Vei­lig Win­dows met Re­stric'tor

Maak Win­dows vei­lig met Re­stric'tor

C’t Magazine - - Inhoud - Ha­jo Schulz

In de Win­dows-ver­sies die voor be­drij­ven be­doeld zijn, bouwt Mi­cro­soft func­ties in om ze be­trouw­baar te­gen hack-aan­val­len te be­scher­men. Ge­brui­kers van Win­dows Ho­me heb­ben he­laas geen toe­gang tot die func­ties – tot nu toe: met ons pro­gram­ma Re­stric'tor kun je ze voor al­le Win­dows-ver­sies con­fi­gu­re­ren.

De be­doe­ling van mal­wa­re als vi­rus­sen en tro­jans is dat ze co­de op de com­pu­ter van een slacht­of­fer kun­nen uit­voe­ren. Om scha­de­lij­ke soft­wa­re uit te slui­ten, scant een an­ti­vi­rus­pro­gram­ma bij­voor­beeld de be­stan­den op de har­de schijf en pro­beert dan co­de te ont­dek­ken die op be­staan­de mal­wa­re lijkt. Af­han­ke­lijk van de kun­de van de ont­wik­ke­laar lukt dat meer of min­der goed. De per­fec­te be­vei­li­ging van een ide­aal sys­teem zou be­staan uit het he­le­maal geen co­de meer mo­gen uit­voe­ren waar­van niet zon­der twij­fel vast­staat dat die on­scha­de­lijk is. Win­dows heeft een me­cha­nis­me waar­mee je heel dicht bij dat doel komt: het zo­ge­he­ten soft­wa­re­restric­tie­be­leid of­te­wel de Soft­wa­re Re­stric­ti­on Po­li­cies (SRP's). Daar kun je re­gels mee de­fi­ni­ë­ren die Win­dows op­dra­gen al­leen nog pro­gram­ma's uit een van te­vo­ren op­ge­stel­de lijst uit te voe­ren – on­be­ken­de co­de heeft dan geen mo­ge­lijk­he­den meer scha­de aan te rich­ten of zich in het sys­teem te nes­te­len.

Die richt­lij­nen zijn ei­gen­lijk be­doeld om ad­mi­ni­stra­tors in een be­drijf een ca­ta­lo­gus te la­ten de­fi­ni­ë­ren van toe­ge­sta­ne pro­gram­ma's, die ze via het Groeps­be­leid kun­nen ver­de­len over al­le com­pu­ters in een Win­dows-do­mein. Tools voor het be­wer­ken van de re­gels zit­ten dan ook al­leen in de Win­dows-ver­sies voor be­drij­ven: Pro­fes­si­o­nal, En­ter­pri­se en Ul­ti­ma­te. Tech­nisch ge­zien zijn die re­gels ech­ter niets an­ders dan au­to­ma­tisch ge­ge­ne­reer­de re­gis­ter­sleu­tels. Als ze aan­we­zig zijn, houdt ook Win­dows Ho­me zich er­aan. Daar maakt on­ze tool Re­stric'tor dank­baar ge­bruik van. Hij werkt met al­le Win­dows-ver­sies van­af Win­dows 7. Je kunt er vrij mak­ke­lijk de re­gis­ter­sleu­tels en -waar­den voor SRP's mee be­wer­ken.

Voor de Ho­me-ge­brui­kes zijn er naast het moei­zaam en fout­ge­voe­lig recht­streeks rond­strui­nen in het Re­gis­ter am­per al­ter­na­tie­ven voor Re­stric'tor. Pro- en Ul­ti­ma­te­ge­brui­kers kun­nen kie­zen: met de in hun Win­dows-ver­sie in­ge­bouw­de 'Edi­tor voor lo­kaal groeps­be­leid' (gpe­dit.msc) of het 'Lo­kaal be­vei­li­gings­be­leid' (sec­pol.msc) kun je in prin­ci­pe SRP-re­gels met de­zelf­de in­stel­lin­gen ma­ken als met Re­stric'tor. Ach­ter de cou­lis­sen is de werk­wij­ze ech­ter com­pleet an­ders: daar waar Re­stric'tor met­een de des­be­tref­fen­de re­gis­ter­sleu­tels leest en schrijft, be­wa­ren de Mi­cro­soft-tools de in­stel­lin­gen eerst in het lo­ka­le groeps-

