Richtlinien für die Softwareeinschränkung
Vorwort
Richtlinien für Software-Einschränkung sind eine Funktion von Windows
XP und Windows Server 2003, die ver-
wendet werden kann, um den Umgang unbekannter oder nicht vertrauenswürdiger
Software zu regeln.
Unternehmen, die keine Richtlinien für die Software-Einschränkung
einsetzen, übertragen die Verantwortung
zur Ermittlung sicherer und unsicherer Software den Benutzern. Benutzer, die
auf das Internet zugreifen,
müssen fortwährend Entscheidungen über die Ausführung unbekannter
Software treffen. Angreifer tarnen Viren
und Trojaner bewusst, um sie Benutzern unterzuschieben. Es ist für Benutzer
schwierig, sichere Entschei-
dungen bezüglich der Software zu treffen, die sie ausführen dürfen.
Mit Richtlinien für Software-Einschrnänkung können
Sie Ihr Netzwerk vor nicht vertrauenswürdiger Software
schützen, indem Sie die software, die ausgeführt werden darf, benennen
und spezifizieren. Sie könnne für
ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) die Standardsicherheitsstufen
Nicht eingeschränkt
oder Nicht erlaubt definieren, sodass Software
standardmäßig ausgeführt oder nicht ausgeführt werden darf.
Sie können Ausnahmen für diese Standardsicherheitsstufe erstellen,
indem Sie Richtlinien für die Einschränk-
ung bestimmter Software erstellen. Ist beispielsweise die Standardsicherheitsstufe
auf Nicht erlaubt einge-
stellt, dann können Sie Regeln erstellen, die die Ausführung bestimmter
Software gestattet.
Sie können vier Regeltypen zur Erstellung einer Richtlinie
für die Software-Einschränkung verwenden:
Hashregeln
Zertifikatsregeln
Pfadregeln
Internetzonenregeln
Hashregeln
Wenn eine Hashregel für ein Softwareprogramm erstellt wird, berechnen die
Richtlinien für Software-Einschränk-
ung aus der ausführbaren Datei einen eindeutigen Hash. Versucht ein Benutzer
die Anwendung zu starten, dann
erzeugt Windows einen Hash der Anwendung und vergleicht diesen dann mit den
vorhandenen Hashregeln
der Richtlinien für Software-Einschränkung. Der Hash eines Softwareprogramms
ist immer gleich - unabhängig
davon, wo sich das Programm auf dem Computer befindet. Wird ein Softwarepgrogramm
allerdings auf
irgendeine Weise modifiziert, dann ändert sich auch der Hash, und dieser
stimmt dann nciht mehr mit der Hash-
regel der Richtlinien für Software-Einschränkung überein.
Zertifikatsregeln
Sie können eine Zertifikatsregel erstellen, die die Software identifiziert
und ihre Ausführung dann je nach
Sicherheitsstufe zulässt oder unterbindet. So könnne Sie beispielsweise
mithilfe von Zertifikatsregeln Software,
die aus einer vertrauenswürdigen Quelle in einer Domäne stammt, automatisch
und ohne Benutzereingriff
als vertrauenswürdig einstufen. Zertifikatsregeln können auch verwendet
werden, um Dateien in unzulässigen
Bereichen Ihres Betriebssystems ausführen zu lassen.
Pfadregeln
Eine Pfadregel identifiziert eine Software anhand Ihres Pfades. Hat beispielsweise
ein Computer die Standard-
sicherheitsstufe Nicht erlaubt, dann können
Sie trotzdem jedem Benutzer uneingeschränkten Zugriff auf einen
bestimmten Ordner gewähren. Sie können in diesem Fall unter Angabe
des Dateipfades eine Pfadregel erstellen
und die Sicherheitsstufe der Pfadregel auf Nicht eingeschränkt stellen.
Einige Pfade, die man für diesen Regel-
typ verwendet, sind %userprofile%, %windir%, %appdata%,
%programfiles% und %temp%. Sie können
auch Registrierungspfadregeln erstellen, die den Registrierungsschlüssel
der Software als Pfad verwenden.
