Die integrierten Systemdienste (wie z. B. Windows-Update oder Windows-Zeitgeber) stellen grundlegende Systemfunktionen und Systemoptionen zur Verfügung und werden ggf. von Apps für die Ausführung benötigt. Für einen besseren Schutz des Systems können für integrierte Systemdienste, die in svchost.exe-Prozessen gehostet werden, strengere Sicherheitsrichtlinien aktiviert werden. D.h. alle geladenen Dateien müssen digital signiert sein und dynamisch generierter Programmcode ist nicht zugelassen.

So geht's:

• Starten Sie "%windir%\regedit.exe" bzw. "%windir%\regedt32.exe".
• Klicken Sie sich durch folgende Schlüssel (Ordner) hindurch:
  HKEY_LOCAL_MACHINE
  System
  CurrentControlSet
  Control
  SCMConfig
  Falls die letzten Schlüssel noch nicht existieren, dann müssen Sie diese erstellen. Dazu klicken Sie mit der rechten Maustaste in das rechte Fenster. Im Kontextmenü wählen Sie "Neu" > "Schlüssel".
• Doppelklicken Sie auf den Schlüssel "EnableSvchostMitigationPolicy".
  Falls dieser Schlüssel noch nicht existiert, dann müssen Sie ihn erstellen. Dazu klicken Sie mit der rechten Maustaste in das rechte Fenster. Im Kontextmenü wählen Sie "Neu" > "DWORD-Wert" (REG_DWORD). Als Schlüsselnamen geben Sie "EnableSvchostMitigationPolicy" ein.
• Ändern Sie den Wert ggf. von "0" (deaktiviert) auf "1" (aktiviert).
• Die Änderungen werden ggf. erst nach einem Neustart aktiv.

Hinweise:

• EnableSvchostMitigationPolicy:
  0 = Für integrierte Systemdienste werden keine strengeren Sicherheitsrichtlinien aktiviert. (Standard)
  1 = Für integrierte Systemdienste (in svchost.exe-Prozessen) werden strengere Sicherheitsrichtlinien aktiviert.
• Ändern Sie bitte nichts anderes in der Registrierungsdatei. Dies kann zur Folge haben, dass Windows und/oder Anwendungsprogramme nicht mehr richtig arbeiten.

Versionshinweis:

• Diese Einstellung gilt erst ab Windows 10 Version 1903.