be­leid. Bij het op­slaan en bij het op­star­ten van de pc neemt Win­dows ze pas over in het Re­gis­ter. An­ders ge­zegd: Re­stric'tor laat al­tijd de ac­tu­eel gel­di­ge sys­teem­in­stel­lin­gen zien, ter­wijl de edi­tors van Win­dows zelf meer in­di­rect wer­ken. Daar­om moet je ver­mij­den dan weer de ene en dan weer de an­de­re tool te ge­brui­ken – dan is ver­war­ring ge­ga­ran­deerd. Om re­gels te ma­ken voor ver­sprei­ding bin­nen een do­mein is Re­stric'tor niet ge­schikt, daar­voor be­staan geen al­ter­na­tie­ven voor de ei­gen tools van Win­dows.

Je kunt Re­stric'tor down­lo­a­den via de link aan het eind van dit ar­ti­kel. Om het even uit te pro­be­ren, kun je het exe-be­stand er­gens in een map op je har­de schijf zet­ten – op een vei­li­ge in­stal­la­tie voor re­gel­ma­tig ge­bruik gaan we la­ter nog in. Re­stric'tor ver­eist een ge­ïn­stal­leerd .NETfra­me­work van­af ver­sie 4.0. De Win­dows­ver­sies van­af Win­dows 8 heb­ben al­les wat no­dig is, bij Win­dows 7 voe­gen de 'Be­lang­rij­ke up­da­tes' .NET 4.5 toe. Het pro­gram­ma heeft ad­mi­ni­stra­tor­rech­ten no­dig.

Ken­nis­ma­king

Als je je op je pc nog nooit met Soft­wa­re Re­stric­ti­on Po­li­cies hebt be­zig­ge­hou­den, zal op het tab­blad Ge­ne­ral van Re­stric'tor al­leen de door Win­dows in­ge­stel­de op­tie 'In­clu­de Ad­mi­ni­stra­tors' ge­se­lec­teerd zijn. De lijst van re­gels op het twee­de tab­blad is leeg. Naar de­ze toe­stand (van geen be­scher­ming) kun je al­tijd te­rug­ke­ren door in het me­nu 'Com­ple­te­ly Remo­ve SRP' te se­lec­te­ren. Dat is ove­ri­gens de eni­ge ac­tie in Re­stric'tor die met­een uit­wer­king op je Win­dows heeft. Al­le an­de­re in­stel­lin­gen die je met het pro­gram­ma doet wor­den pas ac­tief na­dat je op de knop Ap­ply on­der­aan in het ven­ster hebt ge­klikt.

Heb je er met de op­ties van Re­stric'tor op een ge­ge­ven mo­ment een beet­je een zooi­tje van ge­maakt zo­dat het pro­gram­ma zelf niet meer te star­ten is, dan kun je SRP ook recht­streeks via het Re­gis­ter te­rug­bren­gen in de be­gin­toe­stand: ver­wij­der sim­pel­weg de com­ple­te sleu­tel HKEY_LOCAL_MACHINE\Soft­wa­re\Po­li­cies\ Mi­cro­soft\Win­dows\sa­fer. Ben je dus­da­nig aan het ex­pe­ri­men­te­ren ge­gaan met het con­fi­gu­re­ren van re­gels dat zelfs het pro­gram­ma re­gedit niet meer start, dan heb je geen an­de­re keus meer dan Win­dows in de vei­li­ge mo­dus op te star­ten. Dan wordt er geen re­ke­ning ge­hou­den met het be­leid en is de Re­gis­ter-edi­tor in elk ge­val te ge­brui­ken.

