14.11.2006 | Autor / Redakteur: Brien M. Posey / Andreas Donner
Selbst auf einem gut gesicherten Windows-XP-Arbeitsplatzrechner können gewiefte User die Sicherheitseinstellungen meist leicht aushebeln. Bedeutend erschwert wird die Umgehung der Sicherheitseinstellungen über die Vergabe von Softwareeinschränkungen.
In der Regel lässt ein richtig konfigurierter Windows-XP-Arbeitsplatzrechner seinem Benutzer kaum Möglichkeiten zum Herumbasteln. Doch hin und wieder kennen Anwender allerlei raffinierte Tricks, um die Sicherheitseinstellungen ihrer Arbeitsplatzrechner zu umgehen.
Eine Möglichkeit, diesem Problem zu Leibe zu rücken, besteht darin, Richtlinien für Softwareeinschränkungen zu verwenden. Darunter versteht man eine spezielle Gruppenrichtlinienverwaltung, mit deren Hilfe Nutzer davon abgehalten werden, unerlaubte Software auszuführen. Dies funktioniert jedoch nur auf Rechnern, die mit Windows XP und Windows Server 2003 laufen.
Leider ist eine Richtlinie für Softwareeinschränkungen aber kein „Allheilmittel“ gegen unerwünschte Software. Sie stellt vielmehr eine Möglichkeit dar, das Ausführen bestimmter Anwendungen zu verhindern. Mit einer solchen Richtlinie hätte z.B. das Spiel „Moorhuhn“ seinerzeit nicht derart viele Büroangestellte von der Arbeit abgehalten.
Richtlinien für Softwareeinschränkungen werden im Gruppenrichtlinien-Editor erstellt: Computerkonfiguration (bzw. Benutzerkonfiguration, wenn die Richtlinie für einen Benutzer und nicht für den Computer angewendet wird) > Windows-Einstellungen > Sicherheitseinstellungen > Richtlinien für Softwareeinschränkungen. Ein Rechtsklick auf den zu Beginn leeren Container „Richtlinien für Softwareeinschränkungen“ öffnet ein Kontextmenü, aus dem der Befehl „Neue Richtlinie für Softwareeinschränkungen“ ausgewählt wird.
Hiermit lässt sich allerdings nicht direkt eine Richtlinie für Softwareeinschränkungen erstellen. Der Gruppenrichtlinien-Editor legt zunächst zwei zusätzliche Unterordner unter dem Container „Richtlinien für Softwareeinschränkungen“ an. Der erste dieser Unterordner trägt den Namen „Sicherheitsstufen“. In diesem Ordner sollten eigentlich keinerlei Änderungen vorgenommen werden müssen. Er definiert lediglich die Sicherheitsstufen, die auf eine erstellte Richtlinie angewendet werden können. Standardmäßig sind bereits zwei Sicherheitsstufen definiert: „nicht erlaubt“ und „nicht eingeschränkt“. Die Sicherheitsstufe „nicht erlaubt“ bedeutet genau das, wonach sie klingt: Benutzer oder Computer, auf die sich die Richtlinie bezieht, sind nicht berechtigt, die angegebene Anwendung auszuführen.
Wird die Sicherheitsstufe „nicht eingeschränkt“ auf eine Richtlinie für Softwareeinschränkungen angewendet, ist die festgelegte Anwendung nur insofern „nicht eingeschränkt“, als dass die Richtlinie für Softwareeinschränkungen nicht in die Ausführbarkeit der Anwendung eingreift. Benutzer oder Computer können jedoch immer noch mittels anderer NTFS- oder gruppenbasierter Einschränkungen vom Ausführen der Anwendung abgehalten werden.
Im Ordner „Zusätzliche Regeln“ sind einige Regeln bereits standardmäßig vordefiniert. Sie sollen lediglich sicherstellen, dass durch eine Richtlinie das Ausführen von Windows nicht versehentlich blockiert wird. Ein Rechtsklick auf den Container „Zusätzliche Regeln“ öffnet ein Kontextmenü mit Befehlen für das Erstellen einer neuen Regel. Es gibt vier Regelarten, von denen jede ihre Vor- und Nachteile hat.
