c't-Tool schützt Windows vor Hacker-Angriffen
Firmen schützen sich gegen Malware mit Windows-Einstellungen, durch die sich nur ausdrücklich erlaubte Software starten lässt. Die Computerzeitschrift c’t liefert mit Restric’tor jetzt ein Werkzeug, das diesen Schutz auch auf privaten Rechnern aktiviert.
Der zuverlässigste Schutz vor einem Trojanerangriff besteht darin, nur noch Software auszuführen, der man explizit vertraut. Windows enthält sogar einen Mechanismus, mit dem man diesem Ideal sehr nahe kommen kann. Bislang ist er allerdings den teuren Ausgaben Pro, Ultimate und Enterprise vorbehalten. Mit dem von c't entwickelten Programm Restric'tor kommen auch die Anwender von Windows Home in den Genuss der "Richtlinien für Softwareeinschränkung".
Mit Hilfe dieser Richtlinien – auf englisch heißen sie "Software Restriction Policies" oder kurz SRP – konfiguriert man sein Windows zunächst so, dass es überhaupt keine Software mehr ausführt. Anschließend definiert man die Ausnahmen, denen man vertraut: unter anderem den Inhalt des Windows-Ordners, der ja von Microsoft selbst stammt, sowie die Anwendungen, die im Programme-Ordner installiert sind – deren Installation hat man ja zuvor durch Bestätigen der Sicherheitsbfrage der Benutzerkontensteuerung zugestimmt. Dazu kommen bei Bedarf noch weitere Programme aus anderen Verzeichnissen, die dann aber durch einen Hash davor geschützt sind, von Trojanern überschrieben oder von Viren infiziert zu werden.
Die Definition dieser Regeln gelingt mit dem Restric'tor recht komfortabel. Ein Klick auf "Anwenden" schreibt sie schließlich in die Registry. Von dort liest Windows sie bei jedem Programmstart und stellt sicher, dass sie eingehalten werden. Das gilt auch für Windows Home: Vorhandene SRP werden von jeder Windows-Edition beachtet. Restric'tor selbst läuft also nicht als Wächter im Hintergrund, sondern ergänzt nur die Möglichkeit, die SRP so zu bearbeiten, wie man das in den teuren Windows-Ausgaben mit dem "Editor für lokale Gruppenrichtlinien" oder der "Lokalen Sicherheitsrichtlinie" tun kann.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes Video (Kaltura Inc.) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Kaltura Inc.) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Nebenwirkungen
Je nach Anwendungsprofil ist die Konfiguration der SRP mit dem einmaligen Einrichten erledigt oder erfordert regelmäßige Pflege. Programmierern, Skript-Entwicklern und Anwendern, die häufig neue Software ausprobieren, rät c't, sorgfältig zu prüfen, ob ihnen der Sicherheitsgewinn den zu erwartenden Aufwand wert ist. Wer die Rechner von nicht so technikaffinen Familienangehörigen betreut, kann ihnen aber auf jeden Fall einen deutlichen Sicherheitsgewinn verschaffen.
Für diesen Anwendungsfall ist auch das zweite c't-Tool aus der aktuellen Titelstory ideal: SrpWatch verschickt automatisch eine E-Mail an eine vordefinierte Adresse, wenn die SRP einen Programmstart unterbinden. Der Familien-Admin kann dann klären, ob eine SRP-Regel fehlt oder der Anwender ohne den Schutz auf einen Trojaner hereingefallen wäre.
- c’t-Tool aktiviert Profi-Schutz (c't 10/17, Seite 76)
- Mit Restric’tor zum sicheren Windows (c't 10/17, Seite 82)
- Einschätzen, ob man einer Datei besser misstrauen sollte (c't 10/17, Seite 88)
- Direkt zum Download von Restric'tor
(hos)
