[DE] Software Restriction Policies (SRP) in der Praxis - #2 Windows sicherer machen

Heute möchte ich etwas in die Praxis gehen und zeigen, wie man Windows 10 "härten" kann und was man dabei beachten muss.

Beim "härten" geht es darum das Betriebssystem so gut wie möglich abzusichern um es Malware richtig schwer zu machen. Ich verwende dazu das kostenlose Tool "Hard Configurator" (HC) in der Version 3.1.0.0. Den Download verlinke ich unten (1). Der HC selber bringt eigentlich gar keine eigene Funktionalität mit. Er nutzt einfach die in Windows verbauten Technologien. In den meisten Fällen setzt er einfach die notwendigen Einträge in der Registry und erspart einem dadurch die Arbeit dies manuell zu tun.
Hard Configurator

Die Liste der möglichen Einstellungen ist lang. Ich werde hier nicht auf alles eingehen. Stattdessen möchte ich aufzeigen, wie man mit wenige Klicks Windows absichern kann, wie sich das auf die tägliche Arbeit auswirkt und wie man häufige Probleme lösen kann. Für das Verständnis ist es sicher hilfreich meine vorherigen Posts gelesen zu haben.

1. Windows absichern

Nach der Installation existiert ein neuer Ordner "Hard_Configurator" in eurem "Windows" Verzeichnis. Hier liegen die Programmdateien. Da der HC sensible Systemeinstellungen ändert benötigt er administrative Rechte. Nach dem ersten Start wird zunächst ein Wiederherstellungspunkt gesetzt. Außerdem wird das System nach Programmen gescannt, die beim hochfahren automatisch gestartet werden. Dies ist eine wichtige Vorbereitung für den nächsten Schritt.

Aktivieren der Software Restriction Policies (SRP)

Mit einem Klick auf den Button "Recommended SRP" (oben links) werden unter anderem folgende Schutzmechanismen aktiviert:

  • Das starten von Programmen ausserhalb der Verzeichnisse "Programme", "Programme (x86)", "windows" und "Windows Defender" wird verboten.
  • Ordner unterhalb von "windows" in denen ein standard Benutzer Schreibrechte hat werden von der Erlaubnis ausgenommen.
  • Verknüpfungen können nur an bestimmten Orten (u.a. auf dem Desktop) ausgeführt werden.

Man kann das ganze jetzt schon testen. Versucht mal eine EXE Datei zu starten, die z. B. auf dem "Desktop" oder im Verzeichnis "Downloads" liegt. Wahrscheinlich sieht das ganze jetzt so aus:

app gesperrt.png

Aktivieren weiterer Restriktionen

Völlig unabhängig von den SRP kann der HC auch weitere, ergänzende Sicherungsmaßnahmen aktivieren.
Mit einem Klick auf den Button "Recommended Restrictions" (oben rechts) werden unter anderem folgende Schutzmechanismen aktiviert:

  • Powershell Scripte werden geblockt
  • Der Windows Scriting Host wird abgeschaltet. Dies verhindert die Ausführung einer ganzen reihe weiterer Scripte.
  • Der Kontextmenü Punkt "Als Administrator ausführen" wird ersetzt durch "Run as SmartScreen". Dazu gleich noch etwas mehr.
  • Der remote Dienst, der den Fernzugriff auf bestimmte Dienste ermöglicht wird abgeschaltet.
  • 16 Bit Software wird nicht mehr ausgeführt
  • ...sowie einige weitere Schutzmaßnahmen.

Damit diese Restriktionen aktiv werden muss der rote "APPLY CHANGES" Knopf in der Mitte unten gedrückt werden. Danach muss man sich entweder neu anmelden ("LOG OFF") oder den explorer neu starten ("Refresh Explorer"). Letzteres funktioniert in der Regel sehr gut. Wenn es zu Problemen kommt, siehe Punkt 2.3.
hc6.PNG

2. Programme installieren und Probleme lösen

2.1 Wie kann ich neue Software installieren?

Wie bereits am Ende von Schritt 1 festgestellt lassen sich heruntergeladenen Programme mit aktivierten SRP zunächst einmal nicht mehr installieren. Möchte man eine neuen Software installieren gibt es folgende Möglichkeiten:

  • Mit der rechten Maustaste auf die Datei klicken und als Administrator ausführen. Läuft ein Programm als Administrator oder mit Systemrechten so ist es von den SRP ausgenommen. WICHTIG: Falls ihr die zusätzlichen Restriktionen aus Punkt 1.2 aktiviert habt, wird "Als Administrator ausführen" nicht mehr angezeigt. Dafür verwendet ihr dann "Run as SmartScreen". Das Ergebnis ist das Selbe, nur das die Datei vorher noch einmal durch den SmartScreen Filter von Windows 10 geprüft wird.

  • Die SRP vorübergehend deaktivieren. Dazu öffnet man den HC und klickt auf den linken grünen Button (Switch OFF/ON SRP). Nach der Installation kann man mit dem selben Button die SRP wieder aktivieren.

2.2 Es erscheint eine Sperrmeldung, was nun?

Manchmal erscheint die Meldung, dass ein Programm geblockt wurde, ohne das man etwas aktiv gestartet hat. Das muss nicht immer ein Hinweis auf einen Virus sein. Manche Programme versuchen z.B. im Hintergrund Updates einzuspielen oder legen bestimmte Funktionen ausserhalb der Programm Verzeichnisse ab. Will man herausfinden was die Nachricht ausgelöst hat, geht man wie folgt vor:

  • HC starten
  • Auf den Button "Tools" klicken
  • Auf "Run SRP/Scripts Eventlog View" klicken

Nun erhält man eine Übersicht mit Datum, Uhrzeit und der entsprechenden Datei deren Ausführung blockiert wurde. Entweder started man diese Datei später manuell mit administrativen Rechten, oder man legt eine Ausnahme für diese Datei fest. Falls man auf das Programm keinen Wert legt kann man es auch entfernen. So versucht OneDrive von Microsoft regelmäßig eine Datei im User Ordner zu starten. Da ich OneDrive nicht benötige, hab ich es deinstalliert. Falls es Hinweise auf eine dubiose Datei gibt, könnte man sie unter https://www.virustotal.com überprüfen oder danach googlen bevor man weitere Maßnahmen ergreift.

2.3 Nach dem klicken auf "Refresh Explorer" ist der Desktop leer...

Wenn das passiert, kann man sich behelfen, indem man mit Strg + Alt + Entf den "Taskmanager" aufruft. Dort dann über "Datei" -> "Neuen Task ausführen" auswählen und dann "explorer.exe" eingeben.

3. Ausblick

Der HC macht es wirklich einfach beliebte Angriffsvektoren von Malware so zu blockieren, dass viele Angriffe ins Leere laufen. Der HC hat noch weitere Optionen mit denen man z.B. den Zugriff auf die Kommandozeile (cdm.exe) oder die Powershell weiter einschränken kann. Wer mag liest sich einfach etwas in die umfangreiche Dokumentation ein. Für Fragen stehe ich natürlich auch zur Verfügung - auch wenn ich nicht der Programmierer des Tools bin.

Der HC wird noch weiter entwickelt. In Zukunft werde ich wieder darüber berichten...


(1) https://github.com/AndyFul/Hard_Configurator

Sort:  

Folgt mir auf Stemmt:

-> https://steemit.com/@it-deen

Letzte Breiträge

„Wie sich KI Entwicklung in den nächsten 5 Jahren Entwickeln könnte, was Experten sagen.“
-> https://steemit.com/deutsch/@it-deen/wie-sich-ki-entwicklung-in-den-naechsten-5-jahren-entwickeln-koennte-was-experten-sagen
„Tausende Infizierte !!! - Neue Monero-Mining-Malware zielt auf Android-Geräte ab!“
-> https://steemit.com/deutsch/@it-deen/tausende-infizierte-neue-monero-mining-malware-zielt-auf-android-geraete-ab
„Britische Regierungs Webseiten nutzen Mining Malware“
-> https://steemit.com/deutsch/@it-deen/britische-regierungs-webseiten-nutzen-mining-malware
„Saudische Zentralbank testet Ripple Zahlungs-Technology“
-> https://steemit.com/deutsch/@it-deen/saudische-zentralbank-testet-ripple-zahlungs-technology