Hinweis: Dieser Artikel behandelt eine erweiterte Sicherheitsfunktion (Softwareeinschränkungsrichtlinien) für Fachleute, IT-Techniker und fortgeschrittene Benutzer. Eine falsche Konfiguration kann Systemvorgänge einschränken. Es wird empfohlen, sie zunächst in einer Testumgebung zu prüfen.
Als proaktive Verteidigungslinie bieten Softwareeinschränkungsrichtlinien (SRP) in Windows eine detaillierte Kontrolle darüber, welche Anwendungen ausgeführt werden dürfen. Diese Gruppenrichtlinienfunktion ist eine mächtige Waffe, insbesondere in einer Strategie zur Prävention von Ransomware und anderer Malware, die unbefugt ausgeführt werden soll.
In einer zunehmend komplexen digitalen Landschaft stammen Bedrohungen wie Ransomware nicht nur von Phishing-E-Mails, sondern auch von infizierten Werbeanzeigen (Malvertising), bösartigen Websites oder der Ausnutzung von Schwachstellen. Softwareeinschränkungsrichtlinien fungieren als Gatekeeper, der Ausführungsregeln basierend auf Pfad, Hash, Zertifikat oder Netzwerkzone durchsetzt. So bauen Sie eine Sicherheitsebene jenseits des traditionellen Antivirenschutzes auf.
Was sind Softwareeinschränkungsrichtlinien (SRP) und ihre Vorteile?
Softwareeinschränkungsrichtlinien sind eine integrierte Windows-Komponente (verfügbar in den Editionen Pro, Enterprise und Education), die Administratoren die Kontrolle über das Ausführungsverhalten von Dateien ermöglicht. Diese Funktion ist entscheidend innerhalb eines Zero-Trust-Rahmens, in dem standardmäßig keiner Anwendung vertraut wird.
Die Vorteile der Implementierung von SRP umfassen:
- Verhinderung von Malware-Ausführung: Blockiert Viren, Ransomware, Spyware oder Trojaner, die von signaturbasierten AV-Lösungen noch nicht erkannt wurden.
- Kontrolle der Computernutzung: Beschränkt bestimmte Anwendungen oder Spiele auf gemeinsam genutzten Computern oder für Kinder.
- Verbesserte Compliance: Stellt sicher, dass nur genehmigte (whitelistete) Anwendungen in Unternehmensumgebungen ausgeführt werden können.
Whitelisting vs. Blacklisting: Welcher Ansatz ist effektiver?
SRP bietet zwei grundlegende Ansätze:
- Whitelisting (Positivliste): Alle Anwendungen sind standardmäßig blockiert. Nur explizit auf der Liste stehende Anwendungen dürfen ausgeführt werden.
- Blacklisting (Negativliste): Alle Anwendungen sind standardmäßig erlaubt. Nur spezifische Anwendungen auf der Liste werden blockiert.
Zum Zweck der Prävention von Ransomware und Zero-Day-Bedrohungen ist der Whitelisting-Ansatz deutlich überlegen und wird von Cybersicherheitsexperten empfohlen. Der Grund ist einfach: Es ist einfacher zu definieren, was „gut“ ist (legale Anwendungen), als ständig zu verfolgen, was „böse“ ist (neue Malware-Varianten).
Schritt-für-Schritt-Anleitung zur Konfiguration von SRP zur Ransomware-Prävention
Im Folgenden finden Sie eine grundlegende SRP-Konfiguration mit der Whitelisting-Methode. Stellen Sie sicher, dass Sie als Administrator angemeldet sind.
Schritt 1: Lokalen Gruppenrichtlinien-Editor öffnen
- Drücken Sie die Tasten Windows + R, um „Ausführen“ zu öffnen.
- Geben Sie
gpedit.mscein und drücken Sie die Eingabetaste.
Schritt 2: Zu Softwareeinschränkungsrichtlinien navigieren
Navigieren Sie im Editor-Fenster zu: Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Softwareeinschränkungsrichtlinien.
Schritt 3: Neue Richtlinien erstellen
Klicken Sie mit der rechten Maustaste auf Softwareeinschränkungsrichtlinien und wählen Sie dann Neue Softwareeinschränkungsrichtlinien. Eine Standardstruktur wird erstellt.
Schritt 4: LNK-Erweiterung aus der Liste der festgelegten Dateitypen entfernen
Dieser Schritt ist entscheidend, um zu verhindern, dass sich Malware als Verknüpfungen tarnt. Öffnen Sie Festgelegte Dateitypen. Suchen Sie die Erweiterung .LNK in der Liste und klicken Sie dann auf Entfernen. Klicken Sie auf OK.
Schritt 5: Pfadregeln überprüfen und hinzufügen (Whitelist)
Öffnen Sie den Ordner Zusätzliche Regeln. Standardmäßig gibt es zwei „Uneingeschränkt“-Pfadregeln:
1. %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% (Windows-Ordner)
2. %ProgramFiles%
Für 64-Bit-Systeme müssen Sie eine Regel für den Ordner „Program Files (x86)“ hinzufügen:
1. Klicken Sie mit der rechten Maustaste auf einen leeren Bereich und wählen Sie Neue Pfadregel.
2. Geben Sie im Feld „Pfad“ ein oder navigieren Sie zu: C:\Program Files (x86)
3. Stellen Sie sicher, dass die Sicherheitsstufe auf Uneingeschränkt eingestellt ist.
4. Klicken Sie auf OK.
Wichtiger Hinweis: Einige Anwendungen (wie Zoom, einige Spiele) werden an benutzerdefinierten Speicherorten installiert (z.B. C:\Zoom oder C:\Spiele). Sie müssen für jeden solchen benutzerdefinierten Installationsordner eine neue Pfadregel mit der Stufe „Uneingeschränkt“ erstellen.