Software Restriction Policies (auch SAFER) weiterhin unter Windows 11 22H2 möglich …

Windows[English]Falls jemand aus der Leserschaft Software Restriction Policies oder SAFER zur Einschränkung der ausführbaren Programme verwendet (um z.B. Ransomware zuverlässig zu verhindern), eine kurze Information. Software Restriction Policies und SAFER funktionieren unter Windows 11 22H2 out-of-the-box nicht mehr. Ursache sind Registry-Einträge, die Windows 11 glauben lassen, dass AppLocker aktiv wäre. Das lässt sich aber mit einem kleinen Eingriff in die Registrierung korrigieren. Hier mal ein kleiner Überblick über das Thema samt den Hack, um SAFER weiter nutzen zu können.


Anzeige

Software Restriction Policies (SRP)

Unter Windows gibt es die sogenannten Software Restriction Policies (SRP), mit denen sich sich festlegen lässt, welche Programme unter Windows ausgeführt (Whitelisting) bzw. nicht ausgeführt (Blacklisting) werden dürfen. Administratoren können in Windows über Richtlinien festlegen, welches Software im Betriebssystem ausgeführt werden darf. Die Software Restriction Policies sind bereits seit Windows Server 2003 verfügbar und stehen aktuell (laut dieser Microsoft Seite) noch unter folgenden Server-Varianten zur Verfügung:

  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022

Zudem werden Software Restriction Policies in Windows-Clients (Windows 7, Windows 8.1, Windows 10, Windows 11 21H1) unterstützt. Allerdings ist es so, dass Microsoft die Software Restriction Policies (SRP) bereits im Juni 2020 abgekündigt hat (siehe meinen Blog-Beitrag Windows 10 Version 2004: Veraltete/entfernte Features). Im Blog-Beitrag Windows 11 22H2 unterstützt keine Software Restriction Policies (SRP) mehr hatte ich darauf hingewiesen, dass die Software Restriction Policies (SRP) nicht mehr unterstützt würden.

SAFER, SRP für den kleinen Mann

Gruppenrichtlinien stehen nur für die Pro- und Enterprise-Versionen von Windows bereit – und seit Microsoft in Windows 10 Pro die Möglichkeiten der Gruppenrichtlinien kastriert hat, ist man im Grunde auf Windows Enterprise-Editionen angewiesen. Man kann diese Software-Restriktionen aber auch durch Registry-Einträge setzen.

Von Stefan Kanthak wurde daher SAFER propagiert, um Anwendern unter Windows (z.B. auch Home) die Systeme gegen Ransomware und andere Schadprogramme zu härten. Über eine .inf-Datei werden schlicht die erforderlichen Software-Einschränkungen in der Registrierung gesetzt. Stefan Kanthak stellt die erforderlichen Informationen samt Installations-INF auf seiner Webseite Stop Malware with Software Restriction Policies alias SAFER bereit. Christoph Schneegans propagierte SAVER mit einer deutschen Beschreibung auf dieser Webseite zur Absicherung gegen Schadprogramme (auch Ransomware). Auf der Webseite von Christop Schneegans heißt es aber inzwischen:


Anzeige

Ab Windows 11 22H2 funktioniert SAFER nicht mehr. Als Alternative bietet sich Windows Defender Application Control (WDAC) an, das in allen Versionen von Windows 10 und 11 funktioniert.

Windows mit SAFER absichern

Sieht ja – zusammen mit meinen Ausführungen im Artikel Windows 11 22H2 unterstützt keine Software Restriction Policies (SRP) mehr – wie ein Abschied aus?

Windows 11: SAFER funktioniert noch

Stefan Kanthak hat mich nun per Mail kontaktiert, um mich darauf hinzuweisen, dass die Software Restriction Policies und auch SAFER unter Windows 11 22H2 weiterhin eingesetzt werden können. Er schrieb dazu:

Ursache des von Will Dormann beobachteten Verhaltens ist die übliche Schlamperei in Redmond: Die liefern Windows 11 mit Registry-Einträgen aus, "dank" derer es glaubt, AppLocker wäre aktiv – was (wie dokumentiert) SAFER übersteuert bzw. deaktiviert.

Das angesprochene, von Will Dormann beobachteten Verhalten hatte ich im Beitrag Windows 11 22H2 unterstützt keine Software Restriction Policies (SRP) mehr über nachfolgenden Tweet dokumentiert.

