|
Ausführen "unerwünschter Programme" unter Windows XP/2003/Vista/2008/7 verhindern.Die Skripte XP_SAFER.INF
(für Windows XP/2003) und
NT6_SAFER.INF
(für Windows Vista/2008/7) konfigurieren und
aktivieren die ab Windows XP unterstützten
Softwarebeschränkungsrichtlinien
alias SAFER, um das Ausführen
"unerwünschter Programme" für
Normalbenutzer bzw.
Nicht-Administratoren zu verhindern.
Die Installation erfolgt in einem Administrator-Konto durch Rechtsklick->Installieren. Nach der ersten Installation ist ein Neustart notwendig. "Unerwünschte Programme" sind alle Programme, die weder im Windows-Verzeichnis ( %SystemRoot% alias %WinDir%, typischerweise
C:\WINDOWS\) und dessen Unterverzeichnissen noch im
Programme-Verzeichnis (%ProgramFiles%,
typischerweise C:\Programme\, sowie
%CommonProgramFiles%, typischerweise
C:\Programme\Gemeinsame Dateien\, bei 64-bittigem
Betriebssystem auch %ProgramFiles(x86)%,
typischerweise C:\Programme (x86)\,
sowie %CommonProgramFiles(x86)%, typischerweise
C:\Programme (x86)\Gemeinsame Dateien\) und dessen
Unterverzeichnissen installiert sind.
Da Normalbenutzer bzw. Nicht-Administratoren auf NTFS-Dateisystemen in diesen Verzeichnissen (mit wenigen, in den Skripten *_SAFER.INF berücksichtigten
Ausnahmen wie %SystemRoot%\Debug\UserMode\)
keinen Schreibzugriff haben bieten
Softwarebeschränkungsrichtlinien
(im Gegensatz zu Virenscannern) Normalbenutzern bzw.
Nicht-Administratoren zuverlässigen
Schutz sowohl gegen bekannte als auch unbekannte,
direkt unter Windows laufende (Schad-) Software
(Viren, Würmer und Trojaner): überall, wo
Normalbenutzer bzw. Nicht-Administratoren und
unter ihrem Benutzerkonto gestartete (Schad-) Software Dateien
schreiben könnten dürfen sie diese nicht Ausführen.
Softwarebeschränkungsrichtlinien realisieren im Dateisystem einen zur Datenausführungsverhinderung alias DEP im virtuellen Speicher äquivalenten Schutz. Softwarebeschränkungsrichtlinien wirken nicht innerhalb von Anwendungsprogrammen: ein beispielsweise in einem Office-Programm ausgeführtes Makro, ein im Internet-Browser, Mail- oder Instant Messaging-Client, PDF-Betrachter, Flash Player oder Windows Media Player ausgeführtes Skript oder ein in der Java-Laufzeitumgebung ausgeführtes Applet kann dort wie bisher beliebigen "Unfug" anrichten, bis hin zum Anlegen und (Über-) Schreiben von (Benutzer-) Dateien mit Schadsoftware. Aber: "Ausbrechen" der Schadsoftware aus den Anwendungsprogrammen ist nicht möglich, die in (Benutzer-) Dateien geschriebene Schadsoftware kann direkt unter Windows nicht ausgeführt werden! Achtung: da die SAFER-Einstellungen und -Regeln von den Skripten *_SAFER.INF direkt und nur in die
Registry eingetragen werden sind sie in der
Management-Konsole
unter
"Lokale Sicherheitsrichtlinien"
nicht sichtbar (aber dennoch wirksam)!
Die Management-Konsole verwaltet "Lokale Sicherheitsrichtlinien" in einer der Dateien %SystemRoot%\System32\GroupPolicy\Machine\REGISTRY.POL
oder %SystemRoot%\System32\GroupPolicy\User\REGISTRY.POL,
aus denen sie regelmäßig in die Registry
übernommen werden und dort direkt vorgenommene Einstellungen ggf.
überschreiben.
Beim ersten Aufruf der "Softwarebeschränkungsrichtlinien" in der Management-Konsole werden vordefinierte Standard-Einstellungen und -Regeln in die Datei %SystemRoot%\System32\GroupPolicy\Machine\REGISTRY.POL
geschrieben, die die von den Skripten *_SAFER.INF in die
Registry eingetragenen SAFER-Einstellungen
und -Regeln teilweise überschreiben.
Das Anlegen der Standard-Einstellungen und -Regeln unterbleibt, wenn die "leere" REGISTRY.POL
vor dem ersten Aufruf unter
%SystemRoot%\System32\GroupPolicy\Machine\REGISTRY.POL
existiert.
|
|
Zeichensatz ISO 8859-15 alias Lateinisch 9 (ISO) (für den €) unter Windows 9x/ME/NT4/2000 verwenden. |
|
Outlook Express RFC-konform und Usenet-tauglich vorkonfigurieren. |
|
Dateiendungen und MIME-Definitionen ergänzen. |
|
Kontextmenü aller Dateien unter Windows 9x/NT4 um Schnellansicht erweitern. |
|
Kontextmenü aller Dateien und Ordner um In Ordner kopieren… und In Ordner verschieben… erweitern. |
|
Kontextmenü Neu um Eintrag zum Erzeugen des EICAR-Testvirus erweitern. |
|
Registry von Windows 95/NT4 reorganisieren. |
|
"Vergessene" Verknüpfungen im Startmenü von Windows 95/98, Windows NT4 und Windows 2000 anlegen. |
|
"Vergessene" Verknüpfungen im Startmenü von Windows 9x/ME anlegen. |
|
Windows NT4 Server-Programme unter Windows NT4 Workstation installieren. |
|
Eigenschaften des installierten Windows Script Host anzeigen. |
|
Verzeichnisse unter Windows 9x/ME/NT4/2000/XP/2003/Vista/2008/7 in den Namensraum des Windows Explorer einbinden. |
|
Aufbereitete Dateien unter Windows 9x/ME/NT4/2000/XP/2003/Vista/2008/7 drucken. |
|
Kontextmenü Senden an unter Windows 9x/ME/NT4/2000 um alle Drucker erweitern. |
|
Vollständige Pfadnamen im Suchpfad stehender Dateien unter Windows NT4/2000/XP/2003/Vista/2008/7 ausgeben. |
|
Bootlader zum Starten beliebiger Betriebssysteme von Diskette A: aus dem Boot-Manager von Windows NT/2000/XP/2003. |
|
Windows 2000 "härten". |
|
Einfacher IP-Paketfilter für Windows 2000/XP/2003. |
|
Inhalt des lokalen Laufwerks C: anzeigen. |