{"id":278193,"date":"2023-02-23T14:42:51","date_gmt":"2023-02-23T13:42:51","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=278193"},"modified":"2023-03-01T03:56:36","modified_gmt":"2023-03-01T02:56:36","slug":"software-restriction-policies-auch-safer-weiterhin-unter-windows-11-22h2-mglich","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/02\/23\/software-restriction-policies-auch-safer-weiterhin-unter-windows-11-22h2-mglich\/","title":{"rendered":"Software Restriction Policies (auch SAFER) weiterhin unter Windows 11 22H2 m&ouml;glich &#8230;"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Windows\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Windows-klein.jpg\" alt=\"Windows\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2023\/02\/24\/software-restriction-policies-safer-still-possible-under-windows-11-22h2\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Falls jemand aus der Leserschaft Software Restriction Policies oder SAFER zur Einschr\u00e4nkung der ausf\u00fchrbaren Programme verwendet (um z.B. Ransomware zuverl\u00e4ssig zu verhindern), eine kurze Information. Software Restriction Policies und SAFER funktionieren unter Windows 11 22H2 out-of-the-box nicht mehr. Ursache sind Registry-Eintr\u00e4ge, die Windows 11 glauben lassen, dass AppLocker aktiv w\u00e4re. Das l\u00e4sst sich aber mit einem kleinen Eingriff in die Registrierung korrigieren. Hier mal ein kleiner \u00dcberblick \u00fcber das Thema samt den Hack, um SAFER weiter nutzen zu k\u00f6nnen.<\/p>\n<p><!--more--><\/p>\n<h2>Software Restriction Policies (SRP)<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg05.met.vgwort.de\/na\/ecdb9a9a6fb14fe1aadec081b1526a31\" alt=\"\" width=\"1\" height=\"1\" \/>Unter Windows gibt es die sogenannten <a href=\"http:\/\/technet.microsoft.com\/en-us\/library\/bb457006.aspx\" target=\"_blank\" rel=\"noopener\">Software Restriction Policies<\/a> (SRP), mit denen sich sich festlegen l\u00e4sst, welche Programme unter Windows ausgef\u00fchrt (Whitelisting) bzw. nicht ausgef\u00fchrt (Blacklisting) werden d\u00fcrfen. Administratoren k\u00f6nnen in Windows \u00fcber Richtlinien festlegen, welches Software im Betriebssystem ausgef\u00fchrt werden darf. Die Software Restriction Policies sind bereits seit Windows Server 2003 verf\u00fcgbar und stehen aktuell (laut <a href=\"https:\/\/learn.microsoft.com\/en-us\/windows-server\/identity\/software-restriction-policies\/software-restriction-policies\" target=\"_blank\" rel=\"noopener\">dieser Microsoft Seite<\/a>) noch unter folgenden Server-Varianten zur Verf\u00fcgung:<\/p>\n<ul>\n<li>Windows Server 2012<\/li>\n<li>Windows Server 2012 R2<\/li>\n<li>Windows Server 2016<\/li>\n<li>Windows Server 2019<\/li>\n<li>Windows Server 2022<\/li>\n<\/ul>\n<p>Zudem werden Software Restriction Policies in Windows-Clients (Windows 7, Windows 8.1, Windows 10, Windows 11 21H1) unterst\u00fctzt. Allerdings ist es so, dass Microsoft die Software Restriction Policies (SRP) bereits im Juni 2020 abgek\u00fcndigt hat (siehe meinen Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2020\/06\/02\/windows-10-version-2004-veraltete-entfernte-features\/\">Windows 10 Version 2004: Veraltete\/entfernte Features<\/a>). Im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2022\/11\/08\/windows-11-22h2-untersttzt-keine-software-restriction-policies-srp-mehr\/\">Windows 11 22H2 unterst\u00fctzt keine Software Restriction Policies (SRP) mehr<\/a> hatte ich darauf hingewiesen, dass die Software Restriction Policies (SRP) nicht mehr unterst\u00fctzt w\u00fcrden.