Was sind Software Restriction Policies

//Was sind Software Restriction Policies

Software Restriction Policies, kurz SRP, bieten die Möglichkeit die Ausführung von Programmen von bestimmten Speicherorten einzuschränken. Dieser Mechanismus ist bereits seit Windows XP und somit seit vielen Jahren implementiert, hat aber – erstaunlicherweise – niemals weite Verbreitung gefunden! Und das, obwohl sich damit ohne kostenpflichtige Zusatztools ein immenser Sicherheitsgewinn erzielen lässt. Aktuelle Versionen der Microsoft Windows Familie bieten mit AppLocker einen neuen Mechanismus zur Steuerung von Ausführungsberechtigungen an, unterstützen aber nach wie vor SRPs in vollem Umfang. AppLocker ist für Windows 7 erst ab den Editionen Enterprise oder Ultimate verfügbar und daher heute im KMU Umfeld praktisch noch nicht einsetzbar.

Die Idee, das Ausführen von Programmen von bestimmten Speicherorten zu verbieten ist nicht neu, alle Linux artigen Betriebssysteme kennen schon immer neben Lese und Schreibrechte einer Datei auch das Recht „Ausführen“ mit dem gesteuert werden kann, ob eine Datei ausführbar ist. SRPs ermöglichen die nahezu gleiche Funktionalität und den damit verbundenen Sicherheitsgewinn auch in die Windows-Welt zu übertragen.

Möglichkeiten Dateien zu spezifizieren

SRPs bieten mehrere unterschiedliche Ansätze Dateien zu identifizieren und somit deren Ausführbarkeit festlegen zu können.

  • Anhand von Pfaden oder Namen (hier sind Wildcards möglich)
  • Anhand des Hash einer Datei
  • Zertifikatbasiert

In der Praxis hat sich gezeigt, dass sich fast alle Szenarien mit dem erstgenannten Mechanismus behandeln lassen – und das mit dem geringsten Pflegeaufwand. Daher wird in nachfolgenden Erklärungen im wesentlichen nur auf die Identifizierung von Dateien über Pfad und Name eingegangen.

Idee eines Regelwerks

Bei der Erstellung eines Regelwerks könne zwei unterschiedliche Ansätze verfolgt werden:

Blacklisting

Per Default ist die Ausführung von Programmen von allen Speicherorten her erlaubt, es werden nur bestimmte Orte (etwas das Profilverzeichnis der User) als verboten deklariert.

Whitelisting

Es werden nur Programme von zuvor als vertrauenswürdig eingestuften Speicherorten (im Allgemeinen das Windows und das Programmverzeichnis) zur Ausführung erlaubt. Diese Maßnahme ist am restriktivsten, bietet dabei jedoch die höchstmögliche Schutzwirkung. Es ist davon auszugehen, dass ohne weitere Nacharbeiten nicht mehr alle Programme korrekt laufen, da sich leider immer noch viele Softwarehersteller (oder ältere Programme) nicht an die allgemeinen Richtlinien von Microsoft halten und teilweise Programmdateien auch an anderen Speicherorten außerhalb der Standardverzeichnisse ablegen und diese zur Ausführung benötigen.

Unser Vorschlag zur Umsetzung

Welche der beiden Möglichkeiten (Blacklisting oder Whitelisting) bevorzugt umgesetzt werden soll ist klar: Das Höchstmaß an Sicherheit gibt es mit Whitelisting, denn solange ein Benutzer Programme nur von Speicherorten ausführen kann, auf die er selber keine Schreibrechte hat, ist das Risiko einer Infektion mit Schadsoftware minimal. In einzelnen Kundenumgebungen kann es vorkommen, dass es nicht möglich ist trotz Hinzunahme weitere Speicherorte in die Ausnahmelisten uneingeschränkte Arbeitsfähigkeit herzustellen! Wir schlagen aber zumindest einen Minimalschutz mit folgenden für die Ausführung verbotenen Speicherorten vor:

  • C:\Users\ (die Benutzerprofile)
  • Verzeichnis für temporäre Dateien.

SRPs können in Domänenumgebungen bequem per Gruppenrichtlinien verwaltet werden, lassen sich aber auch für Einzelplatzsysteme im Editor für lokale Gruppenrichtlinien (gpedit.msc) einstellen und pflegen. Sogar die „Home“ Editionen der Microsoft Betriebssysteme bieten hier Möglichkeiten der Umsetzung.

Dr. Christian Kompa, Geschäftsführer der ESCK Consulting UG (hatftungsbeschränkt), zuvor bei EDV Service Christian Kompa Systemadministrator für kleine und mittelständische Unternehmen und Berater in allen Fragen zur Erhöhung der IT Sicherheit in Anbetracht der aktuellen Bedrohungslage durch Ransomware.