Ab Windows Vista und Windows Server 2008 werden die Prozesse aller Nutzer mit reduzierten (nicht administrativen) Rechten per UAC (User Account Control - Benutzerkontensteuerung) ausgeführt. Ausgenommen sind standardmäßig die built-in Administratoren, wie z.B. der lokale Administrator und Domänen-Administratoren, und ausgewählte administrative Anwendungen von Microsoft.

Diese Ausnahmen sollten Sie deaktivieren, da diese immer wieder für das Ausführen von unerwünschter Software missbraucht werden!

Eine Kurzanleitung zur Deaktivierung dieser Ausnahmen finden Sie unter "Erzwingen der Benutzerkontensteuerung für alle Benutzer und Anwendungen".

Software Whitelisting erlaubt das ausschließliche Ausführen von vorher festgelegten Programmen und verhindert die Ausführung von allen Programmen, die nicht auf der Whitelist stehen. 

Im Gegensatz dazu verhindert Software Blacklisting das Ausführen von vorher festgelegten Programmen. Ein Beispiel dafür sind Virenscanner.

Das Ausführen von Programmen wird beim Windows Wihelisting (Sofwware Restrictions kurz SRP, AppLocker und Windows Defender Application Control kurz WDAC) entweder per Dateinamen und Verzeichnispfaden (Pfadregel) oder per Hashregel oder Zertifikatsregel gesteuert.

Weitere Informationen zum Software Whitelisting unter Windows finden Sie im Dokument "Software Whitelisting - der bessere Anti-Virus-Schutz".

Administrative Konten müssen unter allen Umständen isoliert vom Internet benutzt werden, um systemweite Infizierungen des Systems, z.B. über Webbrowser, zu unterbinden.

Grundsätzlich dürfen Programme für die alltägliche Bürokommunikation, wie z.B. Webbrowser, Mailprogramme, Chatprogramme, Office-Programme etc., NICHT mit administrativen Rechten genutzt werden.

Vor allen die Nutzung von Webbrowsern durch administrative Benutzer sollte ausschließlich im URL-Zugriffsmodus "Deny-All" erfolgen, damit Webzugriffe auf explizit zugelassene URLs  beschränkt werden können.

Dazu gehen Sie wie folgt vor:

Öffnen Sie das entsprechende Gruppenrichtlinienobjekt und wechseln Sie zu Benutzerkonfiguration -> Richtlinien->Administrative Vorlagen -> Microsoft Edge und konfigurieren Sie folgende Einstellungen, um den Zugriff nur noch auf URLs mit DNS-Namen endend auf uni-rostock.de und für localhost zu erlauben:

Blockieren des Zugriffs auf eine Liste von URLs:

• *

Definieren einer Liste zulässiger URLs: 

• edge://*
• localhost
• uni-rostock.de

Weiterhin muss der Internet Explorer deaktiviert werden, damit die obigen Einstellungen erzwungen sind.

Dazu gehen Sie wie folgt vor:

Öffnen Sie das entsprechende Gruppenrichtlinienobjekt und wechseln Sie zu Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/Internet Explorer.

1. Doppelklicken Sie auf Internet Explorer 11 als eigenständigen Browser deaktivieren.

2. Wählen Sie Aktiviert aus.

Wichtig ist darüber hinaus auch, indirekte Zugriffe auf das Internet über Proxy-Server für die mitgelieferten Webbrowser Internet Explorer und Microsoft Edge zu unterbinden.

Dazu gehen Sie wie folgt vor:

Öffnen Sie das entsprechende Gruppenrichtlinienobjekt und wechseln Sie zu Benutzerkonfiguration -> Richtlinien->Administrative Vorlagen -> Microsoft Edge -> Proxy server und konfigurieren Sie folgende Einstellung:

• Proxy settings auf {"ProxyMode": "direct"}

anschließend wechseln Sie zu Benutzerkonfiguration -> Richtlinien->Administrative Vorlagen -> Windows Components -> Internet Explorer und konfigurieren Sie folgende Einstellung:

• Disable changing connection settings auf Aktiviert
• Prevent changing proxy settings auf Aktiviert

anschließend wechseln Sie zu Benutzerkonfiguration -> Einstellungen->Windows-Einstellungen ->Registrierung und konfigurieren Sie folgende Einstellung:

• Struktur auf HKEY_CURRENT_USER
• Schlüsselpfad auf Software\Microsoft\Windows\CurrentVersion\Internet Settings 
• Name auf ProxyEnable
• Werttyp auf REG_DWORD
• Wertdaten auf 0

Informationen zu Paßwörtern finden Sie unter Passwörter - Einfache Regeln zur Bildung eines sicheren Passwortes.