So jetzt gehts an Eingemachte:
In einer Group Policy wählst Du, wie Du sicher schon herausgefunden hast, zuerst einmal den Knoten "Richtlinien für Softwareeinschränkugen". Dort musst Du zuerst eine neue Richtlinie erstellen. Danei wird standardmäßig die Sicherheitsstufe "nicht eingeschränkt" gewählt, was im Endeffekt bedeutet, dass die Regel bis dato alles erlaubt. Es müssten jetzt unter "zusätzliche Regeln" neue Regeln definiert werden, die bestimmte Dinge explizit verbieten.
Von Haus aus sind da bereits 4 Registry Schlüssel eingetragen (Pfadregeln / Path Rules). Ich glaub die 4 sind selbsterkärend und müssen nicht nochmal erläutert werden. Diese 4 werden erstellst, um zu verhindern, dass man sich selber aus dem System aussperrt. Prinzipiell werden sie aber nur gebraucht, wenn man sie Standardsicherheitsstufe auf "nicht erlaubt" ändert. Ansonsten ist es eben doppelt gemoppelt.
So jetzt zur Erklärung der verschiedenen Regeln. Wir unterscheiden 4 verschiedene Regeltypen:
1) Zeritifkatsregel (Certificate Rule)
2) Hashregel (Hash Rule)
3) Internetzonenregel (Internet Zone Rule)
4) Pfadregel (Path Rule)
1) Zertifikatsregel
Zertifikatsregeln identifizieren Software anhand eines eines Zertifikats. Entsprechende Software kann dann ohne Einschränkungen ausgeführt werden. Zertifikatsregeln gelten
nur für Skripts und Windows Installer Pakete, nicht aber für ausführbare Dateien und Programmbibliotheken!
2) Hashregel
Bei Hashregeln wird zu einer beliebigen Datei ein Hash erzeugt (SHA-1 oder MD5). Nur wenn der vom Client erzeigte Hash einer Datei mit dem zuvor vom Server errechneten Wert übereinstimmt, wird die Datei ausgeführt (oder eben gereade nicht, je nach dem wie man es gewählt hat).
Vorteil: Hashregeln sind unabhängig vom Dateinamen und unabhängig von der Postition der Datei in der Verzeichnisstruktur.
3) Internetzonenregel
Diese Regeln betreffen ausschließlich Windows Installer Pakete und identifizieren sie anhand der Herkunft aus definierten Zonen, wie sie im Internetexplorer zu finden sind (Internet, Intranet, vertrauenswürdige Sites...).
4) Pfadregel
Wie der Name schon sagt, werden beliebige Dateien anhand ihres Pfades im Dateisystem identifiziert. Das hat den Nachteil, dass eine Datei ausführbar wird, sobald sie in ein nicht eingeschränktes Verzeichnis kopiert wird.
Es können sowohl "klassische" Pfade im Dateisystem als auch Regitry Pfade angegeben werden, die dann wiederum bestimmte Verzwichnisse identifizieren (s. die 4 oben genannten Standardpfadregeln, die ein Aussperren verhindern).
Ich denke es wurde bereits klar, dass für Deine Zwecke höchstens 2 Regeltypen in Frage kommen: Pfadregel und Hashregel. Die anderen beiden sind eher für Installationsfreigaben im Netzwerk oder webbasierte Anwendungen gedacht. Zumindest ist das meine Ansicht, muss ja net richtig sein...
Nun zum Erstellen einer Hashegel:
Rechtsklick auf "Zusätzliche Regeln", dann Hashregel und dort die Datei angeben. Der Hash wird automatisch erzeugt. Noch ne kleine Beschreobung dazu einfallen lassen und auf ok. Nach der nächsten Aktualisierung der Gruppenrichtlinie ist das ganze aktiv.
Das Erstellen einer Pfadregel funktioniert analog.
Damit die Regeln Wirkung zeigen sind 2 Dinge zu beachten:
1) Die Dateieindung muss unter "Desiginierte Dateitypen" gelistet sein (GPO Knoten "Richtlinien für Softwareinschränkungen").
2) Das GPO muss auf Computerobjekte, nicht Benutzerobjekte(!) angewendet werden. Ansonsten klappt es nicht.
Um jetzt also beispielsweise alle Dateien Names
setup.exe zu verbieten, erstellst Du eine neue Pfadregel, und gibst als Pfad einfach den nicht erlaubten Dateinamen ein (setup.exe). Anschließend ist es auf den betroffenen Computern nicht mehr erlaut, eine Datei namens
setup.exe auszuführen. Die Schwachstelle daran ist allerdings, dass ein Benutzer diese Datei nur umzubennen braucht, um die Regel zum umgehen.
Die Alternative ist das Erstellen einer Hashregel, diese wiederum bezieht sich aber nur auf eine bestimmte
setup.exe von einem bestimmten Programm.
Um das wirklich konsequent durchzusetzen, bleibt nur der Hadcoreweg:
Verbiete grundsätzlich das Ausführen aller Dateien. Die Standardpfadregeln erlauben dann das Ausführen aller wichtigen Dateien (inkl. allem im Programmeordner). Mit Hashregeln kannst Du dann bestimmte Dateien explizit noch mal angeben. Da Benutzer im Programmeordner keine Schreibrechte haben, können sie die Pfadregel nicht so leicht zu ihrem Vorteil ausnutzen.
Grundsätzlich sieht M$ in den Softwareinschränkungen weniger eine Möglichkeit zur vollständigen Kontrolle der Nutzer, sondern mehr eine Möglichkeit zur Eindämmung von Viren und zur Kontrolle von ausführbaren Skripts.
So könnte beispielsweise von einem Virus ein Hash erzeugt werden und dann die Ausführung verboten werden. Sofern es sich nicht um einen polxymorphen Virus handelt, ist das Netzwerk dann sicher.
Ebenso könnte das Vezeichnis, in dem Outlookanhänge gepseichert werden, von einer Pfadregel geschützt werden.
Ich hoffe, das hat die wichtigsten Deiner Fragen beantwortet. Falls noch Fragen sind, meld Dich!