De be­lang­rijk­ste op­ties voor SRP staan bij Re­stric'tor on­der 'De­fault Se­cu­ri­ty Le­vel'. 'Un­re­stric­ted' komt over­een met de stan­daard­toe­stand van Win­dows: uit­gaan­de van de juis­te ge­brui­kers­rech­ten voert het be­stu­rings­sys­teem al­le pro­gram­ma's on­ge­fil­terd uit. De SRP-con­tro­le wordt in­ge­scha­keld met 'Di­s­al­lo­wed'. Daar­mee is in eer­ste in­stan­tie het star­ten van al­le pro­gram­ma's ver­bo­den – ook de exe-be­stan­den die bij het be­stu­rings­sys­teem ho­ren kun­nen niet star­ten. Zon­der ver­de­re maat­re­ge­len is Win­dows dan on­bruik­baar. Door op Ap­ply te klik­ken, test Win­dows eerst of een der­ge­lij­ke toe­stand zou op­tre­den, en wei­gert bij twij­fel om dat in het Re­gis­ter te schrij­ven. Daar krijg je dan een fout­mel­ding van.

De op­tie 'Ba­sic User' is ei­gen­lijk al­leen bij Win­dows Ser­ver van be­te­ke­nis en is op een desktop-pc niet aan te ra­den. Re­stric'tor biedt de­ze op­tie ei­gen­lijk al­leen voor de vol­le­dig­heid. Het ef­fect komt in es­sen­tie over­een met de in­stel­ling 'Di­s­al­lo­wed'.

De switch 'In­clu­de Li­bra­ries' zorgt voor iets meer vei­lig­heid, maar drukt wel sterk op de to­ta­le per­for­man­ce van het sys­teem en is daar­om niet aan te ra­den. Hij zit al­leen maar in Re­sc­tric'tor om hem uit te kun­nen scha­ke­len als hij door een an­de­re tool ge­ac­ti­veerd zou zijn.

Het­zelf­de geldt voor de vreemd ge­noeg door Win­dows zelf ge­ac­ti­veer­de in­stel­ling 'In­clu­de Ad­mi­ni­stra­tors'. Als je die op­tie ac­ti­veert, zaag je on­der om­stan­dig­he­den de po­ten on­der je ei­gen stoel uit. Als de an­de­re SRP-op­ties het uit­voe­ren van Re­stric'tor niet ex­pli­ciet toe­staan, kun je dit pro­gram­ma (en al­le an­de­re) al­tijd nog met een rech­ter­muis­klik 'Als ad­mi­ni­stra­tor uit­voe­ren'. Maar de op­tie 'In­clu­de Ad­mi­ni­stra­tors' ver­hin­dert dat. Als je even niet uit­kijkt blok­keer je zelfs de Re­gis­ter-edi­tor en ben je op de vei­li­ge mo­dus aan­ge­we­zen om SRP an­ders te con­fi­gu­re­ren.

Om te voor­ko­men dat het uit­voe­ren van pro­gram­ma's met ad­mi­ni­stra­tor­rech­ten een nieuw gat wordt om weer on­be­ken­de en wel­licht ge­vaar­lij­ke soft­wa­re in je sys­teem bin­nen te slui­zen, moet je bij de 'In­stel­lin­gen voor Ge­brui­kers­ac­count­be­heer' de schuif­re­ge­laar op min­stens het twee­de ni­veau van bo­ven zet­ten, en het liefst he­le­maal bo­ven­aan. Mocht de be­ken­de mel­ding van het Ge­brui­kers­ac­count­be­heer ('Wilt u toe­staan dat de­ze app wij­zi­gin­gen aan uw ap­pa­raat aan­brengt') daar­na zon­der re­den ver­schij­nen,

dan is dat een dui­de­lijk te­ken dat het een of an­de­re pro­gram­ma pro­beert zich langs SRP heen te wor­ste­len. Bij twij­fel­ge­val­len is 'Nee' dan het juis­te ant­woord.

Zo­als ge­zegd dient SRP er­voor om het la­den van uit­voer­ba­re co­de die het sys­teem scha­de zou kun­nen toe­bren­gen te ver­hin­de­ren. Co­de wordt door Win­dows ech­ter al­leen ge­start als het in een be­stand zit dat het sys­teem di­rect her­kent als uit­voer­baar of dat bij een pro­gram­ma hoort dat de co­de er­in zelf kan uit­voe­ren. De be­stands­ty­pen die van­uit het oog­punt van SRP in de twee­de ca­te­go­rie val­len, wor­den be­paald door de lijst die opent als je bij Re­stric'tor klikt op 'Edit…' on­der de 'De­sig­na­ted Fi­le Ty­pes'. Om die niet hand­ma­tig te hoe­ven vul­len, moet je bij de eer­ste keer dat je SRP con­fi­gu­reert een van de me­n­ui­tems 'Load Mi­cro­soft De­fault' of lie­ver nog 'Load c't Re­com­men­da­ti­on' se­lec­te­ren. De lijst van be­waak­te be­stands­ty­pen ver­schilt bij de bei­de op­ties maar op één punt: het be­wa­ken van LNK-be­stan­den, zo­als Mi­cro­soft stan­daard doet, vin­den we over­bo­dig om­dat een snel­kop­pe­ling op zich niet ge­vaar­lijk is, zelfs als die naar kwaad­wil­len­de pro­gram­ma's ver­wijst. Het is van be­lang dat het doel be­waakt wordt – en daar be­kom­me­ren de an­de­re SRP-re­gels zich om.

