12
für Benutzer nur bestimmte Software zulassen (portable Software verhindern)
Ich betreue ein Netzwerk in einer öffentlichen Einrichtung, wo u.a. viele Kinder und Jugendliche, sowie Praktikanten tätig sind. Leider stelle ich immer wieder fest, dass manche sich selbst Software zu installieren versuchen* oder portable Software einsetzen. Ich möchte das gern grundsätzlich verhindern. Da immer wieder neue Jugendliche dort sind, klappt es nicht auf der Basis von Belehrungen. Die dort Angestellten können es nicht kontrollieren.
(* da es in C:\Programme wegen der eingeschränkten Zugriffsrechte nicht geht, verstecken es die lieben Kids dann sonstwo, was die Suche für mich weiter erschwert)
Wie kann ich erreichen, dass ausschließlich das Ausführen von Software zugelassen wird, die im Ordner C:\Programme installiert ist? (Bzw. in andern von mir definierten Ordnern). Gibt es da eine Möglichkeit über Gruppenrichtlinien?
Technik:
1 Server: Win2003 Standard, R2
ca 45 Clients: alle WinXP Prof, SP3
(* da es in C:\Programme wegen der eingeschränkten Zugriffsrechte nicht geht, verstecken es die lieben Kids dann sonstwo, was die Suche für mich weiter erschwert)
Wie kann ich erreichen, dass ausschließlich das Ausführen von Software zugelassen wird, die im Ordner C:\Programme installiert ist? (Bzw. in andern von mir definierten Ordnern). Gibt es da eine Möglichkeit über Gruppenrichtlinien?
Technik:
1 Server: Win2003 Standard, R2
ca 45 Clients: alle WinXP Prof, SP3
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 96193
Url: https://administrator.de/contentid/96193
Printed on: April 28, 2024 at 22:04 o'clock
12 Comments
Latest comment
hallo,
für was werden die PCs denn genutzt? für ein bischen Inet oder auch richtig zum dran arbeiten?
mir fällt da im Moment lediglich der Kiosk-Modus zu ein
für was werden die PCs denn genutzt? für ein bischen Inet oder auch richtig zum dran arbeiten?
mir fällt da im Moment lediglich der Kiosk-Modus zu ein
Wie wäre es per gpo einfach usb sticks zu verbieten?
ansonsten wird dir wohl nur zusatzsoftware wirklich weiterhelfen.
z.b. pointsec protector o.ä.
ansonsten wird dir wohl nur zusatzsoftware wirklich weiterhelfen.
z.b. pointsec protector o.ä.
Nein, USB-Ports zu verbieten würde nicht funktionieren, da wir zu viele Geräte benutzen, die USB benötigen (z.B. digitale Reportagegeräte oder Digitalkameras)
@Iwan - Unter anderem für Internet, aber auch für Videoschnitt, Audioschnitt und Bildbearbeitung und natürlich Officeanwendungen.
Über den Kiosk-Modus hatte ich auch schonnachgedacht, allerdings kamen damit auch wieder einige Nachteile dazu (die ich jetzt aber nicht mehr im Gedächtnis habe).
Ich habe inzwischen noch einen Hinweis gefunden, den ich soeben teste:
http://www.uni-rostock.de/Rechenzentrum/sware/WindowsNT/Security/SoftRe ...
Mal sehen, ob es funktioniert.
Über den Kiosk-Modus hatte ich auch schonnachgedacht, allerdings kamen damit auch wieder einige Nachteile dazu (die ich jetzt aber nicht mehr im Gedächtnis habe).
Ich habe inzwischen noch einen Hinweis gefunden, den ich soeben teste:
http://www.uni-rostock.de/Rechenzentrum/sware/WindowsNT/Security/SoftRe ...
Mal sehen, ob es funktioniert.
Sperre doch grundsätzlich erstmal alle Programme und gib dann nur diese frei, die auch verwendet werden dürfen. Das ganze über die lokalen GPO:
Benutzerkonf. > Administrative Vorlagen > System > Nur zugelassene Windows-Anwendungen ausführen
diesen Punkt aktivieren und dann die Programme aufnehmen, die benutzt werden dürfen.
Hat nur einen Haken: kommt jemand mit genügend Grundkenntnissen daher und benennt die Executable seines Programms in eine freigegebene Anwendung bspw. Word.exe um, so kann er seine Anwendung wieder ausführen. Aber wie schon oben beschrieben ... da hilft ggf. nur Zusatzsoftware.
In jedem Fall einfacher, als immer wieder neue zu sperrende Anwendungen aufzunehmen. Hoffe das hilft dir...
Gruß
Benutzerkonf. > Administrative Vorlagen > System > Nur zugelassene Windows-Anwendungen ausführen
diesen Punkt aktivieren und dann die Programme aufnehmen, die benutzt werden dürfen.
