Met een eenvoudig softwarebeperkingsbeleid kunt u Windows-machines harder maken door er Linux-achtige uitvoeringsmachtigingen aan toe te voegen.
Windows verhindert standaard niet dat software wordt uitgevoerd vanaf elke locatie op de computer die wordt misbruikt door malware en ongewenste software.
Programma's kunnen bijvoorbeeld rechtstreeks worden uitgevoerd vanaf USB-flashstations, downloadmappen of tijdelijke systeemmappen.
Eenvoudig softwarebeperkingsbeleid verandert dat door die functionaliteit op het systeem te vergrendelen. Het wordt geleverd met een standaard regelsbestand, wat een goed begin is, maar mogelijk moet worden aangepast.
Na de installatie zult u merken dat u geen bestanden meer kunt uitvoeren vanuit downloadmappen of de meeste mappen op het systeem trouwens.
Het is nog steeds mogelijk om software uit te voeren vanaf bepaalde locaties, bijvoorbeeld de map met programmabestanden, maar uitvoeringen vanaf de meeste locaties zijn geblokkeerd.
De functionaliteit van het programma is gedefinieerd in het softwarebeleid.ini-bestand. Open het in een willekeurige teksteditor om het gedrag te verfijnen. Dit is niet zo intimiderend als het klinkt, want de syntaxis is eenvoudig en er worden instructies gegeven voor elk item.
Hier is een korte lijst met belangrijke secties in het ini-bestand die u mogelijk nuttig vindt:
- Beperkte apps - Dit is alleen nuttig als de gebruiker een lokale beheerder is. Als dat het geval is, zorgt het ervoor dat de programma's in deze sectie worden uitgevoerd met beperkte rechten. Webbrowsers zoals Firefox, Opera of Chrome worden standaard in deze sectie vermeld. Bovendien kunt u bepalen wanneer deze beperkingen van toepassing zijn (wanneer de app is vergrendeld, altijd, nooit).
- Aangepast beleid - Gebruik deze sectie om locaties op de computer of het netwerk te definiëren waar software-uitvoeringen niet worden geblokkeerd.
- AdminMenuWachtwoordNiveau - Schakel dit in om de ontgrendelingsfunctionaliteit van de applicatie en de configuratie van de software te beveiligen met een wachtwoord.
- Softwarebeleid - Definieert extensies die worden beperkt door het programma. Bevat standaard veel uitvoerbare bestandstypen en belangrijke bestandstypen zoals exe, bat of reg.
- AddRootDirs - Blokkeer of laat programma's draaien vanuit hoofdmappen, bijv.g. c: of d:
- AddTempDir - Blokkeren of toestaan dat programma's worden uitgevoerd vanuit tijdelijke mappen
- Dll's opnemen - Of het starten van dynamische linkbibliotheken ook moet worden voorkomen.
- AlwaysAllowSysteemmappen - Bepaalt of systeemprogramma's altijd kunnen worden gestart.
- Niet toegestaan - Paden of uitvoerbare bestanden toevoegen die nooit op het systeem mogen worden uitgevoerd.
De twee belangrijkste kenmerken van het programma zijn om de uitvoering van programma's op het systeem te vergrendelen in veilige gebieden en om gespecificeerde programma's automatisch uit te voeren met beperkte privileges.
Het programma wordt geleverd met een ontgrendelingsoptie waarbij de bescherming wordt uitgeschakeld, wat handig kan zijn wanneer bepaalde applicaties of updates niet correct werken wanneer de applicatie is ingeschakeld. Een map vol draagbare applicaties kan bijvoorbeeld een goed doelwit zijn voor een vrijstelling, omdat u anders de programma's niet op de Windows-machine mag uitvoeren.
Afhankelijk van hoe u uw systeem momenteel gebruikt, moet u mogelijk bepaalde gedragingen wijzigen nadat u de bescherming van Simple Software-restriction Policy hebt ingeschakeld. Het is bijvoorbeeld niet langer mogelijk om gedownloade uitvoerbare bestanden rechtstreeks vanuit de downloadmap uit te voeren, tenzij u wijzigingen aanbrengt in de standaardconfiguratie.
Vonnis
Simple Software-restriction Policy verhardt Windows-systemen door de locaties te beperken van waaruit applicaties kunnen worden uitgevoerd. Bovendien kunt u bepaalde programma's met beperkte rechten uitvoeren.
Het is een handig programma, niet alleen voor uw eigen systemen, maar misschien ook voor systemen van familieleden of vrienden die niet zo handig zijn met computers.