<\/p>\n<h2>SAFER, SRP f\u00fcr den kleinen Mann<\/h2>\n<p>Gruppenrichtlinien stehen nur f\u00fcr die Pro- und Enterprise-Versionen von Windows bereit &#8211; und seit Microsoft in Windows 10 Pro die M\u00f6glichkeiten der Gruppenrichtlinien kastriert hat, ist man im Grunde auf Windows Enterprise-Editionen angewiesen. Man kann diese Software-Restriktionen aber auch durch Registry-Eintr\u00e4ge setzen.<\/p>\n<p>Von Stefan Kanthak wurde daher SAFER propagiert, um Anwendern unter Windows (z.B. auch Home) die Systeme gegen Ransomware und andere Schadprogramme zu h\u00e4rten. \u00dcber eine .inf-Datei werden schlicht die erforderlichen Software-Einschr\u00e4nkungen in der Registrierung gesetzt. Stefan Kanthak stellt die erforderlichen Informationen samt Installations-INF auf seiner Webseite <a href=\"https:\/\/skanthak.homepage.t-online.de\/SAFER.html\" target=\"_blank\" rel=\"noopener\">Stop Malware with Software Restriction Policies alias SAFER<\/a> bereit. Christoph Schneegans propagierte SAVER mit einer deutschen Beschreibung auf <a href=\"https:\/\/schneegans.de\/windows\/safer\/\" target=\"_blank\" rel=\"noopener\">dieser Webseite<\/a> zur Absicherung gegen Schadprogramme (auch Ransomware). Auf der Webseite von Christop Schneegans hei\u00dft es aber inzwischen:<\/p>\n<blockquote><p>Ab Windows 11 22H2 funktioniert SAFER nicht mehr. Als Alternative bietet sich Windows Defender Application Control (WDAC) an, das in allen Versionen von Windows 10 und 11 funktioniert.<\/p><\/blockquote>\n<p><a href=\"https:\/\/schneegans.de\/windows\/safer\/\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"Windows mit SAFER absichern\" src=\"https:\/\/i.imgur.com\/GcPquZa.png\" alt=\"Windows mit SAFER absichern\" \/><\/a><\/p>\n<p>Sieht ja &#8211; zusammen mit meinen Ausf\u00fchrungen im Artikel <a href=\"https:\/\/borncity.com\/blog\/2022\/11\/08\/windows-11-22h2-untersttzt-keine-software-restriction-policies-srp-mehr\/\">Windows 11 22H2 unterst\u00fctzt keine Software Restriction Policies (SRP) mehr<\/a> &#8211; wie ein Abschied aus?<\/p>\n<h2>Windows 11: SAFER funktioniert noch<\/h2>\n<p>Stefan Kanthak hat mich nun per Mail kontaktiert, um mich darauf hinzuweisen, dass die Software Restriction Policies und auch SAFER unter Windows 11 22H2 weiterhin eingesetzt werden k\u00f6nnen. Er schrieb dazu:<\/p>\n<blockquote><p>Ursache des von Will Dormann beobachteten Verhaltens ist die \u00fcbliche Schlamperei in Redmond: Die liefern Windows 11 mit Registry-Eintr\u00e4gen aus, \"dank\" derer es glaubt, AppLocker w\u00e4re aktiv &#8211; was (wie dokumentiert) SAFER \u00fcbersteuert bzw. deaktiviert.<\/p><\/blockquote>\n<p>Das angesprochene, von Will Dormann beobachteten Verhalten hatte ich im Beitrag <a href=\"https:\/\/borncity.com\/blog\/2022\/11\/08\/windows-11-22h2-untersttzt-keine-software-restriction-policies-srp-mehr\/\">Windows 11 22H2 unterst\u00fctzt keine Software Restriction Policies (SRP) mehr<\/a> \u00fcber nachfolgenden Tweet dokumentiert.<\/p>\n<p><img decoding=\"async\" title=\" Software Restriction Policies (SRP) removed in Windows 11 22H2\" src=\"https:\/\/i.imgur.com\/7Wvp9iG.png\" alt=\" Software Restriction Policies (SRP) removed in Windows 11 22H2\" \/><\/p>\n<p>Bereits dort hatte Kanthak <a href=\"https:\/\/borncity.com\/blog\/2022\/11\/08\/windows-11-22h2-untersttzt-keine-software-restriction-policies-srp-mehr\/#comment-143181\">diesen Kommentar<\/a> hinterlassen, in dem er auf die urs\u00e4chlichen Registrierungseintr\u00e4ge verweist, die den Schlamassel ausl\u00f6sen. Stefan Kanthak f\u00fchrt in seiner Mail einen einfachen Workaround an, den er im Februar 2023 bereits <a href=\"https:\/\/seclists.org\/fulldisclosure\/2023\/Feb\/13\" target=\"_blank\" rel=\"noopener\">auf seclists.org dokumentiert<\/a> hat (siehe <a href=\"https:\/\/www.microsoftpressstore.com\/articles\/article.aspx?p=2228450&amp;seqNum=11\" target=\"_blank\" rel=\"noopener\">auch<\/a>), um dieses Verhalten wieder in geordnete Bahnen zu lenken, und SAFER respektive die Software Restriction Policies wieder unter Windows 11 22H2 verwenden zu k\u00f6nnen:<\/p>\n<blockquote><p>Nach L\u00f6schen der Registry-Eintr\u00e4ge:<\/p>\n<p>[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Srp\\Gp]<br \/>\n\"RuleCount\"=dword:00000002<br \/>\n\"LastWriteTime\"=hex(b):01,00,00,00,00,00,00,00<\/p>\n<p>funktioniert SAFER wieder wie gewohnt. Kanthak merkt an, dass der Zeitstempel 100ns nach dem 1.1.1601 ist, also grottenfalsch sei, und dass die Regelzahl 2 (bei <em>RuleCount<\/em>) auch nicht stimmt!<\/p><\/blockquote>\n<p>Kanthak hat daher seine Datei <a href=\"https:\/\/skanthak.homepage.t-online.de\/download\/NTX_SAFER.INF\" target=\"_blank\" rel=\"noopener\">NTX_SAFER.INF<\/a> so angepasst, dass diese Korrekturen automatisch durchgef\u00fchrt werden. Vielleicht f\u00fcr dein einen oder anderen Blog-Leser, der auch mit den Software Restriction Policies unter Windows 11 22H2 scheiterte, von Interesse.<\/p>\n<p><strong>Erg\u00e4nzung:<\/strong> Es gibt eine <a href=\"https:\/\/borncity.com\/win\/2023\/02\/24\/software-restriction-policies-safer-still-possible-under-windows-11-22h2\/#comment-15964\" target=\"_blank\" rel=\"noopener\">R\u00fcckmeldung<\/a> von Andy Ful im englischen Blog mit folgendem Text.<\/p>\n<blockquote><p>The Kanthak correction to restore SRP functionality on Windows 11 ver. 22H2, works only when Smart App Control is OFF. If it is in Evaluate or ON mode, then the invalid registry values are automatically restored after restarting Windows.<br \/>\nTo restore SRP on all SAC modes, one should not delete registry values but simply set the \"RuleCount\" value to 0:<\/p>\n<p>[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Srp\\Gp]<br \/>\n\"RuleCount\"=dword:00000000<\/p>\n<p>Windows restart is required.<\/p>\n<p>Regards:<br \/>\n@Andy Ful (developer of Hard_Configurator)<\/p><\/blockquote>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/06\/02\/windows-10-version-2004-veraltete-entfernte-features\/\">Windows 10 Version 2004: Veraltete\/entfernte Features<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/11\/08\/windows-11-22h2-untersttzt-keine-software-restriction-policies-srp-mehr\/\">Windows 11 22H2 unterst\u00fctzt keine Software Restriction Policies (SRP) mehr<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Falls jemand aus der Leserschaft Software Restriction Policies oder SAFER zur Einschr\u00e4nkung der ausf\u00fchrbaren Programme verwendet (um z.B. Ransomware zuverl\u00e4ssig zu verhindern), eine kurze Information. Software Restriction Policies und SAFER funktionieren unter Windows 11 22H2 out-of-the-box nicht mehr. Ursache sind &hellip; <a href=\"https:\/\/borncity.com\/blog\/2023\/02\/23\/software-restriction-policies-auch-safer-weiterhin-unter-windows-11-22h2-mglich\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[8375,4328,8376,8257],"class_list":["post-278193","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-safer","tag-sicherheit","tag-software-restriction-policies","tag-windows-11"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/278193","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=278193"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/278193\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=278193"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=278193"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=278193"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}