SRP Pfadregeln

Dieser Post dient zum Sammeln der gängigen Software Restriction Policy Pfadregeln für diverse Programme. Manche Regeln sind hier doppelt aufgeführt (als Umgebungsvariable oder als Pfad), was jedoch Absicht ist. Weitere Regeln werden im Laufe der Zeit hinzukommen, evtl. auch in den Kommentaren! Die hier aufgeführten Regeln funktionieren sowohl für Blacklisting, als auch Whitelisting. Standardmäßig verhindern SRPs auch das Ausführen von Verknüpfungen (*.lnk) diese müssen natürlich aus der Liste der Dateiendungen gestrichen werden. Für maximale Sicherheit empfehlen wir die SRPs auf alle Dateitypen anzuwenden (auch DLLs), jedoch nicht auf Administratoren unter der Voraussetzung, dass die Benutzer generell keine Administratorrechte haben (ansonsten müssen SRPs auch für Administratoren erzwungen werden, das führt aber an anderen Stellen erfahrungsgemäß zu Problemen).

Pfadregeln für SRPs

Programme // nicht eingeschränkt

%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir (x86)%
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%
C:\Program Files
C:\Program Files (x86)

Windows // nicht eingeschränkt

%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%
C:\Windows

Netlogon // nicht eingeschränkt

\\<servername>\Netlogon

Keine Prgramme aus Temp Ordnern // nicht erlaubt

%Temp%
%TMP%
C:\Windows\Temp

Keine Programme im Userprofil // nicht erlaubt

C:\Users

Userprofil eines Admin-Benutzers// nicht eingeschränkt

C:\Users\<administrator, oder der Name des Userkontos>

Kein Powershell / Skripte // nicht erlaubt

powershell.exe
wscript.*

Elster Formular // nicht eingeschränkt

%APPDATA%\elsterformular

Lotus Notes // nicht eingeschränkt

%LOCALAPPDATA%\IBM

Dr. Christian Kompa, Geschäftsführer der ESCK Consulting UG (hatftungsbeschränkt), zuvor bei EDV Service Christian Kompa Systemadministrator für kleine und mittelständische Unternehmen und Berater in allen Fragen zur Erhöhung der IT Sicherheit in Anbetracht der aktuellen Bedrohungslage durch Ransomware.