Anti-Ransom nutzt unter Windows 11 die Technologie von Applocker zur Regelerstellung. Diese unterstützt im Gegensatz zum Vorgänger SRP, KEINE Umgebungsvariablen.
AppLocker uses path variables for well-known directories in Windows. Path variables aren't environment variables. The AppLocker engine can only interpret AppLocker path variables.
Quelle:
(AppLocker verwendet Pfadvariablen für bekannte Verzeichnisse in Windows. Pfadvariablen sind keine Umgebungsvariablen. Die AppLocker-Engine kann nur AppLocker-Pfadvariablen interpretieren.)
Aktuelle Pfadvariablen die unterstützt sind sind folgende (für eine aktuelle Liste immer obige Quelle prüfen)
| Windows Verzeichnis | Pfadvariable | Pendant Umgebungsvariable |
|---|---|---|
| Windows | %WINDIR% | %SystemRoot% |
| System32 und sysWOW64 | %SYSTEM32% | %SystemDirectory% |
| Windows Installationspartition | %OSDRIVE% | %SystemDrive% |
| Program Files | %PROGRAMFILES% | %ProgramFiles% und %ProgramFiles(x86)% |
| Externe Datenträger (Diskette, CD) | %REMOVABLE% | |
| Removable storage device (USB Stick etc) | %HOT% |
Wie löse ich eine Freigabe von Benutzervariablen?
Will ich zum Beispiel so etwas lösen wie %LOCALAPPDATA\MYApp\MyProgramm.exe , dann muss ich in Applocker bzw. Anti-Ransom unter Windows 11 mit Wildcards arbeiten. Also hier wäre zu benutzen C:\Users\*\MYApp\MyProgramm.exe.
Unterschiede der Möglichkeiten bei Pfaden in Applocker
Generell ist Applocker deutlich restriktiver als SAFER , was sich auch auf die Regelerstellung auswirkt. Da Applocker nur als gesamter Satz aktiviert werden kann , hat eine fehlerhafte Regel Impact auf die komplette Freigabe. Regeln die Probleme machen können ( aber vorher problemlos gingen) sind zum Beispiel folgende Varianten:
Regel | Erklärung |
| *\pcvisit.exe | Generelle Freigaben einer Datei egal wo sie liegt, sind sicherheitstechnisch schwierig + so nicht möglich. Der Pfad darf nicht mit einem * beginnen. Ein Pfad muss mit einem Laufwerksbuchstaben (C:\), einer Umgebungsvariable (%ENVVAR%) oder einem UNC-Pfad (\\Server\Freigabe) beginnen |
| "C\Users\*\webex\webex*.exe" - | Platzhalter * darf nur ganze Verzeichnisse oder Dateinamen ersetzen, aber nicht nur Teile. (z. B. C:\Pfad\*.exe). |