Ab Windows Vista und Windows Server 2008 werden die Prozesse aller Nutzer mit reduzierten (nicht administrativen) Rechten per UAC (User Account Control - Benutzerkontensteuerung) ausgeführt. Ausgenommen sind standardmäßig die built-in Administratoren, wie z.B. der lokale Administrator und Domänen-Administratoren, und ausgewählte administrative Anwendungen von Microsoft.

Diese Ausnahmen sollten Sie deaktivieren, da diese immer wieder für das Ausführen von unerwünschter Software missbraucht werden!

Eine Kurzanleitung zur Deaktivierung dieser Ausnahmen finden Sie unter "Erzwingen der Benutzerkontensteuerung für alle Benutzer und Anwendungen".

Software Whitelisting erlaubt das ausschließliche Ausführen von vorher festgelegten Programmen und verhindert die Ausführung von allen Programmen, die nicht auf der Whitelist stehen.

Im Gegensatz dazu verhindert Software Blacklisting das Ausführen von vorher festgelegten Programmen. Ein Beispiel dafür sind Malwarescanner.

Das Ausführen von Programmen wird beim Windows Whitelisting (Software Restrictions - SRP, AppLocker und Windows Defender Application Control - WDAC) entweder per Dateinamen und Verzeichnispfaden (Pfadregel) oder per Hashregel oder Zertifikatsregel gesteuert.

Sie sollten Software Whitelisting aktivieren, um eine Infizierung durch Malware zu unterbinden.

Weitere Informationen zum Software Whitelisting unter Windows finden Sie im Dokument "Software Whitelisting - der bessere Schutz vor Malware".

Administrative Konten müssen unter allen Umständen isoliert vom Internet benutzt werden, um systemweite Malware-Infektionen des Systems, z.B. über Webbrowser, zu unterbinden.

Grundsätzlich dürfen Programme für die alltägliche Bürokommunikation, wie z.B. Webbrowser, Mailprogramme, Chatprogramme, Office-Programme etc., NICHT mit administrativen Rechten genutzt werden.

Vor allem die Nutzung von Webbrowsern durch administrative Benutzer sollte ausschließlich im URL-Zugriffsmodus "Deny-All" erfolgen, damit Webzugriffe auf explizit zugelassene URLs  beschränkt werden können.

Dazu gehen Sie wie folgt vor:

Öffnen Sie das entsprechende Gruppenrichtlinienobjekt und wechseln Sie zu Benutzerkonfiguration -> Richtlinien->Administrative Vorlagen -> Microsoft Edge und konfigurieren Sie folgende Einstellungen, um den Zugriff nur noch auf URLs mit DNS-Namen endend auf uni-rostock.de und für localhost zu erlauben:

Blockieren des Zugriffs auf eine Liste von URLs:

• *

Definieren einer Liste zulässiger URLs: 

• edge://*
• localhost
• uni-rostock.de

Die dazugehörigen Gruppenrichtlienvorlagen für Microsoft Edge zum Herunterladen finden Sie unter

• https://learn.microsoft.com/en-us/deployedge/configure-microsoft-edge#1-download-and-install-the-microsoft-edge-administrative-template 

Weiterhin muss der Internet Explorer deaktiviert werden, damit die obigen Einstellungen erzwungen sind.

Dazu gehen Sie wie folgt vor:

Öffnen Sie das entsprechende Gruppenrichtlinienobjekt und wechseln Sie zu Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/Internet Explorer.

1. Doppelklicken Sie auf Internet Explorer 11 als eigenständigen Browser deaktivieren.

2. Wählen Sie Aktiviert aus.

Informationen zu Paßwörtern finden Sie unter Passwörter - Einfache Regeln zur Bildung eines sicheren Passwortes.