Met het in­voer­veld 'Log Fi­le' kun je Win­dows de op­dracht ge­ven het star­ten van al­le pro­gram­ma's te log­gen. Elk log­boek-item ver­meldt of SRP het pro­gram­ma toe­ge­staan of ge­blok­keerd heeft en wel­ke re­gel er voor die be­slis­sing ge­bruikt werd. Dat is voor­al han­dig om voor het con­fi­gu­re­ren van SRP eerst een in­druk te krij­gen van waar je in de prak­tijk te­gen pro­ble­men aan zou kun­nen lo­pen – zie het vo­ri­ge ar­ti­kel op pa­gi­na 46.

Als SRP ac­tief is, is er een be­te­re ma­nier om de re­gels in de ga­ten te hou­den: el­ke keer als ze het star­ten van een pro­gram­ma ver­hin­de­ren, schrijft Win­dows een item in de Log­boe­ken. Daar­in kun je de ac­ti­vi­tei­ten en het re­sul­taat vol­gen of met de ge­schik­te tools au­to­ma­tisch la­ten ana­ly­se­ren.

Re­gels

De bo­ven al ge­noem­de me­nu-items voor het la­den van een ba­sis­con­fi­gu­ra­tie ini­ti­a­li­se­ren niet al­leen de lijst van be­waak­te be­stands­ty­pen, maar ma­ken ook al een aan­tal re­gels aan. Die staan op de lijst op het twee­de tab­blad Ru­les. De nood­zaak van die re­gels wordt dui­de­lijk als je be­seft hoe SRP werkt: met het stan­daard se­cu­ri­ty­le­vel 'Di­s­al­lo­wed' is in eer­ste in­stan­tie het uit­voe­ren van ál­le pro­gram­ma's ver­bo­den. Om er­voor te zor­gen dat Win­dows werkt en je ge­woon kunt wer­ken, moe­ten er uit­zon­de­rin­gen zijn – en dat is pre­cies wat je met die re­gels doet.

Het doel van SRP is om al­leen nog co­de toe te staan die je ver­trouwt. Daar hoort in eer­ste in­stan­tie al­les bij wat bij Win­dows zelf hoort, of­te­wel de in­hou­den van de sys­teem­map. Dat is in de mees­te ge­val­len C:\Win­dows, maar dat kan in som­mi­ge uit­zon­de­rings­ge­val­len ook an­ders zijn. Daar­om ver­wijst de des­be­tref­fen­de re­gel niet met­een naar C:\Win­dows, maar ge­beurt dat via de Re­gis­ter­sleu­tel HKEY_ LOCAL_MACHINE\Soft­wa­re\Mi­cro­soft\Win­dows NT\Cur­rentVer­si­on\Sys­temRoot. Iets ver­ge­lijk­baars geldt voor de map­pen 'Pro­gram Fi­les' en 'Pro­gram Fi­les (x86)', waar je nor­maal ge­spro­ken je soft­wa­re in in­stal­leert.

Al die map­pen heb­ben ge­meen­schap­pe­lijk dat daar al­leen pro­ces­sen in mo­gen schrij­ven die met ad­mi­ni­stra­tor- of sys­teem­rech­ten draai­en. In de sys­teem­map zijn dat bij­voor­beeld Win­dows Up­da­te en in de pro­gram­ma­map de set-up­pro­gram­ma's die je uit­druk­ke­lijk met ad­mi­ni­stra­tor­rech­ten ge­start hebt. Als je de vra­gen van het Ge­brui­kers­ac­count­be­heer se­ri­eus neemt, be­vat­ten die map­pen al­leen co­de die je eer­der al een keer ex­pli­ciet ver­trouwd hebt.

