Channel Header
1154101

So blockieren Sie Programmstarts

12.08.2019 | 07:58 Uhr | Arne Arnold

Sie möchten verhindern, dass sich einzelne Programme unter Windows starten lassen? Mit den richtigen Registry-Tricks ist das kein Problem. Wir zeigen auch, wie Sie allen Programmen den Start verwehren und nur einige ausgewählte Tools zulassen.

Wenn an Ihrem PC auch andere Nutzer arbeiten und Sie nicht möchten, dass diese auf manche Programme zugreifen, dann verbieten Sie einfach deren Startmöglichkeit. Damit meinen wir nicht nur den automatischen Start beim Hochfahren von Windows, sondern ein komplettes Startverbot im laufenden Betrieb von Windows. Wenn Sie zum Beispiel das Computerspiel Classic Solitaire  installiert haben, die Nutzung dieses Programms aber unterbinden möchten, dann finden Sie in diesem Beitrag die richtigen Tipps.

Wichtig: Wir empfehlen dringend, sich für die folgenden Tipps ein neues Benutzerkonto in Windows anzulegen und nur auf dieses die Einschränkungen beim Programmstart anzuwenden. Denn mit den Programmblockern aus diesem Beitrag können Sie sich selbst schneller aus Windows aussperren, als Sie vielleicht denken. Wenn Sie die Tipps aber auf ein zweites Benutzerkonto anwenden, können Sie jederzeit zu Ihrem bisherigen und unveränderten Konto zurückkehren. Wie das geht, erklären wir weiter unten.

Blacklist oder Whitelist: Wir zeigen auch, wie Sie den Start aller Programme auf einen Schlag unterbinden können und nur einigen ausgewählten Tools den Start erlauben. Man unterscheidet hier grundsätzlich zwischen Blacklist oder Whitelist. Wenn Sie allen Programmen den Start verboten haben und nur einige Ausnahmen zulassen, dann spricht man von Whitelist.

Umgekehrt nutzen Sie eine Blacklist, wenn Sie nur einzelne Programme verbieten. Diese verbotenen Tools stehen quasi auf einer schwarzen Liste. Alle anderen Tools, die nicht auf der Liste stehen, dürfen starten.

Hinweis: Wir beschreiben den Weg anhand von Windows 10 1903. Bei älteren Windows-10-Versionen lauten die Menübefehle etwa zum Erstellen eines neuen, lokalen Benutzerkontos ein wenig anders. Die Einträge für die Registry zum Sperren von Programmstarts funktionieren dagegen sogar noch unter Windows 7 gleich. 

Siehe auch:  Windows 10 - Autostart von Programmen nach Neustart verhindern

Vorbereitung: Sichern Sie Ihre Daten und das System 

Diese Fehlermeldung erscheint beim Startversuch eines blockierten Programms.
Vergrößern Diese Fehlermeldung erscheint beim Startversuch eines blockierten Programms.

Wenn Sie anfangen, Programmstarts zu sperren, kann schnell mal etwas schieflaufen – und Sie sperren sich komplett aus Ihrem Windows-Konto oder gar ganz aus Windows aus. Damit Sie selbst dann wieder an Ihre Daten kommen, sollten Sie drei Punkte als Vorbereitung erledigen: Daten sichern, System sichern, zweites Nutzerkonto anlegen.

Daten sichern: Starten Sie ein Backup Ihrer Dateien. 

System sichern: Im mindesten sollten Sie einen Wiederherstellungspunkt in Windows anlegen, um zu diesem Systemzustand zurückkehren zu können. Geben Sie dafür in die Windows-Suche Wiederherstellungspunkt erstellen ein und starten Sie das angezeigte Programm. Darin markieren Sie Ihr Systemlaufwerk und wählen „Erstellen“. Einen Tipp zum einfachen Erstellen einer solchen Sicherung finden Sie hier .

Noch besser ist eine Imagesicherung der Systempartition mit einem Spezialtool. Empfehlenswert hierfür ist die Software Acronis True Image Home .

Erstellen Sie ein zweites Windows-Benutzerkonto 

Damit Sie sich nicht selber komplett aus Windows ausschließen, sollten Sie für die Änderungen ein Windows-Benutzerkonto erstellen. Das neue Konto sollte zunächst auch Administratorrechte besitzen, da die Nutzung von Regedit über „Mit Administratorrechten starten“ nicht zum Ziel führt.

