c't 10/2017
S. 82
Praxis
Windows: Software Restriction Policies
Aufmacherbild

Schotten dicht!

Mit Restric’tor zum sicheren Windows

In die Windows-Ausgaben, die für den Einsatz in Unternehmen vorgesehen sind, baut Microsoft Funktionen ein, um sie zuverlässig vor Hacker-Angriffen zu schützen. Anwendern mit Windows Home bleibt der Zugang zu diesen Funktionen verwehrt – bislang: Mit dem c’t-Programm Restric’tor können Sie alle Windows-Editionen konfigurieren.

Schadprogramme wie Viren oder Trojaner sind darauf angewiesen, Code auf dem Opfer-Rechner auszuführen. Um schädliche Programme auszusperren, scannt beispielsweise Antivirensoftware die Dateien auf der Festplatte und versucht, Code zu entdecken, der dem bereits bekannter Schädlinge ähnelt. Je nach dem Geschick der Entwickler gelingt ihr das mehr oder weniger erfolgreich.

Der perfekte Schutz eines idealen Systems bestünde wohl darin, es schlicht gar keinen Code mehr ausführen zu lassen, dessen Harmlosigkeit nicht zweifelsfrei belegt ist. Tatsächlich enthält Windows einen Mechanismus, mit dem man diesem Ziel sehr nahekommen kann: die „Richtlinien für Softwareeinschränkung“, englisch „Software Restriction Policies“ oder kurz SRP. Damit lassen sich Regeln definieren, die Windows anweisen, nur noch Programme aus einer zuvor festgelegten Liste auszuführen – unbekannter Code hat keine Chance mehr, Schaden anzurichten oder sich gar dauerhaft im System einzunisten.

Video: „Nachgehakt“

Gedacht sind diese Richtlinien eigentlich dazu, dass Administratoren in Unternehmen den Katalog der erlaubten Anwendungen definieren und über Gruppenrichtlinien an alle Rechner in der Windows-Domäne verteilen. Werkzeuge zum Bearbeiten der Regeln bringen folgerichtig nur die für den Einsatz in Firmen vorgesehenen Professional-, Enterprise- und Ultimate-Ausgaben von Windows mit. Technisch sind diese Regeln aber nichts anderes als automatisch generierte Registry-Einträge. Wenn sie vorhanden sind, richtet sich auch ein Windows Home nach ihnen. Das nutzt unser Tool Restric’tor aus, das wir im Folgenden vorstellen: Es läuft unter allen Windows-Editionen seit Windows 7 und lässt Sie einigermaßen komfortabel die Registry-Schlüssel und -Werte der SRP bearbeiten.

Kommentare lesen (44 Beiträge)

Weitere Bilder

Schotten dicht! (1 Bilder)

Die Log-Einträge der SRP lassen sich in der Ereignisanzeige anhand der Quelle „SoftwareRestrictionPolicies“ einfach erkennen.

Videos