Windows: So erstellt man White- und Blacklists für Anwendungen

Windows, SemperVideo, Registry, Blacklist, Whitelist Windows, SemperVideo, Registry, Blacklist, Whitelist
Was unter anderem verschiedene Jugendschutz-Anwendungen unter Windows tun, können Nutzer auch manuell einrichten: Eine Whitelist für Anwendungen. Das führt dann dazu, dass sich nur noch die freigegebenen Programmdateien starten lassen. Bei allen anderen Applikationen gibt Windows dann lediglich eine Fehlermeldung aus, die den Nutzer darüber informiert, dass er hier nicht weiterkommt.

Unsere Kollegen von SemperVideo zeigen euch hier, wie das Ganze funktioniert. Wie so oft gibt es dafür keine entsprechende Funktion in den normalen Einstellungen, sondern man muss in der Registry aktiv werden. Wer das einmal ausprobieren will, sollte allerdings vorsichtig sein und die entsprechenden Manipulationen nur in einem normalen Nutzer-Account vornehmen. Oder aber den Registry-Editor gleich mit auf die Whitelist setzen. Ansonsten läuft man Gefahr, sich komplett selbst auszusperren.

Im Registry-Editor muss man sich nun erst einmal zum Bereich

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

durchklicken. Wenn dieser nicht zu finden ist, muss unter "Policies" der "Explorer"-Schlüssel neu angelegt werden. In diesem muss dann ein weiterer Schlüssel mit der Bezeichnung

RestrictRun

angelegt werden. Im "Explorer"-Schlüssel wird außerdem ein neuer DWORD-Wert mit dem Wert 1 gleichen Namens benötigt. Im "RestrictRun"-Schlüssel kann man nun Einträge als neue Zeichenfolge anlegen. Diese erhalten als Namen eine fortlaufende Nummer. Als Wert wird der Name der jeweiligen .exe-Datei angegeben. Nach einer erneuten Anmeldung lassen sich nur noch Programme starten, die hier eingetragen sind. Das ist beispielsweise sinnvoll, wenn der Rechner als Präsentations-Terminal eingesetzt werden soll, bei dem die Nutzer nur Zugang zu einer gewünschten Applikation haben.

Auf die gleiche Art lassen sich übrigens auch Blacklists einrichten, auf der Programme verzeichnet sind, die der angemeldete User eben nicht ausführen können soll. Dafür führt man die oben genannten Schritte ebenso aus, ersetzt aber alle Eingaben, in denen "RestrictRun" angegeben ist, durch "DisallowRun". Wenn doch einmal etwas schief geht, kann das Ganze im Administrator-Account wieder rückgängig gemacht werden.
Dieses Video empfehlen
Kommentieren5
Jetzt einen Kommentar schreiben
 
Hilft bloß nicht viel. Umbenennen => läuft.
Nirgendwo steht geschrieben, daß 'notepad.exe' auch wirklich 'notepad.exe' heißen muß und im Windows-Systemverzeichnis rumfliegen muß.
Ergo, kopiere \windows\system32\notepad.exe nach %userprofile%\notepad.exe, oder auch nur nach notepadX.exe, und hey presto, der Filter greift nicht mehr.

Für die Zugriffssteuerung helfen Benutzergruppen und ACLs auf den Dateien. Ist aufwendiger einzurichten, funktioniert aber zuverlässig.
 
@RalphS: das mag für einige Programme funktionieren, aber grad für dein notepad beispiel nicht.
umbenennen im system32 klappt natürlich nicht, da du dafür ja eh admin sein musst. woanders hinkopieren geht zwar, die Kopie lässt sich dann aber nicht starten. (Vermutlich werden da noch einige DLLs im gleichen Verzeichnis benötigt).
und an einem Kiosk PC würde man sicherlich gerade Explorer und allerlei shells abklemmen, sodass ein kopieren und umbenennen weiterhin erschwert wird.
 
@scar1: Einen KioskPC tät man sicherlich am RODC betreiben, komplett mit Kiosk Mode (dafür ist der da) und Applocker, wenn es sein muß (und ein Keyboard ran muß).

Klar gibt es Wege, nicht zuletzt über die Verifikation von Checksums (geht zB via Applocker), sodaß auch wirlich nur Version X von Programm Y betroffen ist. Aber der Weg wie beschrieben taugt nix - und schon gar nicht, wenn man lokale Adminrechte hat, wie Du ja schreibst; also mit anderen Worten, so ziemlich jeder Privatuser, die ja noch ganz heiß drauf sind, den builtin Admin auch noch zu aktivieren.
 
@RalphS: naja, die Anleitung ist schon ok, wenn du als Elternteil eben den PC der Kids (oder DEN PC für die Kids) etwas zudengeln willst. Wenn du z.B. als "Normaluser" eben nur die Officeprogramme nutzen sollen, oder eben bestimmte Systemtools nicht aufrüfen dürfen.
Oder als kleine Firma, wenn du wie häufig üblich eben kein AD im Einsatz hast sondern Rechner eben doch noch per Hand gepflegt werden.
 
das lässt sich auch wunderbar über den Gruppenrichtlinien Editor einrichten, ohne in der Registry rumzupfuschen. Man kann die GPO dann sogar Nutzer oder Nutzergruppen zuweisen.
http://m.com-magazin.de/tipps-tricks/windows/windows-programme-sperren-892475.html
Kommentar abgeben Netiquette beachten!