So geht’s: Starten Sie die Einstellungen über „Windows-Symbol –› Einstellungen (Zahnradsymbol) –› Konten –› Familie & weitere Kontakte –› Andere Personen –› Diesem PC eine weitere Person hinzufügen“. Es öffnet sich ein Fenster mit dem Titel „Microsoft Konto“, in dem Windows Ihnen unbedingt ein Windows-Konto andrehen möchte, das mit einem Microsoft-Online-Konto verknüpft ist. Doch gerade für unsere aktuellen Zwecke wählen wir ein lokales Konto. Um das zu erhalten, wählen Sie „Ich kenne die Anmeldeinformationen für diese Person nicht“ und dann „Benutzer ohne Microsoft-Konto erstellen“. Nun sind Sie an der richtigen Stelle und vergeben den Namen und Passwort des Benutzerkontos.

Wichtig: Das neue Konto hat nur „Standard“-Rechte. Für einen bestimmten Eintrag in der Registry benötigen wir aber Administratorrechte. Die verschaffen Sie dem Konto über „Windows-Symbol –› Einstellungen (Zahnradsymbol) –› Konten –› Familie & weitere Kontakte –› Andere Personen –› Kontenname –› Kontotyp ändern –› Kontotyp –› Administrator“. Ist das erledigt, können Sie den aktuellen Benutzer abmelden und sich in das neue Konto einloggen, indem Sie auf „Windows-Symbol –› Anwendersymbol“ klicken und „Abmelden“ wählen. Es ist das zweite Icon von oben.

Blacklist: So blockieren Sie bestimmte Programme 

Wenn Sie den Wert bei „DisallowRun“ von 0 auf 1 setzen, aktivieren Sie die Blacklist.
Vergrößern Wenn Sie den Wert bei „DisallowRun“ von 0 auf 1 setzen, aktivieren Sie die Blacklist.

Über neue Einträge in der Windows-Registrierungsdatenbank (Registry) können Sie einzelne oder alle Programme vom Starten abhalten. Wir beschreiben hier zunächst, wie Sie einzelne Programme sperren, also eine Blacklist anlegen. Dazu müssen Sie zwei neue Ordner erstellen, einen DWord-Eintrag anlegen und mehre Programmnamen als „Zeichenfolge“ in die Registry eingeben: 

1. Starten Sie den Registry-Editor über die Tastenkombination Windows-R und die Eingabe von regedit.

2. Gehen Sie zum Schlüssel „HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies“ und prüfen dort im linken Fenster, ob es unterhalb von „Policies“ den Ordner „Explorer“ bereits gibt. Sollte er fehlen, legen Sie ihn per Klick mit der rechten Maustaste auf „Policies“ und der Wahl von „Neu –› Schlüssel“ an.

3. Im Ordner „Explorer“ müssen Sie nun den DWORD-Wert „DisallowRun“ anlegen. Klicken Sie dafür mit der rechten Maustaste auf den Schlüssel „Explorer“ und wählen Sie „Neu > DWORD-Wert (32-Bit)“ und tragen DisallowRun als Name ein. Drücken Sie „OK“. Zu diesem Schlüssel ist der Wert 0 vorgesehen, den Sie zunächst auch so belassen. Erst, wenn Sie die Programmstartblockierung aktivieren möchten, ändern Sie den Wert auf 1. Dafür doppelklicken Sie auf den Schlüssel und ändern den Wert.

4. Erstellen Sie im Ordner „Explorer“ nun einen neuen Ordner namens „DisallowRun“. Das geht mit einem Rechtsklick auf „Explorer“ und der Wahl von „Neu –› Schlüssel“ und der Eingabe von DisallowRun.

In dem von Ihnen erstellten Ordner „DisallowRun“ tragen Sie als „Zeichenfolge“ diejenigen Programmnamen ein, deren Start Sie blockieren möchten.
Vergrößern In dem von Ihnen erstellten Ordner „DisallowRun“ tragen Sie als „Zeichenfolge“ diejenigen Programmnamen ein, deren Start Sie blockieren möchten.

5. In dem eben erstellten Ordner „DisallowRun“ führen Sie nun alle Programmnamen auf, die Sie blockieren möchten. Dafür klicken Sie auf den Ordner „DisallowRun“ mit der rechten Maustaste und wählen „Neu –› Zeichenfolge“. Den Namen des Eintrags können Sie beliebig wählen. Bestätigen Sie Ihre Eingabe mit der Taste Enter, die Sie zum Bearbeiten des Wertes gleich noch einmal drücken können. Geben Sie dann den Programmnamen inklusive Dateinamenerweiterung ein. Für das Tool Solitaire geben Sie also Solitaire.exe ein. Der Programmpfad ist nicht nötig.

