121920

Programme systemweit verbieten

26.03.2008 | 09:13 Uhr |

Windows Vista und ein XP auf aktuellem Update-Stand kennen erweiterte Richtlinien, mit denen sich der Start von Software reglementieren lässt. Der Artikel erklärt den Einsatz der Gruppenrichtlinien Gpedit.msc am Beispiel der schärfsten Option – der Hash-Regeln. Hier gehen wir auf den Unterschied zwischen Pfad- und Hash-Regeln ein.

Die Software-Einschränkungen definieren Sie nach dem Start von Gpedit.msc unter „Windows-Einstellungen, Sicherheitseinstellungen, Richtlinien für Softwareeinschränkung, Zusätzliche Regeln“. Falls diese Rubrik noch nie editiert wurde, müssen Sie zunächst nach Rechtsklick „Neue Richtlinien erstellen“. Danach entsteht automatisch der neue Eintrag „Zusätzliche Regeln“. Wenn Sie diesen nun markieren, können Sie nach Rechtsklick im rechten Wertefenster wahlweise Zertifikat-, Hash-, Internetzonen- oder Pfadregeln festlegen.

Um bestimmte Programme zu verbieten, sind Hash-Regeln die schärfste Waffe. Sie wählen also „Neue Hashregel“, klicken sich mit „Durchsuchen“ zum gewünschten Programm und schließen danach bei voreingestellter „Sicherheitstufe: Nicht erlaubt“ mit „OK“ den Dialog. Das Programm, Script oder auch Dokument (Dokumenttypen lassen sich eine Ebene höher unter „Designierte Dateitypen“ zusätzlich eintragen) wird anhand eines eindeutigen MD5-Hash-Werts identifiziert und – falls zutreffend – verboten. Die mit Gpedit vergebene Regel gilt sofort.

Pfadregeln: Sie sind einfacher zu handhaben, weil sich mit einer einzigen Regel gleich ganze Ordnerstrukturen verbieten lassen. Sie sind aber auch leichter zu umgehen: Wenn Sie einen bestimmten Ordner verbieten, sperrt Windows (inklusive aller Anwendungen und Kommando-Shells) alle darin enthaltenen ausführbaren Programme. Das Programm startet hingegen sofort wieder unbeeindruckt, wenn es in einen erlaubten Pfad kopiert wird. Eine Barriere für weniger versierte PC-Benutzer errichten aber auch Pfadregeln, zumal die meisten Anwendungen ein simples Verschieben wegen diverser Registry-Einstellungen gar nicht vertragen.

Hash-Regeln: Bei einer Hash-Regel ist das verbotene Programm systemweit gesperrt, solange die ausführbare Datei den eingetragenen MD5-Hash-Wert aufweist. Einfaches Verschieben kann dagegen ebenso wenig ausrichten wie etwa eine Neu-Installation. Gegen wirklich versierte PC-Anwender hilft eine Hash-Regel aber auch nicht nachhaltig: Wenn ein Anwender an die gesperrte Programmdatei etwa mit einem simplen Copy-Befehl wie

copy /b programm.exe + xyz.txt neu.exe

um einige Bytes erweitert, ändert sich der Hash-Wert, und damit fällt die Blockade.
Die aus Windows Server 2003 stammenden Software-Einschränkungen eignen sich daher ganz gut, um auf einem Mehrbenutzersystem etwa weniger geübte Familienmitglieder von bestimmter Software fernzuhalten. Die ganz harten Restriktionen bedeuten sie nicht.

Gpedit steht nur in XP Pro sowie Vista Business und Ultimate zur Verfügung. Eine einfache Variante für Home-Versionen finden Sie im Folgetipp mit pcwWinPolice .

0 Kommentare zu diesem Artikel
121920