Pad­re­gels met het be­vei­li­gings­ni­veau 'Un­re­stric­ted' zijn er dus voor om map­pen te iden­ti­fi­ce­ren waar­in te ver­trou­wen co­de staat. Om er­voor te zor­gen dat die ei­gen­schap be­hou­den blijft, moet je in geen en­kel ge­val aan de rech­ten van die map­pen ko­men en ge­wo­ne ge­brui­kers schrijf­toe­gang ge­ven. Dat is dan het­zelf­de als de deur wa­gen­wijd open­zet­ten, en daar zit­ten de pro­gram­meurs van bij­voor­beeld ransom­wa­re nou net op te wach­ten: een on­be­wust aan­ge­klik­te e-mail­bij­la­ge of een do­cu­ment met ver­bor­gen ma­cro's kun­nen er dan co­de in op­slaan en zich zo in het sys­teem nes­te­len.

Als je daar goed op let, kun je in Re­stric'tor na­tuur­lijk ook an­de­re pad­re­gels met het se­cu­ri­ty-le­vel 'Un­re­stric­ted' aan­ma­ken. Klik op de plus­knop naast de re­gel­lijst voor een me­nu waar­in je kunt kie­zen uit een nieu­we pad- of een nieu­we hashre­gel.

Kies bij­voor­beeld een map op een an­de­re schijf dan de sys­teem­schijf, waar­op je re­gel­ma­tig pro­gram­ma's in­stal­leert om ruim­te te spa­ren op de krap be­me­ten ssd

waar­op het Win­dows-sys­teem draait. Dan moet je ge­wo­ne ge­brui­kers ook voor die map geen schrijf­rech­ten ge­ven. In de prak­tijk is het han­dig om zo'n map de­zelf­de rech­ten te ge­ven die ook voor de stan­daard­map voor pro­gram­ma's geldt. Dat doe je het mak­ke­lijkst door de rech­ten daar­van te ko­pi­ë­ren, bij­voor­beeld met de com­man­do's

$acl = Get-Acl “C:\Pro­gram Fi­les” Set-Acl “D:\pro­gram­mas” $acl

Die com­man­do's moet je in­voe­ren in een met ad­mi­ni­stra­tor­rech­ten ge­star­te Po­werShell. In de twee­de re­gel moet je de naam van de map dan aan­pas­sen.

Uit­zon­de­ring op de uit­zon­de­ring

He­laas heeft ook de sys­teem­map van een scho­ne Win­dows-in­stal­la­tie een paar map­pen waar­in je met be­perk­te ge­brui­kers­rech­ten toch kunt schrij­ven. Ook in de pro­gram­ma­map­pen van een paar pc's zijn we wel eens be­schrijf­ba­re map­pen te­gen­ge­ko­men – die kwa­men on­ver­ant­woor­de­lijk ge­noeg ook nog eens van het in­stal­le­ren van Mi­cro­soft-pro­gram­ma's. Het in­per­ken van de rech­ten van die map­pen zo­dat mal­wa­re daar niets meer te zoe­ken heeft, is ech­ter geen goed idee om­dat dat de func­ties van de des­be­tref­fen­de pro­gram­ma's kan be­per­ken. Je kunt dan be­ter SRP-re­gels zo­da­nig con­fi­gu­re­ren dat het uit­voe­ren van pro­gram­ma's van­uit die map­pen ver­bo­den is. Daar zijn de pad­re­gels met het be­vei­li­gings­ni­veau 'Di­s­al­lo­wed' voor be­doeld. Om der­ge­lij­ke map­pen te iden­ti­fi­ce­ren, heeft Re­stric'tor het me­nu-item 'Fi­le / Check Ru­les'. In het ven­ster dat dan ver­schijnt klik je op 'Se­arch fol­der', waar­na Re­stric'tor de rech­ten van al­le sub­map­pen van al­le map­pen con­tro­leert waar­voor een 'Un­re­stric­ted'-pad­re­gel in­ge­steld is. Al­le map­pen waar­in je zon­der ad­mi­ni­stra­tor­rech­ten kunt schrij­ven, krijg je dan op een lijst te zien. Klik ver­vol­gens op OK om voor ie­de­re map waar­van je het vin­kje niet ver­wij­derd hebt een pad­re­gel aan te ma­ken met het be­vei­li­gings­ni­veau 'Di­s­al­lo­wed'.