So finden Sie den Dateinamen zu einem Programm: Üblicherweise haben alle Programme eine Verknüpfung im Startmenü. Suchen Sie das gewünschte Programm dort und klicken Sie mit der rechten Maustaste darauf. Wählen Sie „Mehr –› Dateispeicherort öffnen“, um dann nochmals mit der rechten Maustaste auf den Programmnamen zu klicken und „Eigenschaften“ zu wählen. Der Programmname steht hinter „Ziel“ am Ende des Dateipfads.

6. Wiederholen Sie die Schritte vom fünften Punkt, bis Sie alle unerwünschten Programme in die Registry eingeführt haben.

7. Aktivieren Sie die Blacklist, indem Sie einen Ordner nach oben wechseln, also zu „Computer\HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\Policies\Explorer“ und dort auf den Schlüssel „DisallowRun“ doppelklicken. Ändern Sie den Wert auf 1. Abschließend melden Sie sich ab und wieder an oder starten Windows neu. Danach sind die von Ihnen eingetragenen Programme blockiert. Wenn Sie nun weitere Programmnamen in die Liste hinzufügen oder vorhandene löschen, sind die Änderungen auch ohne Windows-Neustart wirksam. 

Damit Änderungen in der Registry wirksam werden, ist meist ein Neustart oder das Ab- und Anmelden des Windows- Kontos nötig.
Vergrößern Damit Änderungen in der Registry wirksam werden, ist meist ein Neustart oder das Ab- und Anmelden des Windows- Kontos nötig.

8. Wenn alles wie gewünscht funktioniert beziehungsweise blockiert wird, sollten Sie dem Benutzerkonto die Adminrechte wieder entziehen.

Hinweis: Die neuen Apps in Windows 10 lassen sich nicht so einfach sperren. Allein schon deshalb, weil man nicht ohne weiters an die Dateinamen der Programme kommt. Doch selbst wenn Sie diesen kennen, funktionierte das Sperren per Registry in unseren Tests nicht immer zuverlässig. Eine alternative App-Blockierung per Tool beschreiben wir deshalb weiter unten.

Siehe auch: So haben Sie Windows im Griff mit Bordmitteln

Whitelist: Alles sperren, nur Ausnahmen zulassen

Wenn Sie die Methode der Whitelist wählen, funktioniert das im Grunde wie bei der Blacklist. Statt des DWord-Wertes „DisallowRun“ erstellen Sie den Wert „RestrictRun“. Und statt des Ordners „DisallowRun“ erstellen Sie „RestrictRun“. Darin führen Sie die Programmnamen auf, deren Start Sie noch erlauben wollen. Nutzen Sie dafür die Anleitung unter „Blacklist“ (siehe oben). Achtung: Nutzen Sie die Whitelist-Methode nur in einem zusätzlichen Benutzerkonto, da Sie sich damit sehr schnell aus Windows aussperren können! 

Wichtig: Sie sollten in jedem Fall regedit.exe in die Liste der erlaubten Programme eintragen, damit Sie die Änderung rückgängig machen können. Auch taskmgr.exe ist für den Anfang meist sinnvoll. Das Umlegen des Schalters „RestrictRun“ von 0 auf 1 und ein Windows-Neustart aktiviert die Programmblockade.

Wenn alles wie gewünscht blockiert wird, sollten Sie dem Benutzerkonto die Adminrechte wieder entziehen.

Hinweis: Die neuen Apps in Windows 10 zeigen sich von der Totalblockade unbeeindruckt. Sie starten einfach trotz „RestrictRun“ auf Wert 1. Möchten Sie auch diese blockieren, können Sie das Tool My Lockbox nutzen (siehe weiter unten).

Alle Änderungen schnell ungeschehen machen

Haben Sie sich durch Blockier-Regeln selber aus einem Windows-Konto ausgeschlossen, dann können Sie den Spuk beenden, indem Sie das Konto löschen.
Vergrößern Haben Sie sich durch Blockier-Regeln selber aus einem Windows-Konto ausgeschlossen, dann können Sie den Spuk beenden, indem Sie das Konto löschen.

Wenn Sie alle Regeln verwerfen möchten, dann haben Sie dafür mehrere Möglichkeiten: Am schnellsten setzen Sie den Wert für „RestrictRun“ oder „DisallowRun“ wieder auf 0 und starten Windows neu. Anschließend können Sie in der Registry den von Ihnen angelegten Ordner „Explorer“ komplett löschen.

