Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 4.286 Verwendung der Softwareeinschränkungsrichtlinie unter Windows Server 2003 - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 4.286 Verwendung der Softwareeinschränkungsrichtlinie unter Windows Server 2003

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

Bedingt unter anderem durch die intensive Nutzung des Internets (WWW, E-Mail usw.) werden Benutzer häufig mit unbekannter Software konfrontiert. Dabei müssen die Benutzer entscheiden, ob sie diese Software einsetzen möchten. Schadprogramme z. B. tarnen sich häufig als so genannte Trojanische Pferde, um Benutzer dazu zu verführen, diese zu installieren und auszuführen. Für den einzelnen Benutzer ist es oft schwierig zu entscheiden, welche Software er ausführen kann und soll. Durch Softwareeinschränkungsrichtlinien kann die IT-Umgebung vor nicht erwünschter oder nicht vertrauenswürdiger Software geschützt werden.

Nach einer Standardinstallation von Windows Server 2003 sollte zumindest eine lokale Softwareeinschränkungsrichtlinie erzeugt werden:

Einstellungen unter Vertrauenswürdige Herausgeber:

Designierte Dateitypen sind die Dateitypen, auf die die Softwareeinschränkungsrichtlinien Wirkung haben. Deshalb sollte die Liste designierte Dateitypen regelmäßig aktualisiert werden. Als Referenz kann zum Beispiel die Virenschutz-Richtlinie des IT-Verbunds dienen, in welcher kritische Dateierweiterungen definiert sind.

Die anderen Einstellungen sollten im Normalfall auf den Standardwerten belassen werden. Insbesondere die vordefinierten Regeln sollten nicht verändert werden, da das System sonst in einen unbenutzbaren Zustand versetzt werden kann. Die Richtlinien sollten immer für alle Benutzer gelten, die Administratoren eingeschlossen.

Arten zusätzlicher Regeln

   
Regeltyp  Erklärung  Zuverlässigkeit der Sicherheitsmaßnahme 

Hashregel

 

Bei Zugriff auf eine Datei wird ihr Hashwert berechnet und mit einem zuvor hinterlegten Hashwert verglichen.
Die Regel greift bei identischen Hashwerten. Wird der Dateiinhalt allerdings zwischendurch manipuliert, ändert sich auch der Hashwert, und die Regel greift nicht mehr!

 

mittel

 

Zertifikatsregel

 

Die Zertifikatsregel identifiziert Software anhand eines Authenticode-Zertifikats des Softwareherausgebers und lässt die Ausführung in Abhängigkeit der Sicherheitsstufe auch in geschützten Bereichen des Servers zu.

 

mittel

 

Pfadregel

 

Die Pfadregel identifiziert Software über einen angegebenen Dateipfad. Durch Verschieben des Programms verliert die Regel ihre Gültigkeit.

 

gering

 

Internetzonenregel

 

Zonenregeln gelten nur für .msi-Dateien (Windows Installer-Pakete)

 

gering

 

Einsatz der Softwareeinschränkungsrichtlinie

Die Richtlinie zur Softwareeinschränkung erfordert eine ausführliche Planung sowie hinreichende Tests in einer Testumgebung, vor allem, wenn die Sicherheitsebene Nicht erlaubt als Standard gesetzt wird. Bei der Umsetzung sollte bevorzugt mit Hash- und Zertifikatsregeln gearbeitet werden, da die Pfad- und Internetzonenregeln nur einen geringen Schutz vor Ausführung von Programmen und Programmbibliotheken geben. Außerdem sollte die Microsoft Knowledge Base hinzugezogen werden, um dort dokumentierte unerwartete und unerwünschte Effekte bei der Anwendung von Hashregeln ausschließen zu können.

In der Softwareeinschränkungsrichtlinie können die DLL-Bibliotheken von vorn herein mit blockiert werden. In diesem Fall müssen eine hohe Zahl von Regeln für ausdrücklich zugelassene Bibliotheken definiert werden. Zugriffe auf DLL-Bibliotheken treten während der Programmausführung häufig auf, und jedes Mal muss die komplette Liste abgearbeitet werden. Performance-Auswirkungen sollten daher ebenfalls berücksichtigt werden.

Die Anwendung der Richtlinie sollte vornehmlich auf exponierten Servern mit hohen Sicherheitsanforderungen wie so genannten Bastion Hosts (öffentlich erreichbare Computer des Unternehmensnetzes) durchgeführt werden, um die Angriffsmöglichkeiten durch Schadprogramme zu minimieren. Die aktivierte Richtlinie mit entsprechend eingerichteten Regeln kann Virenschutzprogramme nicht ersetzen. Zur Abwehr von Sicherheitsvorfällen, z. B. im Zusammenhang mit Schadprogrammen, kann die Richtlinie zur Softwareeinschränkung als vorsorgliche Schutzmaßnahme oder Notfallmaßnahme angewendet werden.

Wenn eine Softwareeinschränkungsrichtlinie mittels Gruppenrichtlinien des Active Directory verteilt wird, sollte hierfür ein separates Gruppenrichtlinien-Objekt erstellt werden. Die Regeln in den Standardgruppenrichtlinien sollten nicht verändert werden. Wenn sich unerwartete und unerwünschte Effekte im laufenden Betrieb herausstellen, kann das separate Gruppenrichtlinien-Objekt problemlos deaktiviert werden, und es greifen die Standardregeln.

Dokumentation

Alle Regeln außer den vordefinierten sollten dokumentiert werden. Der jeweilige Zweck sollte ebenfalls dokumentiert werden.

Ergänzende Kontrollfragen: