Beschreibung der Softwarebeschränkungsrichtlinien in Windows XP

Artikel-ID: 310791 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

In diesem Artikel werden die Softwarebeschränkungsrichtlinien in Windows XP beschrieben.

Administratoren können Softwarebeschränkungsrichtlinien verwenden, um die Ausführung von Software zuzulassen. Mithilfe von Softwarebeschränkungsrichtlinien kann ein Administrator verhindern, dass unerwünschte Programme ausgeführt werden. Dazu zählen Viren und Trojaner sowie andere Softwareprogramme, die bekanntermaßen Probleme verursachen.
Zum Anfang | Ihr Feedback an uns

Weitere Informationen

Verwenden Sie das Gruppenrichtlinientool in Windows XP zum Implementieren von Softwarebeschränkungsrichtlinien. Zum Aktivieren einer Softwarebeschränkungsrichtlinie verwenden Sie eine der folgenden Methoden:
  • Verwenden einer Gruppenrichtlinie
    1. Klicken Sie auf Start und anschließend auf Ausführen.
    2. Geben Sie gpedit.msc ein, und klicken Sie auf OK.
    3. Erweitern Sie die folgenden Elemente:
      Computerkonfiguration
      Windows-Einstellungen
      Sicherheitseinstellungen
      Richtlinien für Softwareeinschränkung
  • Verwenden der lokalen Sicherheitsrichtlinie
    1. Klicken Sie auf Start und anschließend auf Ausführen.
    2. Geben Sie secpol.msc ein, und klicken Sie auf OK.
    3. Befolgen Sie die Anweisungen auf dem Bildschirm, um eine Richtlinie zu aktivieren.

Standardsicherheitsstufe und Ausnahmen

Sie können die Standardsicherheitsstufe konfigurieren und mithilfe zusätzlicher Regeln Ausnahmen zu Standardregeln festlegen. Die Standardsicherheitsstufe bestimmt das Verhalten für alle Programme. Die zusätzlichen Regeln legen Ausnahmen zur Standardsicherheitsstufe fest. Die zwei Sicherheitsstufen sind:
  • Nicht erlaubt - Wenn Sie Nicht erlaubt als Standardregel festlegen, sind keine Programme zugelassen. Sie müssen zusätzliche Regeln erstellen, um die Ausführung bestimmter Programme zu ermöglichen.

    Nicht erlaubt als Standard zu verwenden, ist nur dann sinnvoll, wenn der Administrator über eine Liste sämtlicher zulässigen Programme verfügt.
  • Nicht eingeschränkt - Wenn Sie Nicht eingeschränkt als Standardregel festlegen, ist die Ausführung aller Programme erlaubt. Sie müssen zusätzliche Regeln erstellen, wenn Sie bestimmte Programme einschränken möchten.

    Nicht eingeschränkt eignet sich am besten, wenn dem Administrator keine vollständige Liste aller zulässigen Programme vorliegt, die Ausführung bestimmter Programme aber verhindert werden soll.

Zusätzliche Regeln

Sie können verschiedene Arten von zusätzlichen Regeln konfigurieren:
  • Hash - mit einer Hashregel erstellt der Administrator eine Liste der zu blockenden oder der ausdrücklich zugelassenen Programmdateien. Die Anwendung des Hashs führt zu einem kryptografischen Fingerabdruck, der unverändert bleibt, unabhängig vom Dateinamen oder Speicherort. Sie können diese Methode verwenden, um zu verhindern, dass ein Programm oder eine bestimmte Version eines Programms ausgeführt wird, unabhängig von seinem Speicherort. Ein Problem in Windows XP (auf allen Service Pack-Stufen) verhindert, dass die Hashregeln mit DLL-Dateien funktionieren. Hashregeln funktionieren in Windows Server 2003 und späteren Versionen von Windows fehlerfrei. Eine mögliche Problemumgehung für Windows XP besteht darin, ein Anmeldeskript zu erstellen, das die relevanten DLL-Dateien aus der Registrierung entfernt, und zwar mit folgendem Befehl:
    regsvr32 /u Dateiname.dll
  • Zertifikat - Sie können Zertifikatregeln erstellen, indem Sie ein codesigniertes Softwareherausgeberzertifikat (SPC, Software Publisher Certificate) bereitstellen. Wie Hashregeln werden auch Zertifikatregeln unabhängig vom Speicherort oder Namen der Programmdatei angewendet.
  • Pfad - Pfadregeln gelten für alle Programme, die über einen bestimmten lokalen oder Netzwerkpfad bzw. einen Unterordner des jeweiligen Pfads ausgeführt werden.
  • Internetzone - Mithilfe der Internetzonenregeln können Sie Softwarebeschränkungsrichtlinien basierend auf der Microsoft Internet Explorer-Sicherheitszone anwenden, in der das jeweilige Programm ausgeführt wird. Aktuell gelten diese Regeln nur für Microsoft Windows Installer-Pakete, die in der Zone ausgeführt werden. Internetzonenregeln gelten nicht für Programme, die durch Internet Explorer heruntergeladen werden.

