Thunderbird und Richtlinien für Softwareeinschränkung (SRP)

  • Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:
    * Programm + Version: 38.6
    * Betriebssystem + Version: Windows 7 Professional 64 Bit
    * Kontenart (POP / IMAP): POP
    * Postfachanbieter (z.B. GMX): diverse
    * Eingesetzte Antivirensoftware: MSE
    * Firewall (Betriebssystem-intern/Externe Software): WFAS


    Hallo,


    um mich besser vor Ransomware zu schützen habe ich die Richtlinien für Softwareeinschränkung konfiguriert. Dabei lasse ich nur den Start von Programmen aus %ProgramFiles%, %ProgramFiles(x86)%, %SystemRoot% und der Startmenüordner zu.


    Folge ist nun, dass der Start von Anhängen und das Öffnen von Links im Browser nicht mehr funktioniert. Beim Start von Anhängen werden diese nach %TEMP% kopiert und dann versucht, von dort zu starten. Ergebnis ist dann etwas wie folgende Fehlermeldung:


    [IMG:http://abload.de/img/block-srpncpgy.png]


    Im Anwendungsprotokoll erscheint das Ereignis 865 von der Quelle SoftwareRestrictionPolicies: "Der Zugriff auf "C:\Program Files\SumatraPDF\SumatraPDF.exe" wurde vom Administrator durch die Standardrichtlinienstufe für Softwareeinschränkungen eingeschränkt."


    Mache ich dagegen auf dieselbe Datei in %TEMP% einen Doppelklick, wird sie fehlerfrei geöffnet (was zeigt, dass das protokollierte Ereignis nicht stimmt).


    Der Versuch, einen Link in einer Mail zu öffnen führt zu keiner sichtbaren Reaktion, aber es wird wieder das Ereignis 865 protokolliert, diesmal mit der Meldung: "Der Zugriff auf "C:\Program Files\Mozilla Firefox\firefox.exe" wurde vom Administrator durch die Standardrichtlinienstufe für Softwareeinschränkungen eingeschränkt."


    Im Mozilla Support Forum hat jemand angeblich das Problem durch Ändern der beiden Standardrichtlinien gelöst. Bei mir führt diese Änderung zu nichts.


    Mir ist klar, dass das eventuell ein Problem von Windows und nicht von Thunderbird sein kann. Aber da Suchmaschinen zu diesem Thema fast keine sinnvollen Ergebnisse liefern, frage ich einfach mal in diesem Forum. Vielleicht hat ja irgend jemand eine Lösung.

  • Hallo wpu,


    Obacht, hier folgt (gefährliches) Halbwissen:

    Mache ich dagegen auf dieselbe Datei in %TEMP% einen Doppelklick, wird sie fehlerfrei geöffnet ...

    Der Unterschied könnte daher kommen, dass die Anwendung, in Deinem Beispiel Sumatra, indirekt gestartet wird. Dazu wird windowsintern vermutlich eine COM-Schnittstelle benutzt (ähnlich OLE), die wiederum Komponenten aus dem Verzeichnis %windir%\system32 benötigt. Du könntest deshalb einmal testen, wie es sich verhält, wenn Du %windir% ebenfalls freigibst.


    Zu bedenken möchte ich geben, dass Du auf diese Art Deinen ursprünglichen Sicherheitswunsch untergräbst. Schließlich kommen Schädlinge nicht nur als *.exe daher. Gerade die "besseren" kommen z.B. als Office-Macro, als Audiofile, Script etc. . Eigentlich solltest Du Dich doch freuen, dass das Starten anderer Anwendungen nicht gelingt. So zwingst Du den Anwender, einen Anhang zunächst abzuspeichern und ihn dem Virenscanner zugänglich zu machen.


    Last but not least, Locky verbreitet sich nicht nur über Anhänge in E-Mails sondern auch über Webseiten. In der Vergangenheit habe ähnliche Locker, wie die, die angeblich von Bundeskriminalamt kamen, ebenfalls den Browser als Einfallstor genutzt.


    Gruß


    Susanne

  • Du könntest deshalb einmal testen, wie es sich verhält, wenn Du %windir% ebenfalls freigibst.

    Wie ich oben schrieb, ist %SystemRoot% bereits "freigegeben", d. h. es gibt eine SRP dafür.


    Inzwischen habe ich die Lösung gefunden: Die Richtlinien dürfen keine Variablen enthalten, weil die von einigen Anwendungen offenbar nicht aufgelöst werden. Da aber die Ereignisanzeige diese Variablen auflöst kommt es zu den sinnlosen Protokolleinträgen.


    Basiert eine SRP also auf C:\Program Files statt auf %ProgramFiles% funktioniert alles. Genau genommen steht auch genau das in dem von mir verlinkten Betrag aus dem Mozilla Forum.


    Es ist also doch ein Problem von Thunderbird. :(

  • Du könntest einen Bug eröffnen. Schau besser vorher, ob es den nicht schon gibt.