Einfache Software-Einschränkungsrichtlinie ermöglicht es Ihnen, Windows-Rechner zu härten, indem Sie ihnen Linux-ähnliche Ausführungsberechtigungen hinzufügen.
Windows verhindert standardmäßig nicht, dass Software von jedem Ort auf dem Computer ausgeführt wird, der von Malware und unerwünschter Software ausgenutzt wird.
Zum Beispiel können Programme direkt von USB-Flash-Laufwerken, Download-Ordnern oder temporären Systemverzeichnissen ausgeführt werden.
Die einfache Richtlinie zur Softwareeinschränkung ändert dies, indem diese Funktionalität auf dem System gesperrt wird. Es wird mit einer Standardregeldatei geliefert, die ein guter Anfang ist, aber möglicherweise optimiert werden muss.
Nach der Installation werden Sie feststellen, dass Sie keine Dateien mehr aus Download-Ordnern oder den meisten Ordnern auf dem System ausführen können.
Es ist immer noch möglich, Software von ausgewählten Speicherorten auszuführen, zum Beispiel dem Ordner mit den Programmdateien, aber die Ausführung von den meisten Speicherorten wird blockiert.
Die Funktionalität des Programms ist in der Softwarerichtlinie definiert.ini-Datei. Öffnen Sie es in einem beliebigen Nur-Text-Editor, um sein Verhalten zu optimieren. Dies ist nicht so einschüchternd, wie es sich anhört, da die Syntax einfach ist und Anweisungen für jeden Eintrag bereitgestellt werden.
Hier ist eine kurze Liste wichtiger Abschnitte in der ini-Datei, die Sie möglicherweise nützlich finden:
- Begrenzte Apps - Dies ist nur sinnvoll, wenn der Benutzer ein lokaler Administrator ist. Wenn dies der Fall ist, stellt es sicher, dass die in diesem Abschnitt aufgeführten Programme mit eingeschränkten Rechten ausgeführt werden. Webbrowser wie Firefox, Opera oder Chrome werden standardmäßig in diesem Abschnitt aufgeführt. Darüber hinaus können Sie festlegen, wann diese Einschränkungen gelten (wenn die App gesperrt ist, immer, nie).
- Benutzerdefinierte Richtlinien - Verwenden Sie diesen Abschnitt, um Orte auf dem Computer oder Netzwerk zu definieren, an denen Softwareausführungen nicht blockiert werden.
- AdminMenuPasswordLevel - Aktivieren Sie diese Option, um die Entsperrfunktion der Anwendung und die Konfiguration der Software mit einem Kennwort zu schützen.
- Software-Richtlinie - Definiert Erweiterungen, die durch das Programm eingeschränkt werden. Enthält standardmäßig viele ausführbare Dateitypen und wichtige Dateitypen wie exe, bat oder reg.
- AddRootDirs - Blockieren oder zulassen, dass Programme aus Root-Verzeichnissen ausgeführt werden, z.G. c: oder d:
- AddTempDir - Blockieren oder zulassen, dass Programme aus temporären Verzeichnissen ausgeführt werden
- IncludeDlls - Ob auch das Starten von Dynamic Link Libraries verhindert werden soll.
- AlwaysAllowSystemFolders - Legt fest, ob Systemprogramme jederzeit gestartet werden können.
- Unzulässig - Fügen Sie Pfade oder ausführbare Dateien hinzu, die niemals auf dem System ausgeführt werden sollten.
Die beiden Hauptfunktionen des Programms bestehen darin, die Ausführung von Programmen auf dem System in sicheren Bereichen zu sperren und bestimmte Programme automatisch mit eingeschränkten Rechten auszuführen.
Das Programm wird mit einer Entsperroption geliefert, die seinen Schutz deaktiviert, was nützlich sein kann, wenn bestimmte Anwendungen oder Updates nicht ordnungsgemäß ausgeführt werden, wenn die Anwendung aktiviert ist. Ein Ordner voller portabler Anwendungen kann beispielsweise ein gutes Ziel für eine Ausnahme sein, da Sie die Programme sonst nicht auf dem Windows-Rechner ausführen dürfen.
Je nachdem, wie Sie Ihr System derzeit verwenden, müssen Sie möglicherweise bestimmte Verhaltensweisen ändern, nachdem Sie den Schutz der Simple Software-Restriction Policy aktiviert haben. Es ist beispielsweise nicht mehr möglich, heruntergeladene ausführbare Dateien direkt aus dem Download-Verzeichnis auszuführen, es sei denn, Sie nehmen Änderungen an der Standardkonfiguration vor.
Urteil
Einfache Software-Einschränkungsrichtlinie härtet Windows-Systeme ab, indem die Speicherorte eingeschränkt werden, von denen Anwendungen ausgeführt werden können. Darüber hinaus können Sie bestimmte Programme mit eingeschränkten Rechten ausführen.
Es ist ein nützliches Programm nicht nur für Ihre eigenen Systeme, sondern vielleicht auch für die Systeme von Verwandten oder Freunden, die nicht mit Computern vertraut sind.