Allgemeine Konfigurationsregeln

Neben den Standardsicherheitsregeln und den zusätzlichen Regeln können Sie auch allgemeine Konfigurationsregeln definieren, um festzulegen, wie die Softwarebeschränkungsrichtlinien auf dem Computer angewendet werden. Dazu zählen:
  • Erzwingung - Mithilfe der Erzwingungseinstellungen können Sie bestimmen, welche Dateien erzwungen werden und welche Benutzer der Richtlinienkonfiguration für Sicherheitseinschränkungen unterliegen. Standardmäßig unterliegen alle Softwaredateien mit Ausnahme von Bibliotheken (z. B. Dynamic-Link Libraries bzw. DLLs) den Richtlinieneinstellungen für Sicherheitseinschränkungen. Sie können die Richtlinien für Sicherheitseinschränkungen so konfigurieren, dass sie für alle Softwaredateien gelten. Beachten Sie, dass hierbei möglicherweise für jede DLL, die von einem Programm benötigt wird, entsprechende Regeln hinzugefügt werden müssen.

    Standardmäßig unterliegen alle Benutzer den Richtlinieneinstellungen für Sicherheitseinschränkungen auf dem Computer. Sie können die Erzwingung für alle Benutzer mit Ausnahme der lokalen Administratoren konfigurieren, wodurch die lokalen Administratoren auch unerlaubte Programme ausführen können.
  • Festgelegte Dateitypen - Mit dieser Richtlinie können Sie die Dateitypen konfigurieren, auf die die Richtlinieneinstellungen für Sicherheitseinschränkungen gelten.
  • Vertrauenswürdige Anbieter - Mit den Eigenschaften von "Vertrauenswürdige Anbieter" können Sie konfigurieren, welche Benutzer vertrauenswürdige Herausgeber auswählen können. Zudem können Sie bestimmen, ob und welche Zertifikatssperrprüfungen ausgeführt werden, bevor einem Herausgeber vertraut wird.
Zum Anfang | Ihr Feedback an uns

AppLocker unter Windows 7 und Windows Server 2008 R2

Softwarebeschränkungsrichtlinien und AppLocker haben zwar dasselbe Ziel, AppLocker ist aber eine komplette Überarbeitung der Softwarebeschränkungsrichtlinien. AppLocker wurde mit Windows 7 und Windows Server 2008 R2 eingeführt. Sie können AppLocker nicht zum Verwalten der Richtlinieneinstellungen für Softwareeinschränkungen verwenden. AppLocker-Regeln werden nur auf Computern mit Windows 7 Ultimate und Enterprise Editions bzw. allen Editions von Windows Server 2008 R2 erzwungen, wohingegen die Richtlinienregeln für Softwareeinschränkungen auch unter früheren Versionen erzwungen werden.

Beachten Sie außerdem Folgendes: Wenn AppLocker und die Richtlinieneinstellungen für Softwareeinschränkungen im selben Gruppenrichtlinienobjekt konfiguriert sind, werden auf Computern mit Windows 7 und Windows Server 2008 R2 nur die AppLocker-Einstellungen erzwungen. Wenn Sie daher sowohl Softwarebeschränkungsrichtlinien als auch AppLocker in Ihrer Organisation verwenden müssen, empfiehlt es sich, für Computer, die AppLocker-Richtlinien verwenden können, AppLocker-Regeln, und für Computer, auf denen frühere Versionen von Windows ausgeführt werden, Richtlinienregeln für Softwareeinschränkungen zu erstellen.

Weitere Informationen zur Verwendung dieser beiden Softwarebeschränkungstechnologien finden Sie in der technischen Bibliothek von Microsoft TechNet im Thema zu AppLocker:
http://technet.microsoft.com/de-de/library/dd723678(WS.10).aspx
(http://technet.microsoft.com/de-de/library/dd723678(WS.10).aspx)
Zum Anfang | Ihr Feedback an uns

Eigenschaften

Artikel-ID: 310791 - Geändert am: Donnerstag, 22. Oktober 2009 - Version: 3.1
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows XP Professional
Keywords: 
kbenv kbinfo KB310791
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Zum Anfang | Ihr Feedback an uns

Ihr Feedback an uns

 
Zum AnfangZum Anfang