Was ist SRP – Software Restriction Policy

SRP ist ein Bestandteil von Microsoft Windows. Es ist standardmäßig nicht aktiviert, bzw konfiguriert. Früher wurde diese Funktion auch DEP (Data Execution Prevention) genannt.

Die Funktion von SRP ist einfach. Ein Administrator kann vorgeben von welchen Ordnern aus eine Datei ausgeführt werden darf – oder nicht.

Als Beispiel: Von C:\Programme, und den Unterordnern dürfen Dateien ausgeführt werden, von C:\Temp dagegen nicht. SRP arbeitet also auf dem lokalem PC, und verhindert dort die Ausführung von unerwünschten Programmen. Zusätzlich gibt es noch andere Methoden um die Ausführung von Programmen zu steuern, wie z.B Hash Wert oder Zertifikate. Das Ziel ist dass nur solche Programme ausgeführt werden, welche vom Administrator „genehmigt“ wurden. Da Windows Ordner mit ausführbaren Programmen mit UAC schützt, Also eine Meldung für den Administrator, daß in ein geschütztes Programm Verzeichnis geschrieben wird, ist dies eine sehr gute und effektive Methode um das Eindringen von Viren und Co zu verhindern.

Einen ähnlichen Ansatz, aber auf Serverebene verfolgt übrigens NAP.

Warum ist SRP gut für die Sicherheit ?

Der Grund dafür liegt in den übrigen Sicherheitsfunktionen von Windows. So ist es einem „normalen“ Benutzer nicht erlaubt, in bestimmte Verzeichnisse (z.B C:\Programme) zu schreiben. Dafür werden Administrator Rechte benötigt, die aber auf dem Bildschirm weitere Bestätigung erfordern. Wenn also eine Schadsoftware in ein solchen Verzeichnis schreiben will, dann würde auf dem Bildschirm ein Bestätigungsdialog aufpoppen. Um dies zu umgehen nutzen praktisch alle Viren und co einfach andere Verzeichnisse. Beliebt sind der Papierkorb, Temp Verzeichnisse, und spezielle Benutzer Verzeichnisse. Wenn aber festgelegt wird, dass aus diesen Verzeichnissen nichts ausgeführt werden darf, dann hat die Schadsoftware, die den Antivirus eventuell überlistet hat, keine Chance.

Ist SRP schlecht für die Performance?

Nicht unbedingt. Es gib viele Möglichkeiten wie SRP feststellt ob ein Programm ausgeführt werden darf oder nicht. Wenn man an dieser Stelle alles richtig macht, hat SRP keinen wesentlichen Einfluß auf die Performance.

Ist SRP schwierig zu konfigurieren?

Ja. Schon alleine deswegen, wenn man einen Fehler macht, dann funktioniert halt irgendwas nicht mehr. Es gibt grundsätzlich immer Schwierigkeiten herauszufinden was denn alles erlaubt ist. z.B ein Programm das direkt vom Server gestartet wird, und nicht lokal installiert wurde. Oder auch des Benutzers lieblingsprogramm (eine EXE Datei), die sich auf dem Desktop des Benuzters befindet, usw. Es gibt aber Mittel und wege diese Informationen vorher zu erhalten. Wenn sich alle Programmierer an Microsoft’s Standards gehalten hätten, dann wäre es eine 5 Minuten Aktion. Im wirklichen Leben dauert es leider etwas länger um SRP einzurichten…

Gibt es Einschränkungen mit SRP?

Ja, aber das ist ja auch der Sinn. So wird es z.B nicht mehr möglich sein, daß eine Datei aus dem Internet heruntergeladen wird, und ausgeführt wird. Es sei dann, man konfiguriert Ausnahmen. Natürlich kann man Notausgänge, wie z.B der Administrator darf troztdem usw einbauen. Aber trivial ist das nicht. Wie jede zusätzliche Sicherheitsmaßnahme, so gilt auch für SRP, es macht das arbeiten nicht einfacher, sondern sicherer.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.