Beschreibung:
Anti-Ransom nutzt unter Windows 11 die Technologie von Applocker zur Regelerstellung. Diese unterstützt im Gegensatz zum Vorgänger SRP, KEINE Umgebungsvariablen.
(AppLocker uses path variables for well-known directories in Windows. Path variables aren't environment variables. The AppLocker engine can only interpret AppLocker path variables.)
Quelle:
(AppLocker verwendet Pfadvariablen für bekannte Verzeichnisse in Windows. Pfadvariablen sind keine Umgebungsvariablen. Die AppLocker-Engine kann nur AppLocker-Pfadvariablen interpretieren.)
Aktuelle Pfadvariablen, die unterstützt sind, sind folgende (für eine aktuelle Liste immer obige Quelle prüfen)
| Windows Verzeichnis | Pfadvariable | Pendant Umgebungsvariable |
|---|---|---|
| Windows | %WINDIR% | %SystemRoot% |
| System32 und sysWOW64 | %SYSTEM32% | %SystemDirectory% |
| Windows Installationspartition | %OSDRIVE% | %SystemDrive% |
| Program Files | %PROGRAMFILES% | %ProgramFiles% und %ProgramFiles(x86)% |
| Externe Datenträger (Diskette, CD) | %REMOVABLE% | |
| Removable storage device (USB Stick etc.) | %HOT% |
Wie löse ich eine Freigabe von Benutzervariablen?
Will ich zum Beispiel so etwas lösen wie %LOCALAPPDATA%\MYApp\MyProgramm.exe, dann muss ich in Applocker bzw. Anti-Ransom unter Windows 11 mit Wildcards arbeiten. Also hier wäre zu benutzen: C:\Users\*\MYApp\MyProgramm.exe.
Unterschiede der Möglichkeiten bei Pfaden in Applocker
Generell ist Applocker deutlich restriktiver als SAFER, was sich auch auf die Regelerstellung auswirkt. Da Applocker nur als gesamter Satz aktiviert werden kann, hat eine fehlerhafte Regel Impact auf die komplette Freigabe. Regeln, die Probleme machen können (aber vorher problemlos gingen), sind zum Beispiel folgende Varianten:
Regel | Erklärung |
| *\pcvisit.exe | Generelle Freigaben einer Datei, egal, wo sie liegt, sind sicherheitstechnisch schwierig und so nicht möglich. Der Pfad darf nicht mit einem * beginnen. Ein Pfad muss mit einem Laufwerksbuchstaben (C:\), einer Umgebungsvariable (%ENVVAR%) oder einem UNC-Pfad (\\Server\Freigabe) beginnen |
| "C\Users\*\webex\webex*.exe" - | Platzhalter * dürfen nur ganze Verzeichnisse oder Dateinamen ersetzen, aber nicht nur Teile. (z. B. C:\Pfad\*.exe). |
| "C\Users\Download\webex\*" | Ein \* sollte am Ende eines Pfades nicht gesetzt werden, da AppLocker dies automatisch macht. |