Ex­tra's

Op de mees­te Win­dows-pc's staan ook bui­ten de Win­dows- en pro­gram­ma­map vaak pro­gram­ma's die een ge­brui­ker niet wil mis­sen. Dat kun­nen even snel ge­down­lo­a­de spe­ci­a­le tools zon­der ei­gen in­stal­la­tie­pro­gram­ma zijn, maar in die ca­te­go­rie val­len ook por­ta­ble pro­gram­ma's die je bij­voor­beeld op een usb-stick hebt staan.

Voor het eer­ste ty­pe ad­vi­se­ren we om een sub­map – bij­voor­beeld 'tools' – in de pro­gram­ma­map aan te ma­ken. Om de uti­li­ty's daar op te slaan, heb je dan een be­stands­ma­na­ger no­dig die je met ad­mi­ni­stra­tor­rech­ten kunt star­ten. On­ze fa­vo­riet is Dou­ble Com­man­der, maar als nood­maat­re­gel kun je ook Klad­blok star­ten als ad­mi­ni­stra­tor en dan via 'Be­stand / Ope­nen' het bij­be­ho­ren­de dia­loog­ven­ster 'mis­brui­ken' als Ver­ken­ner. Een der­ge­lij­ke tools-map is ove­ri­gens ook de ide­a­le plek om Re­stric'tor in te zet­ten.

Die ma­nier werkt voor de mees­te por­ta­ble pro­gram­ma's al­leen ech­ter niet: zij moe­ten in hun ei­gen map schrijf­rech­ten heb­ben, ook als ze on­der een be­perkt ge­brui­kers­ac­count draai­en. Die map bar­ri­ca­de­ren werkt dan dus niet, net zo min als het aan­ma­ken van een SRP-pad­re­gel die het uit­voe­ren van de co­de die in die map staat toe­staat. Dat laat­ste is voor map­pen op een usb-stick so­wie­so geen goed idee: de mees­te sticks zijn met het be­stands­sys­teem FAT32 ge­for­mat­teerd, maar dat kent geen rech­ten­be­heer, zo­dat ge­brui­kers­pro­ces­sen in het al­ge­meen over­al mo­gen schrij­ven – een ide­a­le toe­gangs­poort voor mal­wa­re.

Voor der­ge­lij­ke ge­val­len heeft SRP hashre­gels. Daar­mee iden­ti­fi­ceer je een af­zon­der­lijk uit­voer­baar be­stand als ver­trou­wens­waard. Daar­bij zijn ken­mer­ken als be­stands­pad, groot­te en wij­zi­gings­da­tum niet door­slag­ge­vend, maar een hash, of­te­wel een di­gi­ta­le vin­ger­af­druk van het be­stand. Dat heeft het voor­deel dat mal­wa­re geen kans heeft om zich bij­voor­beeld naar een toe­ge­staan pro­gram­ma te ko­pi­ë­ren: de hash zou daar­bij on­her­roe­pe­lijk ver­an­de­ren. Om­dat het voor de hashre­gels niet uit­maakt waar een be­stand op­ge­sla­gen is, wer­ken ze bo­ven­dien ook als de usb-stick met por­ta­ble pro­gram­ma's een an­de­re sta­ti­onslet­ter krijgt toe­ge­we­zen.

Het voor­deel van het uniek iden­ti­fi­ce­ren van be­stan­den wordt ech­ter een na­deel als het be­tref­fen­de pro­gram­ma vaak up­da­tes krijgt. Dan moet je de hash tel­kens weer op­nieuw be­re­ke­nen om het pro­gram­ma weer toe te staan. Ook pro­gram­ma's die zich in een door ge­brui­kers te be­schrij­ven map in­stal­le­ren zijn een pro­bleem. Dat doen die pro­gram­ma's vaak om zich stil­zwij­gend en zon­der in­men­ging van het Ge­brui­kers­ac­count­be­heer te kun­nen up­da­ten. Als SRP plot­se­ling meldt dat een der­ge­lijk pro­gram­ma ge­blok­keerd is, moet je als ver­ant­woor­de­lij­ke ge­brui­ker el­ke keer kij­ken of de hash door een le­gi­tie­me up­da­te ge­wij­zigd is of dat er toch een tro­jan bin­nen­ge­dron­gen is. Hoe je dat met niet al te veel moei­te kunt doen, staat in het vol­gen­de ar­ti­kel.

