Festlegen der Zulassen bzw. Verweigern-Liste und des Anwendungsinventars für Richtlinien für die Softwareeinschränkung
In diesem Thema für IT-Fachleute erfahren Sie, wie Sie ab Windows Server 2008 und Windows Vista eine Zulassungs- oder Verweigerungsliste für Anwendungen erstellen, die mithilfe von Richtlinien für Softwareeinschränkung (Software Restriction Policies, SRP) verwaltet werden soll.
Einführung
Die Richtlinien für Softwareeinschränkung (Software Restriction Policies, SRP) sind ein auf der Gruppenrichtlinie basierendes Feature, das Softwareprogramme identifiziert, die auf Computern in einer Domäne ausgeführt werden, und die Fähigkeit zur Ausführung dieser Programme steuert. Sie können Richtlinien für Softwareeinschränkung auch verwenden, um eine stark eingeschränkte Konfiguration für Computer zu erstellen, in der Sie ausschließlich die Ausführung explizit angegebener Anwendungen zulassen. Diese sind mit Microsoft Active Directory Domain Services und Gruppenrichtlinie integriert, können jedoch auch auf eigenständigen Computern konfiguriert werden. Grundlegende Informationen zu SRP finden Sie unter Richtlinien für Softwareeinschränkung.
Ab Windows Server 2008 R2 und Windows 7 kann Windows AppLocker anstelle von oder in Verbindung mit SRP für einen Teil der Steuerungsstrategie Ihrer Anwendungen verwendet werden.
Informationen zur Ausführung bestimmter Aufgaben mit SRP finden Sie in den folgenden Artikeln:
Auswählen der Standardregel: Zulassen oder Verweigern
Richtlinien für Softwareeinschränkung können als Grundlage Ihrer Standardregel entweder als Zulassungs- oder als Verweigerungsliste bereitgestellt werden. Sie können entweder eine Richtlinie erstellen, die jede Anwendung identifiziert, die in Ihrer Umgebung ausgeführt werden darf. Die Standardregel in der Richtlinie lautet hier „Eingeschränkt“, und es werden alle Anwendungen blockiert, die Sie nicht explizit zulassen. Alternativ können Sie eine Richtlinie erstellen, die jede Anwendung identifiziert, die nicht ausgeführt werden darf. Die Standardregel lautet in diesem Fall „Uneingeschränkt“, und es werden nur die Anwendungen blockiert, die Sie explizit auflisten.
Wichtig
Das Führen einer Verweigerungsliste kann in Bezug auf die Anwendungssteuerung für Ihre Organisation einen hohen Aufwand bedeuten. Das Erstellen und Verwalten einer Liste, die ständig angepasst und weiterentwickelt werden muss, um jegliche Schadsoftware und andere problematische Anwendungen zu verbieten, wäre zeitaufwändig und anfällig für Fehler.
Erstellen eines Anwendungsbestands für die Zulassungsliste
Für eine effektive Nutzung einer Zulassungsliste als Standardregel müssen Sie genau bestimmen, welche Anwendungen in Ihrer Organisation erforderlich sind. Es gibt Tools zum Erstellen eines Anwendungsbestands, wie etwa Inventory Collector im Anwendungskompatibilitäts-Toolkit von Microsoft. SRP verfügt jedoch über ein erweitertes Protokollierungsfeature, mit dem Sie die in Ihrer Umgebung ausgeführten Anwendungen genau ermitteln können.
So ermitteln Sie die Anwendungen für die Zulassungsliste
Stellen Sie in einer Testumgebung die Richtlinie für Softwareeinschränkung (SRP) bereit, und legen Sie die Standardregel auf „Uneingeschränkt“ fest. Entfernen Sie alle zusätzlichen Regeln. Wenn Sie SRP ohne Einschränkung von Anwendungen aktivieren, werden alle Anwendungen überwacht, die ausgeführt werden.
Erstellen Sie den folgenden Registrierungswert, um das erweiterte Protokollierungsfeature zu aktivieren. Legen Sie den Pfad zum gewünschten Speicherort der Protokolldatei fest.
"HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers"
Zeichenfolgenwert: LogFileName path to LogFileName
Da SRP alle Anwendungen auswertet, die ausgeführt werden, wird bei jeder Ausführung einer Anwendung ein Eintrag in die Protokolldatei NameLogFile geschrieben.
Werten Sie die Protokolldatei aus.
Jeder Protokolleintrag enthält folgende Informationen:
Aufrufer der Richtlinie für Softwareeinschränkung und Prozess-ID (PID) des aufrufenden Prozesses
ausgewertetes Ziel
SRP-Regel, die beim Ausführen dieser Anwendung angewendet wird
Bezeichner für die SRP-Regel
Das folgende Beispiel zeigt die in eine Protokolldatei geschriebene Ausgabe:
explorer.exe (PID = 4728) identifiedC:\Windows\system32\onenote.exe as Unrestricted usingpath rule, Guid ={320bd852-aa7c-4674-82c5-9a80321670a3} Alle Anwendungen und der zugehörige Code, die von SRP überprüft und blockiert werden, werden in der Protokolldatei dokumentiert. Anhand dieser Informationen können Sie anschließend bestimmen, welche ausführbaren Dateien für Ihre Zulassungsliste berücksichtigt werden sollen.