Alle Programme bis auf eine Auswahl verbieten

In diesem Artikel in der aktuellen Ausgabe 7/04 stellt Christian Löbering ein HTA-Script vor, mit dem man Benutzern auf der Basis einer 'Whitelist' das Ausführen nur weniger Programme erlauben und alle anderen Programme verbieten kann.
Man muss sagen, dass ein solches Szenario doch eher eine seltene Ausnahme in Umgebungen mit extrem hohen Sicherheitsansprüchen sein wird. Im Normalfall wird man ein Interesse daran haben, die Programme, die nicht ausgeführt werden sollen, auf der Basis einer 'Blacklist' auszuschließen und damit dann alle anderen zu erlauben. Die Whitelist-Strategie ist nämlich mit einem erheblichen Aufwand verbunden, auf den im Artikel leider nicht weiter hingewiesen wird. Der Admin muss nämlich eine Liste der prinzipiell verfügbaren exes auf dem Rechner haben und zwar mit dem exakten Dateinamen. Microsoft weist in der XP Pro-Version selbst auf diese Problematik hin und empfielt bezüglich der restriction policies die umgekehrte Vorgehensweise, denn mit der XP Pro-Version hat man auch die Möglichkeit, auf der Basis einer solchen 'Blacklist', eine Zugangsbeschränkung festzulegen.