| Software Restriction Policies sind in Windows 11 22H2 passé (11.11.2022) |
 Über die Funktion der Software Restriction Policies (SRP) kann unter Windows über Richtlinien festgelegt werden, welche Software ausgeführt werden darf. Dabei können Hash- oder Pfadregeln sowie White- und Blacklists zum Einsatz kommen.
Diese Vorgehensweise dient zur Härtung des Systems und ist ein hervorragender, zuverlässiger Schutz vor Ransomware und anderem schädlichen Code. Der Ansatz macht den Virenscanner fast arbeitslos, weil bereits im Vorfeld festgelegt wird, was wo geht und was nicht. |
Bereits im Juni 2020 hat Microsoft dem Feature SRP für Client-Systeme abgekündigt und als deprecated (veraltet) aufgeführt. Die Argumentation war/ist:
"Software Restriction Policies in Group Policy: Instead of using the Software Restriction Policies through Group Policy, you can use AppLocker or Windows Defender Application Control to control which apps users can access and what code can run in the kernel."
Das Problem bei diesen "Alternativen" ist:
- "AppLocker" funktioniert nur in der Enterprise-Edition von Windows 10/11, ohne gravierenden Eingriff in das System (dann auch in der Pro-aber nicht Home-Edition nutzbar). Zudem bekommen die Enterprise-Variante von Windows 10/11 nur Firmen ab einer bestimmten Grösse. Also keine Alternative!
- "Smart App Control" (für Windows 11 verfügbar) ist nur bei einer Neuinstallation des Systems aktivierbar aber nicht beim Upgrade von 21H2 auf 22H2. Auch lässt sich diese Sicherheitsfunktion, nach einem Deaktivieren, nicht ohne Neuinstallation wieder aktivieren. Ergo: auch keine Alternative!
Ferner lässt sich "Smart App Control" nicht konfigurieren, d.h. es ist nicht möglich, einzelne Apps/Programme von der Regel auszunehmen, wenn sie keine gültige Microsoft-Signatur besitzen und deshalb geblockt werden. Es läuft dann nur noch das, was Microsoft genehm ist, ähnlich wie es Apple bereits praktiziert.
Seit Windows 11 in Version 22H2 sind die Software Restriction Policies (SRP) nun ohne Funktion, wenn das System neu (clean) installiert wurde. Sie funktionieren jedoch aktuell noch in Windows 11 bei einer Aktualisierung von 21H2 auf 22H2. Auch unter Windows 10 22H2 sind noch keine Einschränkungen bzgl. der SRP festellbar. Die Frage ist aber, wie lange werden die SRP noch in diesen Konstellationen unterstützt. Es kann mit jedem OS-Update vorbei sein.
Ohne Not gibt Microsoft einen funktionierenden und wichtigen Schutzmechanismus auf, der in allen Windows-Editionen funktionierte und die Windows-Welt eindeutig sicherer machte! Ein weiterer Grund (es gibt noch einiges mehr) von Windows 11 vorerst abzusehen (Windows 10 wird noch bis 14.10.2025 mit Updates versorgt).
Wer noch auf SRP (auf deutsch: Richtlinien zur Softwareeinschränkung) setzt und ein kompatibles Windows-System betreibt, kann sich z.B. des Programms "RESTRIC`TOR" bedienen oder die SRP über "SAFER" konfigurieren. Beides sind Helferlein und machen nichts anderes als die SRP über Registry-Einträge zu aktivieren. "Restric`tor" (empfohlen) besitzt dazu eine grafische Oberfläche (GUI), um Regeln schnell zu erstellen.
PRO-Anwender können auch den "Editor für lokale Gruppenrichtlinien" (gpedit.msc) oder den Editor der "Lokalen Sicherheitsrichtlinie" (secpol.msc) verwenden. Damit lassen sich bzgl. der SRP praktisch dieselben Einstellungen vornehmen. HOME-Anwendern sind diese Tools allerdings verwehrt und es muss direkt in der Registry gefrickelt werden. Um fehlerhafte Konfigurationen möglichst auszuschliessen, ist die Verwendung der - im vorherigen Absatz genannten - Helferlein sowohl Home- als auch Pro-Anwendern dringend ans Herz gelegt!
Man sollte sich in jedem Fall in die Materie einarbeiten, um keine unliebsamen Überraschungen zu erleben.
Screenshots "Restric`tor":
Nur die grünen Pfade und Hashes sind erlaubt (ansonsten wäre das System unbenutzbar), alles andere nicht. Im Windows-Verzeichnis wurden explizit weitere Unterverzeichnisse gesperrt. Ein beispielsweise schädlicher E-Mail-Anhang, empfangen über einen E-Mail-Client, kann so erst gar nicht zur Ausführung kommen, weil dieser in einem nicht erlaubten (temporären) Benutzer-Verzeichnis liegt.
Bei Ausführung von Code aus nicht explizit erlaubten Pfaden oder passen die Hashes für erlaubte Software nicht, erscheint folgende Meldung:
Das System ist so gut gehärtet und Ransomware oder anderer Schadcode hat es sehr, sehr schwer! Der Schutz wirkt jedoch nur, wenn die SRP-Konfiguration nicht fehlerhaft oder schlampig erfolgt.
Siehe auch:
|
Kommentare