 Software Restriction Policies (SRP) removed in Windows 11 22H2

Bereits dort hatte Kanthak diesen Kommentar hinterlassen, in dem er auf die ursächlichen Registrierungseinträge verweist, die den Schlamassel auslösen. Stefan Kanthak führt in seiner Mail einen einfachen Workaround an, den er im Februar 2023 bereits auf seclists.org dokumentiert hat (siehe auch), um dieses Verhalten wieder in geordnete Bahnen zu lenken, und SAFER respektive die Software Restriction Policies wieder unter Windows 11 22H2 verwenden zu können:

Nach Löschen der Registry-Einträge:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Srp\Gp]
"RuleCount"=dword:00000002
"LastWriteTime"=hex(b):01,00,00,00,00,00,00,00

funktioniert SAFER wieder wie gewohnt. Kanthak merkt an, dass der Zeitstempel 100ns nach dem 1.1.1601 ist, also grottenfalsch sei, und dass die Regelzahl 2 (bei RuleCount) auch nicht stimmt!

Kanthak hat daher seine Datei NTX_SAFER.INF so angepasst, dass diese Korrekturen automatisch durchgeführt werden. Vielleicht für dein einen oder anderen Blog-Leser, der auch mit den Software Restriction Policies unter Windows 11 22H2 scheiterte, von Interesse.

Ergänzung: Es gibt eine Rückmeldung von Andy Ful im englischen Blog mit folgendem Text.

The Kanthak correction to restore SRP functionality on Windows 11 ver. 22H2, works only when Smart App Control is OFF. If it is in Evaluate or ON mode, then the invalid registry values are automatically restored after restarting Windows.
To restore SRP on all SAC modes, one should not delete registry values but simply set the "RuleCount" value to 0:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Srp\Gp]
"RuleCount"=dword:00000000

Windows restart is required.

Regards:
@Andy Ful (developer of Hard_Configurator)

Ähnliche Artikel:
Windows 10 Version 2004: Veraltete/entfernte Features
Windows 11 22H2 unterstützt keine Software Restriction Policies (SRP) mehr


Anzeige

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

23 Antworten zu Software Restriction Policies (auch SAFER) weiterhin unter Windows 11 22H2 möglich …

  1. Stefan Kanthak sagt:

    Ganz alleine habe ich das nicht gemacht: Christoph Schneegans hat geholfen und die (diesmal vor Ostern) geplante "Wiederauferstehung" von SRPv1 alias SAFER bestätigt.

    SAFER habe auch nicht ich erfunden: das ist der von M$FT seit Windows 2000 für den Unterbau der SRP benutzte Bezeichner.

  2. Bernhard Diener sagt:

    Es gab schon diverse Threads dazu und dennoch der Hinweis: warum noch SRP, wenn doch seit 22H2 Applocker auch auf Pro funktioniert? Kann es wohl ein Zufall sein, dass Applocker angefangen hat zu funktionieren, wo SRP aufgehört hat? Applocker ist zwar weiterhin offiziell laut Microsoft nicht funktional auf Pro, praktisch funktioniert es aber.

    Oder würdest Du, Stefan, SAFER vorziehen?

    • Stefan Kanthak sagt:

      SELBSTVERSTÄNDLICH ziehe ich SAFER vor!
      Wie ich bereits im November schrob betrachte ich AppLocker als viel zu klompizierte(!) und von zu vielen anderen Komponenten abhängige Kopf^WMissgeburt, deren Konfiguration ebenfalls VIEL zu klompiziert(!).ist.
      Wenn Dir SAFER nicht mehr gefällt: WDAC existiert, ist einfacher als AppLocker zu konfigurieren und (hoffentlich) zukunftssicher..

      • Bernhard Diener sagt:

        Gut, das hast Du deutlich ausgedrückt, aber was nun kompliziert etc. ist, sagst Du nicht, auch nicht wovon es abhängt und was an der Konfiguration nun verglichen mit Safer komplizierter ist. Ich finde in deinem langen https://skanthak.homepage.t-online.de/SAFER.html auch keinen Vergleich, der dieses Fazit begründet.

        Hast Du noch den Link zu deinem Novemberschrob?
        https://www.borncity.com/blog/2022/11/08/windows-11-22h2-untersttzt-keine-software-restriction-policies-srp-mehr/#comment-143181 ist ein Blogeintrag von November, aber auch dort keine Details zu Nachteilen von Applocker.

        Ich bevorzuge generell auch simple Mechanismen, gerade bei Sicherheitskomponenten, deshalb interessiert mich ein begründetes Urteil weiterhin.

