Restric’tor: Windows beveiliging verbeteren met software restricties

Beveiliging van je computer is van groot belang om te voorkomen dat malware zich nestelt als uitvoerbare bestanden in je Windows-installatie. Een manier om dit te voorkomen is door Restric’tor te gebruiken. Deze tool helpt om te beperken welke bestanden Windows mag uitvoeren, wat een goede bescherming geeft.

In dit artikel zullen we kijken in hoeverre het nuttig is om Restric’tor te gebruiken & wat voor eventuele nadelen de software met zich meebrengt.

Ontvang informatie en tips over het verbeteren van je Windows beveiliging, schrijf je in voor de gratis nieuwsbrief:

De Software Restriction Policies (SRP) zijn beschikbaar in elke versie van Windows en stellen regels op voor welke programmabestanden de computer mag uitvoeren. Wanneer deze functie is ingeschakeld, worden alle programmabestanden behalve enkele uitzonderingen zoals programma’s die zich bevinden in vertrouwde programmamappen, die alleen door administrators kunnen worden beschreven, geblokkeerd volgens de standaardinstellingen van Microsoft.

Met actieve SRP zal malware die binnenkomt als e-mailbijlage en per ongeluk wordt geopend, niet in staat zijn om te starten. Ook malware die zich heeft gevestigd in documentmappen en de autostart heeft gehaald, zal niet langer worden uitgevoerd door Windows. Hoewel het in de praktijk iets complexer is en de standaardinstelling van Microsoft niet perfect is, zijn er manieren om de bescherming te verbeteren.

Helaas staan de Software Restriction Policies (SRP) al vele jaren op de afschrijflijst van Microsoft. Het is onduidelijk of dit bewust is gedaan door Microsoft of slechts een bijwerking is van de implementatie van Smart App Control. Microsoft heeft tot nu toe geen officiële verklaring gegeven over deze kwestie.

Op het moment van schrijven van dit artikel geeft de documentatie over Software Restriction Policies (SRP) geen aanwijzingen over een definitief einde van deze beschermingsmechanismen. SRP’s blijven werken in eerdere versies van Windows zoals Windows 11 versie 21H2. SRP’s werken zelfs in de Home Edition van Windows, hoewel deze bedoeld zijn voor bedrijfsnetwerken met Active Directory. Dit kan via het groepsbeleid op client-pc’s worden ingezet. Aangezien de Home-versie geen geschikte configuratie-tool heeft, is in 2017 een tool ontwikkeld met de naam Restric’tor, die de registervermeldingen creëert om SRP’s aan te sturen. Hierdoor kunnen de beschermingsmechanismen ook worden gebruikt op Windows-edities die normaal gesproken niet worden ondersteund, en kan het comfortabel worden gebruikt zonder Active Directory.

Restric’tor biedt ondersteuning bij het opstellen van regels. Aan de ene kant genereert het enkele basisregels die vanuit ons perspectief relevant zijn, zodat je jezelf niet uitsluit van de mogelijkheid om programma’s te starten. Aan de andere kant helpt het om de zwakke punten in het bestandssysteem te identificeren. De toegangsrechten in een Windows-installatie zijn vaak zo ingesteld dat malware makkelijk toegang heeft. Dit kan het opslaan en starten van extra programmacode in onbeveiligde mappen mogelijk maken. Met Restric’tor kun je deze mappen identificeren en met één klik passende beschermingsmaatregelen instellen.

Het instellen van Software Restriction Policies is helaas geen eenmalige taak. Veel moderne programma’s ondermijnen de SRP-benadering, bijvoorbeeld door zich te willen installeren in mappen van het gebruikersprofiel die niet op een nuttige manier tegen schrijftoegang kunnen worden beschermd. SRP’s bieden voor dergelijke situaties speciale uitzonderingen voor specifieke programmabestanden, die op basis van een checksum (een hash) het uitvoeren van een programma toelaten, ongeacht de locatie ervan. Restric’tor ondersteunt bij deze taak, maar de initiële stap moet wel altijd door jou worden gezet.