Bij Re­stric'tor maak je een nieu­we hashre­gel aan door op de plus­knop naast het re­gel­over­zicht te klik­ken en 'New Hash Ru­le' te kie­zen. Met de knop 'Brow­se' ga je naar het ge­wens­te pro­gram­ma­be­stand. De be­stands-

in­for­ma­tie die Re­stric'tor dan in het be­tref­fen­de veld laat zien dient er al­leen voor om de re­gel la­ter in de lijst weer te­rug te kun­nen vin­den. Het pro­gram­ma be­re­kent de hash op de ach­ter­grond – het gaat daar­bij om een min of meer wil­le­keu­ri­ge, niets­zeg­gen­de te­ken­volg­or­de. Om een hashre­gel na bij­voor­beeld een up­da­te bij te wer­ken, klik je dub­bel op de des­be­tref­fen­de re­gel of op het pot­lood­pic­to­gram­me­tje rechts en se­lec­teer je het pro­gram­ma­be­stand op­nieuw. De pad- en hashre­gels zijn te ver­wij­de­ren door op het rode kruis­je rechts te klik­ken.

Als je je af­vraagt waar­om de re­gel­lijst na het la­den van de door ons ge­ad­vi­seer­de re­gels al twee hashre­gels be­vat: met de ene wordt Re­stric'tor zelf als te ver­trou­wen aan­ge­merkt, de twee­de be­treft een Win­dows­ei­gen be­stand met de naam dis­m­host.exe, dat al­tijd uit de ge­brui­kers­map wil star­ten. De ach­ter­grond daar­van is een sys­teem­ei­gen ge­plan­de taak die af en toe con­tro­leert of er nog vol­doen­de ruim­te vrij is op de schijf. Om­dat Win­dows dis­m­host.exe daar ech­ter el­ke keer naar­toe ko­pi­eert van­uit de Win­dows-map en na het be­ëin­di­gen van de taak weer ver­wij­dert, krijg je hem niet te pak­ken met een pad­re­gel voor de sys­teem­map.

Als Re­stric'tor een up­da­te krijgt, kun je met 'Fi­le / Add a Hash Ru­le for Re­stric'tor' de hashre­gel voor Re­stric'tor mak­ke­lijk weer bij­wer­ken. Zo­als eer­der ge­zegd, is Re­stric'tor niet ge­schikt om Soft­wa­re Re­stric­ti­on Po­li­cies in een be­drijfs­net­werk uit te rol­len. In je pri­vé-com­pu­ter­park wil je een moei­zaam ge­maak­te re­gel­set ech­ter wel van de ene ma­chi­ne op een an­de­re kun­nen over­zet­ten. Daar die­nen de me­nu-items 'Im­port Con­fi­gu­ra­ti­on' en 'Ex­port Con­fi­gu­ra­ti­on' in het Fi­le-me­nu voor. Die zijn ook ge­schikt om de SRP-con­fi­gu­ra­tie te back-up­pen voor als je bij­voor­beeld het be­stu­rings­sys­teem op­nieuw wilt in­stal­le­ren. (nkr)

Op het twee­de tab­blad van Re­stric'tor de­fi­ni­eer je re­gels waar­mee SRP de te ver­trou­wen pro­gram­ma's her­kent. Zon­der der­ge­lij­ke re­gels is je com­pu­ter met SRP in­ge­scha­keld on­bruik­baar.

Mi­cro­soft staat het heel on­ver­ant­woord toe dat nor­ma­le ge­brui­kers schrijf­toe­gang heb­ben tot som­mi­ge sub­map­pen van de sys­teem­map. Re­stric'tor helpt om die te vin­den en te blok­ke­ren.

Newspapers in Dutch

Newspapers from Netherlands

© PressReader. All rights reserved.