      • 1ST1 sagt:

        Wenn man SRP/SAFER erstmal verstanden hat, ist der Sprung zu Applocker nicht mehr weit. Man kann das Basis-Regelset, welches man für SRP entwickelt hat, quais 1:1 als Grundlage für Applocker übernehmen. Aber Applocker ist viel granularer steuerbar, weil man Regeln auch User/Gruppenmitgliedschaftsabhängig machen kann (xy darf z.exe ausführen, andere nicht). Man kann auch Ausnahmen definieren wie "c:\windows\system32\xyz.exe" darf ausführen, aber nur wenn sie nicht jenen Hashwert hat. Es unterscheidet auch zwischen normalen ausführbaren Dateien, Installern, Scripten und den "Modern Apps". Und neben Pfadregeln kann man auch mit Hashes und Signaturen arbeiten. Das ist VIEL besser. Aber man bekommt das mit Hacken in der Registry nicht mehr gebacken, man muss hier das Gruppenrichtlinien-Handwerk beherrschen.

  3. eggi36 sagt:

    Passend dazu ist anscheinend seit mehreren Monaten der Applocker Editions-Check aufgehoben. Damit steht dann einer Nutzung von Applocker unter Windows Pro nichts mehr im Wege.

    https://support.microsoft.com/en-us/topic/kb5024351-removal-of-windows-edition-checks-for-applocker-e3a763c9-6a3e-4d9c-8623-0ffe69046470

    • Dominik sagt:

      Yeah :-) bin auch gerade darüber gestolpert, das ist mal eine gute Nachricht.

      Applocker-Konfiguration per GPOs geht zwar seit ein paar Monaten für die Windows Pro-Editionen, aber man war sich nie sicher ob das "intended" war.

      Jetzt also offiziell :-)

    • 1ST1 sagt:

      Das ist sehr positiv, denn dann kann ich meine SRP-Regeln "abbauen" und brauche diese Basis-Regeln nicht mehr zu pflegen, denn jeder neu installierte PC bekommt nicht automatisch sofort die Enterprise-Lizenz zugewiesen, das dauert manchmal. Und dann sind die solange mit SRP gelaufen.

  4. Damiel sagt:

    Inwiefern soll denn "Microsoft in Windows 10 Pro die Möglichkeiten der Gruppenrichtlinien kastriert" haben, so dass "man im Grunde auf Windows Enterprise-Editionen angewiesen" wäre?
    Ich habe ausschließlich Win 10/11 Pro im Einsatz und nutze Gruppenrichtlinien exzessiv.
    Ja, ich erinnere mich an einen Fall, dass mal GPOs in Pro entfernt wurden, das war aber minimal.

  5. R.S. sagt:

    Die Geschichte mit SRP ist schon uralt.
    Schon bei Windows 95 gab es da eine ähnliche Funktionalität, über die man bestimmen konnte, welche Programme erlaubt und nicht erlaubt sind.
    Ging damals aber nicht über Gruppenrichtlinien, denn die werden von Windows 95 noch nicht unterstützt, sondern über lokale Richtlinien.
    Das zugehörige Programm nannte sich Poledit (Policy Editor).

  6. Carsten C. sagt:

    Wenn ich SRP richtig verstanden habe (zugegeben: ohne tief in die Einzelheiten eingetaucht zu sein), dann kann ein Standardbenutzer lediglich Programm aus den Ordner C:\Program Files und C:\Program Files (x86) starten.

    Wir haben hier zwei Anwendungen (Lohn-/Gehaltsabrechnung, Fakturierung), deren Hersteller auf der Installation in Verzeichnissen jeweils direkt auf C:\ bestehen, d.h. nicht in den oben genannten Verzeichnissen. Kann man bei SRP Ausnahmen bzw. zusätzliche Verzeichnisse definieren?

    • ReFe sagt:

      Hallo Carsten
      SRP ermöglicht Dir Regeln zu definieren, was und wo ausgeführt werden darf.
      Damit Windows funktioniert, muss
      – C:\Windows\…
      – C:\Program Files\…
      – C:\Program Files (x86)\…
      freigegeben sein.
      Du kannst beliebige zusätzliche Regeln definieren.
      Z.B. braucht Windows Defender für das Update eine zusätzliche Regel.
      Programme die sich im Profile einnisten wie Chrome, Teams, … brauchen auch zusätzliche Regeln. Nur dann kann der Benutzer alles in diesen Ordnern ausführen.

      Zuerst muss Du den Benutzern die Administrativen Berechtigungen wegnehmen. Sonst können Sie die SRP umgehen.
      Ich würde die Ordner aufteilen in
      – wo darf ein Benutzer Daten bearbeiten und dafür keine Programme ausführen
      – wo darf ein Benutzer Programme ausführen und keine Daten bearbeiten.
      Nur so hast du unter Kontrolle, dass ein Benutzer nichts ausführt, dass der Administrator nicht in einen freigegeben Order installiert hat.