Oder Sie löschen das Benutzerkonto, das Sie extra für diese Regeln erstellt haben. Melden Sie sich dafür in einem Benutzerkonto mit Administratorrechten an und wählen Sie „Windows-Symbol –› Einstellungen –› Konten –› Familie & weitere Kontakte –› Andere Personen“. Klicken Sie auf das betroffene Konto und wählen Sie „Entfernen“. Diese Methode sollten Sie allerdings nur wählen, wenn in dem betreffenden Konto keine persönlichen Dokumente oder Ähnliches mehr gespeichert sind. 

Wichtig: Löschen Sie nicht einfach den Ordner „RestrictRun“, solange der zugehörige RestrictRun-DWORD-Schalter auf 1 steht. Denn das Löschen dieses Ordners beseitigt alle Ausnahmen aus dem Programmstartverbot. Sie hätten nach dem Beenden des Registry-Editors keinen Zugriff mehr auf die Registry.

Windows-Apps einzeln oder komplett sperren 

Über das Kontextmenü holen Sie sich die nötigen Zugriffsrechte, um auf die Ordner mit den Windows-10-Apps zugreifen zu können.
Vergrößern Über das Kontextmenü holen Sie sich die nötigen Zugriffsrechte, um auf die Ordner mit den Windows-10-Apps zugreifen zu können.

Die Windows-Apps, etwa Paint 3D oder Candy Crush Saga , lassen sich nicht durch den Registry-Trick mit „RestrictRun“ (Whitelist) blockieren. Beim Blacklisting lassen sich die Dateinamen der App-Programme zwar auf die Blockierliste setzen, bei unseren Versuchen klappte das aber nicht immer zuverlässig. Auf der Suche nach einer Alternative sind wir auf das Tool My Lockbox gestoßen. Mit MyLockbox blockiert den Zugriff auf einen Ordner, womit uns ein zuverlässiges Blacklisting gelang. Nötig sind dafür zwei grundlegende Schritte. Sie müssen sich zunächst Zugang zu oder Programmordnern der Windows-Apps verschaffen. Danach müssen Sie den Programmpfad der App in das Tool My Lockbox Pro eintragen.

1. Zugriffsrechte auf Windows-Apps holen: Sie finden die Windows-Apps im Ordner C:\Programme\WindowsApps. Manche Systeme zeigen statt „Programme“ den Namen „Program Files“ an. Damit der Windows Explorer den Ordner anzeigt, müssen Sie einen Haken vor „Anzeige –› Ausgeblendete Elemente“ setzen. Zunächst verwehrt Ihnen Windows den Zugriff darauf. Klicken Sie deshalb mit der rechten Maustaste auf den Ordner „WindowsApps“ und wählen Sie „Eigenschaften –› Sicherheit –› Erweitert –› Weiter (unter ‚Berechtigungen‘) –› Ändern (hinter ‚Besitzer: Trustedinstaller‘)“. Nun müssen Sie in das Eingabefeld Ihren Windows-Benutzernamen eingeben und auf „Namen überprüfen“ klicken. Windows ergänzt nun Ihren Benutzernamen bei einem lokalen Konto um den Computernamen in der Art: PC-Name\Benutzername. Klicken Sie auf „OK“ und setzen Sie im nächsten Fenster den Haken vor „Besitzer der Objekte und untergeordneten Container ersetzen“. Schließen Sie alle Fenster mit „Übernehmen“ oder „OK“. Die Rechteübernahme kann einige Zeit dauern. Danach können Sie den Ordner „WindowsApps“ öffnen. Sie müssen das nur mit einem Klick auf „Fortsetzen“ bestätigen.

Jede App hat ihren eigenen Ordner unterhalb von „WindowsApps“. Einige Apps haben sogar zwei oder mehrere Ordner, die sich dann über die Versionsnummer der App unterscheiden. Sie müssen meist nach dem Ordner mit der neuesten Version suchen. Wer den Dateinamen einer Windows App in seine Blacklist eintragen möchte, finden ihn in ihrem Ordner.

Hier sehen Sie die Ordner mit den Apps für Windows 10, wo sich etwa auch die App Candy Crush befindet.
Vergrößern Hier sehen Sie die Ordner mit den Apps für Windows 10, wo sich etwa auch die App Candy Crush befindet.

2. App-Start blockieren: Installieren und starten Sie die Shareware My Lockbox. Zunächst vergeben Sie ein Kennwort. Danach wählen Sie über „Durchsuchen“ oder „Hinzufügen“ den Ordner aus, indem die zu blockierende App gespeichert ist, für Candy Crush Saga also etwa „C:\Programme\WindowsApps\king.com.CandyCrushSaga_1.1520.1.0_x86__kgqvnymyfvs32“ (Stand Juni 2019). Die Blockade ist sofort aktiv. Die Spiele App startet nicht mehr beziehungsweise wird kurz nach dem Start wieder beendet, da ihr die Zugriffsrechte auf ihren Programmordner fehlen.

