Software Restriction Policy

Es sind flache %program-Dateien%, %program-Dateien (x86)% und %systemroot% erlaubt. Wenn es darum geht, ob ich eine weiße Liste habe oder nicht, kommt das Topic "Zeit" und "Arbeit" immer mit "Sorgfalt" und "regelmäßig jeden Monat" auf den Punkt. Ja, eine weiße Liste macht eine Menge Spaß, und niemand kann sie dir abkaufen. Viele von ihnen wenden sich aus Furcht, die Aufgabe nicht zu erledigen, an diese Regeln und sind der Meinung, dass die erwähnten Wege ungefährlich sind, weil ein Nutzer dort nicht schreiben kann.

Es heißt: Sie erlauben die Wege, weil alle dort vorhandenen Progamme von einem Verwalter oder Deployment-System stammen. Da alle anderen Anwendungen/Wege untersagt sind, hat die tragbare App im Download-Ordner keine Chancen.... der Windows-Verzeichnis gibt es mehrere Verzeichnisse mit den Rechten für "CREATOR OWNER" mit vollem Zugriff "Subfolders and Files" und so kann jeder Benutzer dort eine Datei speichern und ausführen lassen, weil man %systemroot% als Pauschale zulässt.

Jetzt besteht die Aufgabe darin, nur noch diese Verzeichnisse zu find. Führen Sie \dumdidum.txt" dir dumdidum.exe /sin der cmd aus, um alle zu erstellenden Datensätze zu find. Also, wenn Sie leere Verzeichnisse erlauben, müssen Sie sicherstellen, dass die beschreibbaren Verzeichnisse ein Exklusivzeichen in der Auflistung erhalten und die gewünschte Anwendung darin ausdrücklich zugelassen wird.

Häufig gestellte Frage & Antwort: Richtlinien zur Softwarebeschränkung

Was sind überhaupt Softwarebeschränkungsrichtlinien? Mit den Software Restriction Policies (SRP) kann Windows angewiesen werden, nur ausgewählte Software zu verwenden. Dort, wo nur zuverlässige Software betrieben werden kann, fällt es Trojanern schwer, sich z.B. über angeblich unbedenkliche E-Mail-Anhänge in das Netzwerk zu schleichen.

Es gibt auch Hash-Regeln, die individuelle Programme als zulässig einstufen. Die " Guidelines for Software Restriction " können mit dem c't-Programm Restric'tor unter allen gängigen Windows-Versionen sehr bequem eingerichtet werden. In der Regel durch Konzernrichtlinien. Der Group Policy Editor (gpedit. msc) oder die "Local Security Policy" (secpol.msc) in den Versionen Professional, Enterprise und Ultimate von Windows erfüllen diesen Zweck.

Beide sind in Windows-Startseite nicht enthalten. Letztendlich sind die Richtlinien zur Softwarebeschränkung jedoch nichts anderes als Registrierungseinträge - wo sie existieren, respektieren sie alle Windows-Versionen einschließlich Heim. Deshalb hat c't das Zusatzprogramm Restric'tor erstellt, mit dem die SVB bequem bearbeitet werden kann[1, 2]. In dem Beitrag über Restric'tor in c't 10/17 empfiehlst du, die SRPs zunächst nicht zu beschränken, sondern einfach eine Protokolldatei zu erstellen, um zu sehen, ob du übermäßige Begleiterscheinungen erwarten kannst.

Können Restric'tor das nicht besser machen? Restric'tor selbst erstellt keine Protokolle, unterbindet nicht den Start des Programms und gibt keine Fehlermeldung aus, wenn ein Start des Programms aufgrund der vorgenommenen Änderungen fehlschlägt. All dies wird von Windows erledigt - Restric'tor erstellt nur Registrierungseinträge und kontrolliert so die in Windows verfügbaren Protokoll- und Sicherheitsmechanismen. Restric'tor wird auch nicht im Hintergund ausgeführt - wenn Sie das Browserfenster schliessen, wird es vollständig aus dem Gedächtnis gelöscht.

Ich habe Ihr Restric'tor runtergeladen und es auf meine Festplatte übertragen, wie im Beitrag beschrieben. Egal, ob ich einen Doppelklick darauf mache, mit der rechten Maustaste auf "Als Adminstrator ausführen " klicke oder versuchen möchte, es über die Befehlszeile zu öffnen, es geschieht nichts. Durch diesen Irrtum werden einige Registry-Einträge gelöscht, was dazu führen kann, dass unterschiedliche Anwendungen nicht mehr gestartet werden, die - wie Restric'tor - mit Microsoft's .

In der unter ct. de /yfst herunterladbaren Fassung 1.1 sind zwei wichtige Verbesserungen enthalten. Der erste Punkt bezieht sich auf den richtigen Gebrauch von Passwörtern: Das System legt sie nicht mehr im Nur-Text ab, sondern nutzt die PowerShell-eigenen Verfahren, um sie so zu schützen, dass nur der Anwender, der die "Verschlüsselung" initiiert hat, sie wieder in Nur-Text umwandeln kann - das ist keine völlige Unbefangenheit, aber es ist aus unserer Sichtsicht eine Verbesserung der Situation.

Daher ist die neue Fassung weniger begeistert über den Erfolg der Sendung. Mit der Weiterentwicklung des Programms Restric'tor haben wir die derzeitige Versionsnummer auf 1.2 gesetzt. Eines der neuen Features ist, dass die routinemäßige Lesung des SRP aus der Registrierung nun viel stabiler ist. Anscheinend gibt es andere SRP-Tools, die nicht standardmäßige Eintragungen in der Registrierung in einem Dateiformat belassen, das Restric'tor in der ersten Fassung aus dem Takt warf.

Darüber hinaus kommt Restric'tor einem Bedürfnis vieler Benutzer entgegen: Mit der Befehlszeilenoption /NewHash kann nun der Namen einer Programmierdatei an das Werkzeug weitergegeben werden, wonach es für dieses Progamm eine neue Hashregel der Ebene "Not restricted" erstellt. Sie müssen sie nur mit "Apply" in die Registrierung aufnehmen. Wählen Sie zunächst die Datei Restrictor.exe im Browser und übernehmen Sie sie mit der Schlüsselkombination Strg+C oder dem Kontextmenü-Befehl "Copy" in die Ablage.

Rechtsklicken Sie in einen beliebigen Freiraum des Ordners SendTo und wählen Sie den Befehl "Insert Shortcut", um einen Restriktionseintrag zu erstellen. Sie können es beliebig benennen, z.B. in "Restric'tor (New Hash Rule)" - der Dateiname wird später im Kontextmenü "Send To" angezeigt. Wenn Sie dies für mehrere aufeinanderfolgende Anwendungen tun wollen, müssen Sie in Restric'tor noch auf "Apply" für jedes einzelne Programm drücken und dann das Programm verlassen - das Versenden einer Grafik an eine aktive Instanz von Restric'tor geht jedoch (!) noch nicht.