Omdat de stappen die nodig zijn om Restric’tor in te stellen essentieel gezien onveranderd zijn sinds zijn introductie, kun je in alles over Restric’tor terugvinden in deze softlink hoe je het voor elkaar krijgt.

Als je het zippakket met Restric’tor downloadt via de bovengenoemde link en hebt uitgepakt, kun je het EXE-bestand het beste kopiëren naar een Tools-map in ‘C:\Program Files’. Je zult dat moeten bevestigen met een UAC-vraag. Daarna kun je Restric’tor starten, waarbij opnieuw UAC verschijnt, omdat het administratorrechten nodig heeft.

Om aan de slag te gaan met Restric’tor moet je de volgende stappen ondernemen:

• Selecteer ‘Load c’t Recommendation’ in het File-menu
• Druk op Apply
• Herstart Windows (wijzigingen in de SRP’s worden niet altijd onmiddellijk van kracht, neem het zekere voor het onzekere).

Daarna zal je pc alleen nog programma’s uitvoeren die zich in de relevante mappen van een Windows-installatie bevinden, oftewel in C:\ Windows, C:\Program Files en C:\Program Files (x86).

Om de blokkade van SRP voor een specifiek programma op te heffen, kun je dit doen door te kiezen voor “Als administrator uitvoeren” via het rechtermuisknop menu. Ook is het mogelijk om Restric’tor op te roepen zonder deze truc, omdat de tool een uitzonderingsregel instelt met een hash voor zichzelf, waardoor deze opstart vanuit een willekeurige map. Hierna moet je testen of alle programma’s die voor jou van essentieel belang zijn, nog steeds kunnen starten. Meestal geeft SRP een foutmelding als het ingrijpt, maar niet altijd.

Het is handig om de Logboeken te openen en de weergave aan te passen zodat alle berichten van de bron SoftwareRestrictionPolicies bij de gebeurtenissen worden weergegeven. Hierdoor kun je precies zien waar Windows ingrijpt op basis van de SRP-instellingen die zijn opgeslagen. Veel ingrepen geven geen duidelijke foutmelding die aangeeft dat een programma is geblokkeerd. De logboeken zijn de enige manier om dit te achterhalen.

Na verloop van tijd zul je in de logboeken waarschuwingen tegenkomen van mislukte updates van programma’s die automatisch worden gestart. Dit gebeurt als deze programma’s zich niet in de relevante programmamappen bevinden, maar in de mappen van het gebruikersprofiel (vaak in AppData). Voor de zekerheid voert Windows daar geen programma’s uit wanneer SRP’s actief zijn, en vinden de updates dus niet plaats.Als een programma geen optie biedt om in relevante mappen te installeren, is de enige oplossing om het programma af en toe als administrator te starten, zodat de update tool in actie kan komen.

Hou er trouwens rekening mee dat software die in een MSI-bestand is opgenomen, niet kan worden geïnstalleerd door erop te dubbelklikken als de SRP’s actief zijn. Het is vereist om in te loggen als administrator, bijvoorbeeld via een Opdrachtprompt of de Windows Terminal, en daar het Windows-installatieprogramma uit te voeren door de bestandsnaam van het MSI-bestand in te typen. Voor het doen van dit, is het wellicht nodig om naar de map te gaan waar het bestand zich bevindt. Microsoft besloot om geen vermelding op het contextmenu van MSI-bestanden voor ‘Als administrator uitvoeren’ toe te voegen.

In het verleden hebben we beweerd dat LNK-bestanden, ook wel bekend als snelkoppelingen in Windows Verkenner, veilig waren. Dat is niet langer waar: auteurs van malware hebben ze ontdekt als een manier om kwaadaardige code te infiltreren. Daarom wordt tegenwoordig aanbevolen de suggestie van Microsoft te volgen en LNK-bestanden via Restric’tor als type uitvoerbare code op de SRP-blacklist te plaatsen.