Möchten Sie die Blockade wieder beenden, dann starten Sie „My Lockbox Control Panel“, wählen den betreffenden Pfad aus und klicken auf „Clear“.

Achtung: Die Blockade aller Windows-10-Apps über das Blockieren des Ordners „C:\Programme\WindowsApps“ führte in unserem Test zu unerwünschten Nebenwirkungen: Eine Erweiterung für Chrome funktionierte aus nicht nachvollziehbaren Gründen nicht mehr. Das Blockieren ist also möglich, scheint aber nicht ganz ungefährlich. Dieses Vorgehen ist also nur mit Vorsicht zu genießen. 

Änderungen der Registry ohne Neustart aktivieren

Die meisten Änderungen in der Registry werden erst wirksam, wenn Sie Windows neu gestartet haben und dadurch die Registry neu gelesen wurde. Ein Beispiel dafür ist der Eintrag zum Schlüssel „DisallowRun“, den Sie von 0 (= aus) auf 1 (= ein) ändern können. Eine Ausnahme zu dieser Regel sind die Einträge (Zeichenfolge) unterhalb des Ordners „DisallowRun“. Sie werden auch ohne Neustart sofort wirksam.

Es geht allerdings auch bei den Schlüsseln „DisallowRun“ & Co. ohne Neustart. Wichtig ist dabei nur, dass Sie keine Dokumente geöffnet haben, da es sonst unter Umständen zu Datenverlust kommen kann.

Starten Sie den Windows-Task-Manager etwa über die Tastenkombination Strg-Alt-Entf und die Wahl von „Task-Manager“. Sollte das Fenster des Task-Managers leer oder fast leer sein, klicken Sie unten links auf „Mehr Details“. Suchen Sie dann in der Liste unter „Windows-Prozesse“ den Eintrag „Windows-Explorer“ und klicken Sie mit der rechten Maustaste darauf. Wählen Sie „Task beenden“. Sie sehen nun, wie die Windows-Taskleiste und das Startmenü verschwinden und verschwunden bleiben. Um diese wiederzubekommen, wählen Sie im Task-Manager „Datei –› Neuen Task ausführen“ und geben dort Explorer ein. Nach einem Klick auf „OK“ erscheinen Taskleiste & Co. wieder, und die Änderungen in der Registry sind aktiv.

Die Themen in Tech-up Weekly #160:

► Gaming-Studie: PC nur noch auf Platz 3 in Deutschland: www.pcwelt.de/news/Gaming-Studie-PC-nur-noch-auf-Platz-3-in-Deutschland-10629793.html

► Faceapp: Macher reagieren auf Datenschutz-Bedenken: www.pcwelt.de/news/Faceapp-Macher-reagieren-auf-Datenschutz-Bedenken-10631280.html

► Hacker entwickeln gefährliche Android-App: www.pcwelt.de/news/Hacker-entwickeln-Android-App-die-Menschen-toeten-kann-10630982.html

Quick-News:

► Uplay+: Ubisoft-Spieleflat startet mit 108 Spielen: www.pcwelt.de/news/Uplay-Ubisoft-Spieleflat-startet-mit-108-Spielen-10630556.html

► DAZN kauft Bundesliga-Rechte von Eurosport: www.pcwelt.de/news/DAZN-kauft-Bundesliga-Rechte-von-Eurosport-10631516.html

► 1,5 Millionen Facebook-Nutzer wollen Area 51 stürmen: www.pcwelt.de/news/1-5-Millionen-Facebook-Nutzer-wollen-Area-51-stuermen-10631268.html

► iTAN-Verfahren wird Mitte September eingestellt: www.pcwelt.de/news/iTAN-Verfahren-wird-Mitte-September-eingestellt-10630013.html

► Nintendo: Neues Switch-Modell mit größerem Akku: www.pcwelt.de/news/Nintendo-Neues-Switch-Modell-mit-groesserem-Akku-10631241.html

► Urteil: Telekom muss "StreamOn"-Angebot ändern: www.pcwelt.de/news/Urteil-Telekom-muss-StreamOn-Angebot-stoppen-10629014.html

Fail der Woche:

► E-Scooter-Vergehen sollen härter bestraft werden: www.pcwelt.de/news/E-Scooter-Vergehen-sollen-haerter-bestraft-werden-10630580.html

► Zum PC-WELT T-Shirt-Shop:
www.pcwelt.de/fan

PC-WELT Marktplatz

0 Kommentare zu diesem Artikel
1154101