Im vorherigen Artikel wurde das Software-Whitelisting als bessere Alternative zu Antivirenprogrammen vorgestellt. Nun geht es an die Konfiguration der im Artikel erwähnten QuickWinSec.bat, mit der man ein Windows-System so konfigurieren kann, dass Programme nur noch aus zugelassenen Verzeichnissen gestartet werden können. Diese Methode verhindert das Ausführen von potentieller Malware aus irgendwelchen Verzeichnissen heraus.
Informationen über die QuickWinSec.bat
Die QuickWinSec.bat ist eine Batchdatei, die von der Universität Rostock bereitgestellt wird und die ein Windows-System in wenigen Schritten gegen Malware immunisieren kann. Dazu schreibt die Batchdatei viele Einträge in die Registrierung von Windows und konfiguriert hauptsächlich Gruppenrichtlinien, so dass Software nur noch aus den vorher in der Batchdatei angegebenen, schreibgeschützten Verzeichnissen gestartet werden kann. Die folgenden Verzeichnisse sind schreibgeschützte Verzeichnisse, in die man nur mit Administratorrechten etwas hineinschreiben kann.
| Verzeichnispfad | Anmerkung |
|---|---|
C:\Windows |
Standardmäßig |
C:\Program Files |
Standardmäßig |
C:\Program Files (x86) |
Standardmäßig bei 64-Bit Windows |
Wenn man möchte, kann man in der Batchdatei noch weitere Verzeichnisse hinzufügen. Das ist zum Beispiel ganz nützlich, wenn man alle seine Spiele in C:\Games untergebracht hat und man diese deshalb nicht noch einmal neu installieren will. Man sollte aber sicherstellen, dass in diese zusätzlichen Verzeichnisse nur mit Administratorrechten etwas hineinkopiert werden kann.
Des Weiteren werden von der QuickWinSec.bat noch ein paar Einstellungen an der Firewall durchgeführt, so dass dass alle angebotenen Dienste von außen nicht mehr erreichbar sind.
Optional: Benutzerdefinierte Verzeichnisse hinzufügen
Gehen wir mal davon aus, dass noch ein paar Spiele im Verzeichnis C:\Games liegen. Dann öffnen wir zum ersten Mal die QuickWinSec.bat und gehen in Zeile 15, in der die Variable SRPDirs definiert wird. Dort kann man nun durch ein Kommata getrennt noch weitere Verzeichnisse angeben.
Wenn das Windows ein 64-Bit-System ist, dann muss man die gleichen Verzeichnisse nochmal in Zeile 16 hinten dranhängen. Für den Games-Ordner würden die betreffenden Zeilen dann so aussehen:
set SRPDirs="%PROGRAMFILES%","%WINDIR%","%HOMEDRIVE%\Games"
if defined PROGRAMFILES(x86) set SRPDirs="%PROGRAMFILES%","%PROGRAMFILES(x86)%","%WINDIR%","%HOMEDRIVE%\Games"Optional: Skripte aus nicht zugelassenen Verzeichnissen sperren
Später werden wir gefragt, ob auch Skripte nur aus den zugelassenen Verzeichnissen ausführbar sein sollen. Wer das möchte und die Dateierweiterungen noch einmal selbst bestimmen möchte, der geht einfach noch eine Zeile runter in Zeile 17 und kann dort auch die Dateierweiterungen für Skriptdateien separat einstellen.
set SCRIPTEXT=.bat .cmd .js .ps1 .ps1xml .vbs .msi .msp .wsfOptional: Microsoft Security Essentials installieren
Bei der Konfiguration durch die QuickWinSec.bat wird man außerdem noch gefragt, ob Microsofts Antivirensoftware installiert werden soll. Als Ergänzung zu einem von der QuickWinSec.bat abgeschotteten Windows-System dürfte das vielleicht ganz sinnvoll sein.
QuickWinSec.bat über die Konsole aufrufen
Um mit der Installation zu beginnen, starten wir eine Konsole als Administrator in dem Verzeichnis, in dem auch die Batchdatei liegt. Diese rufen wir dann mit dem Parameter I für "Install" auf. Wenn man später die Einstellungen wieder rückgängig machen will, dann nimmt man einfach den Parameter U für "Uninstall".
Um die Installationsroutine zu starten, führen wir also nun quickwinsec.bat I aus:
Nachdem man die Dritte Abfrage mit Y bestätigt hat, beginnt die Konfiguration von Windows. Das dauert einige Sekunden und ist dann erledigt. Damit die Änderungen am System vollständig greifen, muss die Windows-Registry neu eingelesen werden. Das erreicht man durch einfaches Ab- und wieder Anmelden.
Also kurz noch shutdown -l ausführen und wieder anmelden. Danach kann Software nur noch aus den vorher definierten Verzeichnissen gestartet werden. 😃
Fertig
Nun können Programme und bestimmte Skripte nur noch aus den vorher festgelegten Verzeichnissen gestartet werden. Alles andere wird gnadenlos blockiert. Allerdings greift die Gruppenrichtlinie nicht, wenn das Programm oder die Datei als Administrator ausgeführt wird. Man sollte also genau wissen, was man installiert oder ausführt.
Wer sein Hirn nicht im Schrank verlegt hat, der wird mit dieser Methode bestimmt besser geschützt sein, als von einem Antivirenprogramm, das neue Malware meistens erst später in seine Datenbank aufnimmt.