Als je dit doet, moet je echter per se ook een padregel opgeven voor de map van waaruit Windows een deel van de systeembrede, oftewel voor alle gebruikers, zichtbare vermeldingen van het startmenu bij elkaar puzzelt. Voer daarvoor het pad ‘C:\ProgramData\Microsoft\Windows\Start Menu’ in met het beveiligingsniveau Unrestricted. Dan kunnen de meeste items in het startmenu die via snelkoppelingen worden gerealiseerd, wel worden gebruikt. Dit is ongevaarlijk omdat die map alleen door administrators kan worden beschreven.

Sinds we Restric’tor uitgebracht hebben, heeft Microsoft veel veranderingen in Windows aangebracht. Wat de SRP’s betreft, is er slechts één detail dat ons bekend is. Bij Windows 11 wordt de instellingenpagina voor ‘Virus en bedreigingsbeveiliging’ niet meer geopend na het activeren van SRP’s met onze aanbevelingen van ‘Load c’t Recommendation’. Als je echter een speciale padregel invoert, zal Windows 11 die instellingen wel weergeven. Voeg daarvoor het pad C:\Windows\System32 toe in Restric’tor op het tabblad Rules als Unrestricted.

De volgende functies van Restric’tor worden meestal niet aanbevolen. Als ‘Include Libraries’ is ingesteld, zou SRP niet alleen direct uitvoerbare bestanden (EXE, BAT, CMD …) maar ook DLL’s controleren. Hoewel dat de beveiliging aanzienlijk verhoogt, kan het Windows vertragen en bij sommige programma’s updatehaperingen veroorzaken – die is dus alleen interessant voor de echte paranoïde patiënten. De optie ‘Include Administrators’ is ronduit gevaarlijk – als het misgaat, sluit je jezelf buiten je pc en kun je alleen via allerlei omwegen weer toegang krijgen – de artikelen die bij de link op deze pagina staan, gaan dieper in op de noodzakelijke maatregelen.

SRP’s zijn niet zo goed in de nieuwste softwaretrends. Veel programma’s gebruiken tegenwoordig browsertechnologie en willen zich installeren in de map van je gebruikersprofiel, zoals de AppData-map in C:\Users. Deze beveiligingstechniek is oud en is bedoeld voor een tijd waarin softwareontwikkelaars nog serieus omgingen met de map waar de software in gezet moest worden. SRP’s werken vooral goed voor pc’s met software die nog traditioneel geïnstalleerd wordt.

SRP’s werken het beste als je zo weinig mogelijk software installeert. Het is ideaal voor gebruikers onder toezicht die geen software mogen installeren. Helaas werkt het niet voor alle software omdat de updates dan opdrogen. Ook beschermt het niet tegen alle gevaren, zoals code die via veiligheidslekken in viewers op de pc terechtkomt. Het blijft dus belangrijk om regelmatig updates te installeren. Als je veel software uitprobeert, zelf ontwikkelt of scripts schrijft, zul je waarschijnlijk niet blij zijn met SRP’s.

Het feit dat Microsoft in de nieuwste Windows 11 versie 22H2 de SRP-beschermingsfunctie heeft geruïneerd met de introductie van Smart App Control, bevestigt de stelling dat de Home- en Pro-edities van Windows slechts tweederangs beveiligingsondersteuning krijgen. Dat betekent wel dat dit een alternatieve beschermingsfunctie wegneemt. Alle nieuwe magische technieken zoals Device Guard, AppLocker en dergelijke vereisen al een Enterprise-editie, en de moderne Smart App Control laat je geen enkele verdere instelling toe.

Mocht je dus nog gebruikmaken van Windows 10, dan kan het zeker de moeite waard zijn om Restric’tor te gebruiken.

Ontvang informatie en tips over het verbeteren van je Windows beveiliging, schrijf je in voor de gratis nieuwsbrief: