128242

Software-Einschränkungen mit Gpedit

01.04.2008 | 08:14 Uhr |

Windows Vista und ein XP auf aktuellem Update-Stand kennen Gruppenrichtlinien, mit denen sich der Start von Software reglementieren lässt.

In einem per Richtlinie gesperrten Pfad können auch keine Programme aus Unterverzeichnissen mehr gestartet werden
Vergrößern In einem per Richtlinie gesperrten Pfad können auch keine Programme aus Unterverzeichnissen mehr gestartet werden
© 2014

Die Software-Einschränkungen definieren Sie nach dem Start von Gpedit.msc unter „Windows-Einstellungen, Sicherheitseinstellungen, Zusätzliche Regeln“. Falls diese Rubrik noch nie editiert wurde, müssen Sie zunächst nach Rechtsklick „Neue Richtlinien erstellen“. Danach entsteht automatisch der neue Eintrag „Zusätzliche Regeln“. Wenn Sie diesen markieren, können Sie nach Rechtsklick im rechten Wertefenster wahlweise Zertifikat-, Hash-, Internetzonen- oder Pfadregeln festlegen.

Um bestimmte Programme zu verbieten, sind Hash-Regeln die schärfste Waffe. Sie wählen also „Neue Hashregel“, klicken sich mit „Durchsuchen“ zum gewünschten Programm und schließen danach bei voreingestellter „Sicherheitstufe: Nicht erlaubt“ mit „OK“ den Dialog. Das Programm, Script oder auch Dokument (Dokumenttypen lassen sich eine Ebene höher unter „Designierte Dateitypen“ zusätzlich eintragen) wird anhand eines eindeutigen MD5-Hash-Werts identifiziert und – falls zutreffend – verboten. Die mit Gpedit vergebene Regel gilt sofort.

Pfadregeln

Pfadregeln sind einfacher zu handhaben, weil sich mit einer einzigen Regel gleich ganze Ordnerstrukturen verbieten lassen. Sie sind aber auch leichter zu umgehen: Wenn Sie einen bestimmten Ordner verbieten, sperrt Windows (inklusive aller Anwendungen und Kommando-Shells) alle darin enthaltenen ausführbaren Programme. Das Programm startet hingegen sofort wieder unbeeindruckt, wenn es in einen erlaubten Pfad kopiert wird. Eine Barriere für weniger versierte PC-Benutzer errichten aber auch Pfadregeln, zumal die meisten Anwendungen ein simples Verschieben wegen diverser Registry-Einstellungen gar nicht vertragen.

0 Kommentare zu diesem Artikel
128242