den sicheren Betrieb von Windows-Systemen
- “Applying the Principle of Least Privilege to User Accounts on Windows XP”
- “Browsing the Web and Reading E-mail Safely as an Administrator”
- “Browsing the Web and Reading E-mail Safely as an Administrator, Part 2”
- “Running restricted -- What does the "protect my computer" option mean?”
- “SaferCreateLevel”