Bundesamt für Sicherheit in der Informationstechnik

M 4.286 Verwendung der Softwareeinschränkungsrichtlinie unter Windows Server 2003

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Bedingt unter anderem durch die intensive Nutzung des Internets (WWW, E-Mail usw.) werden Benutzer häufig mit unbekannter Software konfrontiert. Dabei müssen die Benutzer entscheiden, ob sie diese Software einsetzen möchten. Schadprogramme z. B. tarnen sich häufig als so genannte Trojanische Pferde, um Benutzer dazu zu verführen, diese zu installieren und auszuführen. Für den einzelnen Benutzer ist es oft schwierig zu entscheiden, welche Software er ausführen kann und soll. Durch Softwareeinschränkungsrichtlinien kann die IT-Umgebung vor nicht erwünschter oder nicht vertrauenswürdiger Software geschützt werden.

Nach einer Standardinstallation von Windows Server 2003 sollte zumindest eine lokale Softwareeinschränkungsrichtlinie erzeugt werden:

Start | Systemsteuerung | Verwaltung | Lokale Sicherheitsrichtlinie | im Kontextmenü von Richtlinien für Softwareeinschränkung die Option Neue Richtlinien für Softwareeinschränkungen erstellen auswählen

Einstellungen unter Vertrauenswürdige Herausgeber:

  • Administratoren des lokalen Computers aktivieren
  • Herausgeber und Zeitstempel aktivieren

Designierte Dateitypen sind die Dateitypen, auf die die Softwareeinschränkungsrichtlinien Wirkung haben. Deshalb sollte die Liste designierte Dateitypen regelmäßig aktualisiert werden. Als Referenz kann zum Beispiel die Virenschutz-Richtlinie des IT-Verbunds dienen, in welcher kritische Dateierweiterungen definiert sind.

Die anderen Einstellungen sollten im Normalfall auf den Standardwerten belassen werden. Insbesondere die vordefinierten Regeln sollten nicht verändert werden, da das System sonst in einen unbenutzbaren Zustand versetzt werden kann. Die Richtlinien sollten immer für alle Benutzer gelten, die Administratoren eingeschlossen.

Arten zusätzlicher Regeln

Regeltyp Erklärung
Zuverlässigkeit der Sicherheitsmaßnahme
Hashregel Bei Zugriff auf eine Datei wird ihr Hashwert berechnet und mit einem zuvor hinterlegten Hashwert verglichen.
Die Regel greift bei identischen Hashwerten. Wird der Dateiinhalt allerdings zwischendurch manipuliert, ändert sich auch der Hashwert, und die Regel greift nicht mehr!
mittel
Zertifikatsregel Die Zertifikatsregel identifiziert Software anhand eines Authenticode-Zertifikats des Softwareherausgebers und lässt die Ausführung in Abhängigkeit der Sicherheitsstufe auch in geschützten Bereichen des Servers zu. mittel
Pfadregel Die Pfadregel identifiziert Software über einen angegebenen Dateipfad. Durch Verschieben des Programms verliert die Regel ihre Gültigkeit. gering
Internetzonenregel Zonenregeln gelten nur für .msi-Dateien (Windows Installer-Pakete) gering

Einsatz der Softwareeinschränkungsrichtlinie

Die Richtlinie zur Softwareeinschränkung erfordert eine ausführliche Planung sowie hinreichende Tests in einer Testumgebung, vor allem, wenn die Sicherheitsebene Nicht erlaubt als Standard gesetzt wird. Bei der Umsetzung sollte bevorzugt mit Hash- und Zertifikatsregeln gearbeitet werden, da die Pfad- und Internetzonenregeln nur einen geringen Schutz vor Ausführung von Programmen und Programmbibliotheken geben. Außerdem sollte die Microsoft Knowledge Base hinzugezogen werden, um dort dokumentierte unerwartete und unerwünschte Effekte bei der Anwendung von Hashregeln ausschließen zu können.

In der Softwareeinschränkungsrichtlinie können die DLL -Bibliotheken von vorn herein mit blockiert werden. In diesem Fall müssen eine hohe Zahl von Regeln für ausdrücklich zugelassene Bibliotheken definiert werden. Zugriffe auf DLL-Bibliotheken treten während der Programmausführung häufig auf, und jedes Mal muss die komplette Liste abgearbeitet werden. Performance-Auswirkungen sollten daher ebenfalls berücksichtigt werden.

Die Anwendung der Richtlinie sollte vornehmlich auf exponierten Servern mit hohen Sicherheitsanforderungen wie so genannten Bastion Hosts (öffentlich erreichbare Computer des Unternehmensnetzes) durchgeführt werden, um die Angriffsmöglichkeiten durch Schadprogramme zu minimieren. Die aktivierte Richtlinie mit entsprechend eingerichteten Regeln kann Virenschutzprogramme nicht ersetzen. Zur Abwehr von Sicherheitsvorfällen, z. B. im Zusammenhang mit Schadprogrammen, kann die Richtlinie zur Softwareeinschränkung als vorsorgliche Schutzmaßnahme oder Notfallmaßnahme angewendet werden.

Wenn eine Softwareeinschränkungsrichtlinie mittels Gruppenrichtlinien des Active Directory verteilt wird, sollte hierfür ein separates Gruppenrichtlinien-Objekt erstellt werden. Die Regeln in den Standardgruppenrichtlinien sollten nicht verändert werden. Wenn sich unerwartete und unerwünschte Effekte im laufenden Betrieb herausstellen, kann das separate Gruppenrichtlinien-Objekt problemlos deaktiviert werden, und es greifen die Standardregeln.

Dokumentation

Alle Regeln außer den vordefinierten sollten dokumentiert werden. Der jeweilige Zweck sollte ebenfalls dokumentiert werden.

Prüffragen:

  • Wird nach der Installation von Windows Server 2003 Systemen eine lokale Softwareeinschränkungsrichtlinie erzeugt, die unter Anderem eine aktuelle Liste designierter Dateitypen enthält?

  • Werden die Richtlinien zur Softwareeinschränkung unter Windows Server 2003 im Vorfeld innerhalb einer Testumgebung überprüft?

  • Wird in der Softwareeinschränkungsrichtlinie unter Windows Server 2003 bevorzugt mit Hash- und Zertifikatsregeln gearbeitet?

Stand: 13. EL Stand 2013