Zertifikatregeln werden normalerweise eingesetzt, um das Installieren von neuen Anwendungen (nicht das Ausführen bereits installierter Anwendungen) zu erlauben oder zu verhindern. Viele Anwendungen oder Gerätetreiber werden vom Hersteller digital signiert. Das in der digitalen Signatur verwendete Zertifikat lässt sich hierfür nutzen.
Bei einem digital signierten Installationsprogramm könnte mit Hilfe einer Zertifikatregel die Installation von Anwendungen eines bestimmten Unternehmens wirksam verhindert werden. Andersherum, wenn z.B. Microsoft-Anwendungen oder intern entwickelte Anwendungen immer installiert werden sollen, könnte die Zertifikatregel die Sicherheitsstufe „nicht eingeschränkt“ auf diese Zertifikate anwenden.
Hashregeln basieren auf der mathematischen Prüfsumme einer bestimmten Datei. Am Beispiel des oben erwähnten Spiels „Moorhuhn“ würde dies bedeuten, dass für die Datei „Moorhuhn.exe“ eine Prüfsumme erstellt, und dieser die Sicherheitsstufe „nicht erlaubt“ zugewiesen werden müsste. Dann ließe sich Moorhuhn nicht mehr ausführen.
Der Vorteil: Anwendungen können nur schwer vor Hashregeln versteckt werden. Durch Umbenennen oder Verschieben einer Anwendung wird ihre Prüfsumme nicht verändert, und die Regel funktioniert weiterhin. Andererseits würde die Regel durch ein Upgrade auf eine neue Softwareversion ihre Gültigkeit verlieren – selbst dann, wenn die Datei dieselbe bliebe. Ein Benutzer könnte mit Hilfe eines Hex-Editors ein Byte in der Datei verändern und die Hashregel dadurch völlig unbrauchbar machen. Zum Glück gibt es jedoch nicht allzu viele Benutzer, die mit Hex-Editoren umgehen können.
Internetzonenregeln bieten einen exzellenten Schutz vor Spyware. Es gibt jedoch bösartige Websites, die mithilfe von Skripten Manipulationen durchführen und z.B. die Startseite des Webbrowsers oder die Favoritenliste ändern bzw. Trojaner auf dem Computer installieren.
Internetzonenregeln helfen bei der Bekämpfung dieser Manipulationen, indem sie dem Rechner sagen, dass Skripte auf den Arbeitsplatzrechnern nicht ausgeführt werden dürfen, es sei denn, es handelt sich um eine Website aus einer vertrauenswürdigen Zone. Natürlich gibt es standardmäßig keine vertrauenswürdigen Websites, manche Websites benötigen vielleicht sogar Skripte für die korrekte Darstellung. Es kann also sein, dass der Administrator hier ein wenig herumexperimentieren muss.
Mit einer Pfadregel kann das Ausführen eines Programms auf Basis des Programmpfads blockiert werden. So ließe sich beispielsweise das Ausführen aller Programme in einem Ordner C:\Programme\Microsoft-Spiele blockieren. Das Problem bei Pfadregeln ist allerdings, dass Benutzer sie ganz leicht umgehen können, indem sie die blockierte Anwendung einfach an einen anderen Speicherort verschieben.
Es ist möglich, dass eine neu erstellte Richtlinie für Softwareeinschränkungen nicht gleich von Anfang funktioniert. Dafür kann es mehrere Gründe geben. Zunächst einmal ist die neue Richtlinie ein Gruppenrichtlinienelement innerhalb des Active Directory. Als solches muss sie erst in die anderen Domänencontroller kopiert werden, bevor sie wirksam wird. Sie unterliegt zudem den üblichen Hierarchieregeln für Gruppenrichtlinien.
Zudem kann es sein, dass manche Anwendungen im Windows-Ordner unter \Windows\System32\dllcache „versteckt“ sind. Wenn eine eingeschränkte Anwendung in diesem Ordner zwischengespeichert ist, kann sie möglicherweise bis zum Ablauf des Cache-Eintrags trotzdem weiter ausgeführt werden.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2000872)