      I.d.R bestehen Programme auf eigene Ordner, weil sie in diesen Ordnern alle Rechte haben und auch Einstellungen speichern können.
      Solche Programme kannst Du kaum mit SRP absichern.
      HTH
      Reto

      • Carsten C. sagt:

        Danke für die Informationen, Reto!

        Bei dem einen Programm ist es tatsächlich so, dass es laufend Dateien in seinem Programm-Ordner und dessen Unterordnern anlegt oder ändert. Diesen Programm-Ordner könnte ich dann wohl nicht mit SRP absichern, wodurch vermutlich SRP auf diesen PCs gar nicht eingesetzt werden kann.

        • Reto Felix sagt:

          Er kommt immer darauf an, vor was Du dich schützen willst.
          Soll der Schutz vor Deinen Anwendern sein kann es genügen das Ausführen auf ein paar Ordner einzuschränken. Möglicherweise kannst du die zusätzlichen Ordner verstecken und 0815 User werden sie nicht finden. Ein versierter User kann immer die Disk ausbauen und in einem anderen System als Administrator beliebige Apps nach C:\Windows\System32 kopieren. Davor schützt z.B. BitLocker oder wie unten aufgeführt HASH Regeln.

          Ein Schutz vor Schadsoftware ist SRP in jedem Fall.
          Schadsoftware wird i.d.R. ins Profile des Benutzers geladen und wenn dies geblockt wird, kann sie nicht ausgeführt werden.
          Ich setzte SRP seit Windows XP ein an (> 100 Client) und hatte noch keine unerwünschte App bemerkt.

      • 1ST1 sagt:

        Pfadregeln auf User-Profil-Ordner sind böse, denn die Dateien dort können vom User ausgetauscht werden. Besser eine Signatur-Regel mit Applocker bauen, welche Vendor/Product und Minimalversion (die gerade aktuell ausgerollte Version) erlaubt. Oder wenigstens Hash-Wert, wenn die Shcrottapplikation nicht signiert ist, bedeutet aber regelmäßig Arbeit wenn es mal ein Softwareupdate gibt.

  7. Daniel sagt:

    Reddox hat da schon seit längerem eine Gui/Programm dazu gebastelt das das ganze etwas komfortabel macht

    https://www.reddoxx.com/produkte/anti-ransom/

  8. sascha osdoba sagt:

    Hallo Günther,

    darf ich dich bitten nicht von white- und blacklisten zu sprechen sondern lieber von Erlaubt- bzw Verbotslisten? habe ich meinen Vorträgen zu Applocker auch geändert und ist sprachlich auch einfach schöner.

    Restric'tor der c't nutzt ja auch SRP samt Dateilogging falls gewünscht. Applocker hat halt die Eventlogeinträge in einem eigenständigen Eventlog, finde ich etwas schöner aber ist sicherlich Geschmackssache.

    Danke Sascha

    • Günter Born sagt:

      Ich kenne den Hintergrund für diesen Wunsch – und habe über bestimmte Sachen – auch das Gendern – im Hinblick auf die Verwendung in den Blogs länger nachgedacht. Am Ende des Tages stand für mich die klare Sprache im Vordergrund.

      Ich möchte diese Nomenklatur definitiv beibehalten, denn wir sind in hier in der Technik, und da geht es nicht um Diskriminierung (die liegt mir fern). Aber seit ich denken kann, stehen diese Begriffe fest (ähnlich wie das Master-Slave-Prinzip, welches als Bezeichnung nun auch verpönt sein soll).

      Spätestens, wenn die ersten technischen Geräte ausfallen, weil jemand mit der neuen Nomenklatur was verwechselt, macht alles große Augen. Ich kenne es noch aus meiner Zeit als Entwickler – ist lange her. Damals gab es Dokumentation von Siemens in "normiertem Siemens"-Deutsch, sowie Dokumentation von Intel auf Englisch. Ich habe mir das Siemens-Zeugs Stunden durchgelesen und musste immer alles rückübersetzen – irgendwann habe ich die Kollegen gefragt, ob es das auch auf englisch gäbe – worauf die die entsprechende Dokumentation rausgerückt haben und die offenen Fragen waren für mich meist in wenigen Minuten geklärt, weil saubere technisch feststehende Begriffe verwendet wurden.

    • 1ST1 sagt:

      Restrictor ist leider veraltet, das damit erzeugte Standardregelwerk verhindert die Ausführung wichtiger Windows-Funktionen. Sollte man nicht mehr verwenden.

  9. Robert sagt:

    Ich nutze seit über einem Jahr das hier:

    https://github.com/hazelfazel/tuersteher

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.