Restric'tor: Profi-Schutz für jedes Windows
In die Windows-Ausgaben, die für den Einsatz in Unternehmen vorgesehen sind, baut Microsoft Funktionen ein, mit denen Administratoren ihre Anwender zuverlässig vor Hacker-Angriffen schützen können. Besitzern von Windows Home bleibt der Zugang zu diesen Funktionen verwehrt – bislang: Das c't-Programm Restric'tor macht sie in allen Windows-Editionen zugänglich.
- Hajo Schulz
Mit den "Richtlinien für Softwareeinschränkung", englisch "Software Restriction Policies" oder kurz SRP lassen sich Regeln definieren, die Windows anweisen, nur noch Programme aus einer zuvor festgelegten Liste auszuführen – unbekannter Code hat keine Chance mehr, Schaden anzurichten. Gedacht sind diese Richtlinien eigentlich dazu, dass Administratoren in Unternehmen den Katalog der erlaubten Anwendungen definieren und über Gruppenrichtlinien an alle Rechner in der Windows-Domäne verteilen. Werkzeuge zum Bearbeiten der Regeln bringen folgerichtig nur die für den Einsatz in Firmen vorgesehenen Professional-, Enterprise- und Ultimate-Ausgaben von Windows mit.
Technisch sind diese Regeln aber nichts anderes als automatisch generierte Registry-Einträge. Wenn sie vorhanden sind, richtet sich auch ein Windows Home nach ihnen. Das nutzt unser Tool Restric'tor aus: Es läuft unter allen Windows-Editionen seit Windows 7 und lässt Sie komfortabel die Registry-Schlüssel und -Werte der SRP bearbeiten.
Restric'tor erfordert ein installiertes .NET Framework ab Version 4.0; die Windows-Versionen ab Windows 8 haben alles Benötigte von vornherein an Bord, unter Windows 7 rüsten die "Empfohlenen Updates" .NET 4.5 nach. Das Programm benötigt Administratorrechte.
Für einen sinnvollen Betrieb von Windows mit eingeschalteten SRP ist die Lektüre der dazugehörigen Artikel in c't 10/17 unbedingt anzuraten (hier und hier). Eine einfache, aber sichere Konfiguration erreichen Sie, indem Sie im Restric'tor zunächst den Menübefehl "Datei/c't-Empfehlung laden" und anschließend "Datei/Ordner prüfen" aufrufen. Auf dem erscheinenden Dialog klicken Sie auf "Ordner suchen", warten, bis die Suche abgeschlossen ist, und klicken auf OK. Schließlich übernehmen Sie die Einstellungen mit einem Klick auf den Knopf "Anwenden" am unteren Rand des Restric'tor-Fensters in Ihr System – fertig.
Sollte sich herausstellen, dass wichtige Programme danach nicht mehr funktionieren, können Sie Ihr Windows mit "Datei/SRP-Richtlinie komplett löschen" wieder in den vorherigen, unsicheren Zustand zurückversetzen. Zur Not erreichen Sie dasselbe, indem Sie in der Registry den kompletten Schlüssel HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\safer löschen.
Updates
Version 1.2
Die Routine zum Einlesen der SRP aus der Registry ist wesentlich robuster als zuvor. Offenbar existieren andere SRP-Tools, die nicht standardkonforme Einträge in der Registry hinterlassen.
Über die Kommandozeilenoption /NewHash lässt sich jetzt der Name einer Programmdatei an das Tool übergeben, woraufhin es eine neue Hash-Regel der Stufe "Nicht eingeschränkt" für dieses Programm erzeugt. Die müssen Sie nur noch mit "Anwenden" in die Registry schreiben. Um dieses Feature sinnvoll zu nutzen, erzeugen Sie sich am besten einen Eintrag dafür im "Senden an"-Kontextmenü des Explorers. Dazu markieren Sie zunächst die Datei Restrictor.exe im Explorer und kopieren sie mit der Tastenkombination Strg+C oder dem Kontextmenübefehl "Kopieren" in die Zwischenablage. Geben Sie nun in die Explorer-Adresszeile shell:sendto ein und bestätigen Sie mit Enter. Mit einem Rechtsklick in einen freien Bereich des SendTo-Ordners und Auswahl des Befehls "Verknüpfung einfügen" erzeugen Sie einen Restrictor-Eintrag. Den können Sie nach Belieben umbenennen, zum Beispiel in "Restric'tor (Neue Hash-Regel)" – der Name erscheint später im "Senden an"-Kontextmenü. Außerdem müssen Sie noch die Eigenschaften der neu erzeugten Verknüpfung aufrufen und dort das Feld "Ziel" am Ende durch ein Leerzeichen und /NewHash ergänzen; sollte der bisherige Inhalt in Anführungszeichen eingeschlossen sein, gehört die Ergänzung hinter die letzten Gänsefüßchen. Möchten Sie im Anschluss für mehrere Programme nacheinander Ausnahmeregeln definieren, müssen Sie trotzdem jedes einzelne per "Senden an" an den Restric'tor schicken, dort "Anwenden" klicken und das Tool anschließend beenden – eine Datei an eine laufende Restric'tor-Instanz zu schicken, funktioniert leider (noch) nicht.
Download
Restric'tor, Version 1.2 vom 20. 7. 2017
Literatur
Die Artikel aus c't 10/2017, in denen wir den Restric'tor ursprünglich vorgestellt haben, sind mittlerweile bei heise+ komplett kostenlos online abrufbar:
- Axel Vahldiek, Das Hochsicherheits-Windows, c't-Tool aktiviert Profi-Schutz, c't 10/2017, S. 76
- Hajo Schulz, Schotten dicht!, Mit Restric'tor zum sicheren Windows, c't 10/2017, S. 82
- Axel Vahldiek, Einlasskontrolle, Einschätzen, ob man einer Datei besser misstrauen sollte, c't 10/2017, S. 88
(hos)