nnaw 27030803 Tipp

Trick für XP, Vista
Ratgeber: Programme systemweit verbieten

Windows Vista und ein XP auf aktuellem Update-Stand kennen erweiterte Richtlinien, mit denen sich der Start von Software reglementieren lässt. Der Artikel erklärt den Einsatz der Gruppenrichtlinien Gpedit.msc am Beispiel der schärfsten Option â013 der Hash-Regeln. Hier gehen wir auf den Unterschied zwischen Pfad- und Hash-Regeln ein.
Die Software-Einschränkungen definieren Sie nach dem Start von Gpedit.msc unter â01EWindows-Einstellungen, Sicherheitseinstellungen, Richtlinien für Softwareeinschränkung, Zusätzliche Regelnâ01C. Falls diese Rubrik noch nie editiert wurde, müssen Sie zunächst nach Rechtsklick â01ENeue Richtlinien erstellenâ01C. Danach entsteht automatisch der neue Eintrag â01EZusätzliche Regelnâ01C. Wenn Sie diesen nun markieren, können Sie nach Rechtsklick im rechten Wertefenster wahlweise Zertifikat-, Hash-, Internetzonen- oder Pfadregeln festlegen.

Um bestimmte Programme zu verbieten, sind Hash-Regeln die schärfste Waffe. Sie wählen also â01ENeue Hashregelâ01C, klicken sich mit â01EDurchsuchenâ01C zum gewünschten Programm und schließen danach bei voreingestellter â01ESicherheitstufe: Nicht erlaubtâ01C mit â01EOKâ01C den Dialog. Das Programm, Script oder auch Dokument (Dokumenttypen lassen sich eine Ebene höher unter â01EDesignierte Dateitypenâ01C zusätzlich eintragen) wird anhand eines eindeutigen MD5-Hash-Werts identifiziert und â013 falls zutreffend â013 verboten. Die mit Gpedit vergebene Regel gilt sofort.
Pfadregeln: Sie sind einfacher zu handhaben, weil sich mit einer einzigen Regel gleich ganze Ordnerstrukturen verbieten lassen. Sie sind aber auch leichter zu umgehen: Wenn Sie einen bestimmten Ordner verbieten, sperrt Windows (inklusive aller Anwendungen und Kommando-Shells) alle darin enthaltenen ausführbaren Programme. Das Programm startet hingegen sofort wieder unbeeindruckt, wenn es in einen erlaubten Pfad kopiert wird. Eine Barriere für weniger versierte PC-Benutzer errichten aber auch Pfadregeln, zumal die meisten Anwendungen ein simples Verschieben wegen diverser Registry-Einstellungen gar nicht vertragen.
Hash-Regeln: Bei einer Hash-Regel ist das verbotene Programm systemweit gesperrt, solange die ausführbare Datei den eingetragenen MD5-Hash-Wert aufweist. Einfaches Verschieben kann dagegen ebenso wenig ausrichten wie etwa eine Neu-Installation. Gegen wirklich versierte PC-Anwender hilft eine Hash-Regel aber auch nicht nachhaltig: Wenn ein Anwender an die gesperrte Programmdatei etwa mit einem simplen Copy-Befehl wie
copy /b programm.exe + xyz.txt neu.exe
um einige Bytes erweitert, ändert sich der Hash-Wert, und damit fällt die Blockade.
Die aus Windows Server 2003 stammenden Software-Einschränkungen eignen sich daher ganz gut, um auf einem Mehrbenutzersystem etwa weniger geübte Familienmitglieder von bestimmter Software fernzuhalten. Die ganz harten Restriktionen bedeuten sie nicht.
Gpedit steht nur in XP Pro sowie Vista Business und Ultimate zur Verfügung. Eine einfache Variante für Home-Versionen finden Sie im Folgetipp mit pcwWinPolice.
(original Nachricht (/linkto)