Da diese Regeln auf Pfaden basieren, können sie nicht mehr angewendet werden,
wenn ein Softwareprogramm
verschoben wird.
Internetzonenregeln
Eine Internetzonenregel identifiziert Software aus einer Zone, die im Microsoft
Internet Explorer festgelegt wurde.
Internetzonenregeln sind praktisch, um zu verhindern, dass Benutzer Anwendungen
ausführen, die sie aus dem
Internet heruntergeladen haben, während Programme, die auf dem lokalen
Computer oder anderen vertrauens-
würdigen Computern abgespeichert sind, weiterhin ausgeführt werden
dürfen. Die Zonen, aus denen Sie wählen
können, sind: Internet, Lokales Intranet, Eingeschränkte
Sites, Vertrauenswürdige Sites
Die Zone Arbeitsplatz enthält
alle Anwendungen, die auf dem lokalen Computer installiet sind. Die Zone Lokales
Intranet ist für Computer gedacht, die
sich innerhalb des internen Netzwerkes Ihrer Organisation befinden. Sie
enthält aber standardmäßig keine Standorte. Zur Zone
Vertrauenswürdige Sites gehören standardmäßig nur
Websites, über die Updates von Microsoft heruntergeladen werden können.
Die Zone Eingeschränkte Sites
ist standardmäßig leer. Zur Zone Internet
gehören alle Computer die sich nicht in einer der anderen Zonen
befinden.
Um festzulegen, welche Computer im Netzwerk zu den Zonen Lokales
Intranet, Eingeschränkte Sites und
Vertrauenswürdige Sites gehören, starten Sie den Internet Explorer.
Klicken Sie im Menü Extras auf
Internetoptionen und wählen Sie dort
die Registerkarte Sicherheit. Sie können
dort Lokales Intranet,
Eingeschränkte Sites oder Vertrauenswürdige
Sites selektieren und dann auf die Schaltfläche Sites
klicken, um der gewählten Zone Standorte hinzuzufügen. Sie können
Zonen aber auch mithilfe eines
GPO konfigurieren.
Öffen Sie ein GPO im Gruppenrichtlinienobjekt-Editor, erweitern Sie nacheinander
die Knoten Benutzer-
konfiguration, Windows-Einstellungen, und Internet
Explorer-Wartung und klicken Sie auf Sicherheit.
Doppelklicken Sie nun im rechten Fensterbereich auf Sicherheitszonen
und Inhaltsfilter.
Richtlinien für Software-Einschränkung bestehen aus der Standardsicherheitsstufe
und allen Regeln, die für
ein GPO gelten. Richtlinien für Software-Einschränkung können
innerhalb einer Domäne auf lokale Computer
oder einzelne Benutzer angewendet werden. Sie bieten eine Anzahl von Möglichkeiten
zur Identifikation von
Software und eine richtlinienbasierte Infrastruktur, um Entscheidungen darüber
zu erzwingen, ob die erkannte
Software ausgeführt werden darf oder nicht. Wenn Richtlinien für Software-Einschränkung
definiert sind, müssen
Benutzer, die Softwareprogramme ausführen, sich an die von den Administratoren
aufgestellten Regeln halten.
Mithilfe von Richtlinien für Software-Einschränkung
können Sie festlegen, ob eine Software auf Ihren Sytemen
ausgeführt werden kann oder nicht. Haben Sie beispielsweise Sorge, dass
Benutzer Viren über E-Mails
empfangen könnten, dann können Sie eine Richtlinieneinstellung anwenden,
die verhindert, dass bestimmte
Dateitypen im Mailanhangsverzeichnis Ihres E-Mail-Programms ausgeführt
werden. Sie können die Richtlinien
sogar basierend auf Benutzern einschränken, d.h. nur bestimmte Benutzer
eines Computers können eine
Anwendung ausführen, während anderen dies nicht möglich ist.
Erstellt von: Haßlinger Stefan
Im: Jahr 2006