Hat nur einen Haken: kommt jemand mit genügend Grundkenntnissen daher und benennt die Executable seines Programms in eine freigegebene Anwendung bspw. Word.exe um, so kann er seine Anwendung wieder ausführen. Aber wie schon oben beschrieben ... da hilft ggf. nur Zusatzsoftware.
In jedem Fall einfacher, als immer wieder neue zu sperrende Anwendungen aufzunehmen. Hoffe das hilft dir...
Gruß
Ich denke auch dass ohne Zusatzsoftware nur das Sperren von USB, CDROM, Diskettenlaufwerk helfen kann.
Dies kann man natürlich Gruppenbezoggen machen mit Gruppenrichtlinien
Wenn das möglich ist, gebe nur bestimmte Rechner die Möglichkeit über USB Daten von Digicams etc auf ein freigegebenes Laufwerk kopieren zu dürfen.
Das kopieren von Daten müsste man natürlich auch kontrollieren, sprich Admin, oder Dozent (oder Verantwortlicher) macht das oder überwacht das Kopieren von Daten. (Das freigeben der USB Ports wäre ja User bezogen, sprich ein Dozent hätte ja andere Berechtigung als User1, User2 etc)
Somit hat man etwas Kontrolle darüber was auf den Clients passiert darf.
Wenn mal wieder eine Schadsoftware auftaucht kannst du es schneller eingrenzen.
Sind das Klassenräume oder wie hat man sich die 45 PC´s vorzustellen?
Es ist aber so dass der Großteil der User eben über USB oder CDROM keine Software mehr aufspielen können.
Je nachdem wie sehr man darauf angewiesen ist Daten von Digicams zu kopieren, kann es auch kontraproduktiv sein.
Dies kann man natürlich Gruppenbezoggen machen mit Gruppenrichtlinien
Wenn das möglich ist, gebe nur bestimmte Rechner die Möglichkeit über USB Daten von Digicams etc auf ein freigegebenes Laufwerk kopieren zu dürfen.
Das kopieren von Daten müsste man natürlich auch kontrollieren, sprich Admin, oder Dozent (oder Verantwortlicher) macht das oder überwacht das Kopieren von Daten. (Das freigeben der USB Ports wäre ja User bezogen, sprich ein Dozent hätte ja andere Berechtigung als User1, User2 etc)
Somit hat man etwas Kontrolle darüber was auf den Clients passiert darf.
Wenn mal wieder eine Schadsoftware auftaucht kannst du es schneller eingrenzen.
Sind das Klassenräume oder wie hat man sich die 45 PC´s vorzustellen?
Es ist aber so dass der Großteil der User eben über USB oder CDROM keine Software mehr aufspielen können.
Je nachdem wie sehr man darauf angewiesen ist Daten von Digicams zu kopieren, kann es auch kontraproduktiv sein.
Das klappt leider alles so bei uns nicht. Wir sind so etwas wie ein Offener Kanal:
http://www.saek.de/psk/saek/powerslave,id,4,nodeid,4.html?PHPSESSID=g9k ...
Da werden u.a. Radiobeiträge gemacht. Das bedeutet, dass auch abends Leute hier Sendungen machen, die sich Musik auf diversen Trägern mitbringen (MP3Player, CDs) manche wollen sich eine fertige Produktion brennen. Ich kann hier unmöglich alle USB-Ports sperren, zumal die meisten Mäuse über USB angeschlossen sind. Dann würden die Leute jedesmal die Maus abziehen... Wir haben auch einen Fernsehbereich - dort bringen oft Leute ihre Produktionen auf externer Festplatte mit oder möchten hier produziertes so mitnehmen. Dann gibt's Kurse zu verschiedene Themen... Da ich allein als Techniker/Admin hier bin, kann ich unmöglich immer bei jeder Kleinigkeit dabei sein. Da hätte ich ja noch mehr zu tun, als jetzt beim Aufspüren gelegentlicher "illegaler" ICQ oder Skype-Installationen.
http://www.saek.de/psk/saek/powerslave,id,4,nodeid,4.html?PHPSESSID=g9k ...
Da werden u.a. Radiobeiträge gemacht. Das bedeutet, dass auch abends Leute hier Sendungen machen, die sich Musik auf diversen Trägern mitbringen (MP3Player, CDs) manche wollen sich eine fertige Produktion brennen. Ich kann hier unmöglich alle USB-Ports sperren, zumal die meisten Mäuse über USB angeschlossen sind. Dann würden die Leute jedesmal die Maus abziehen... Wir haben auch einen Fernsehbereich - dort bringen oft Leute ihre Produktionen auf externer Festplatte mit oder möchten hier produziertes so mitnehmen. Dann gibt's Kurse zu verschiedene Themen... Da ich allein als Techniker/Admin hier bin, kann ich unmöglich immer bei jeder Kleinigkeit dabei sein. Da hätte ich ja noch mehr zu tun, als jetzt beim Aufspüren gelegentlicher "illegaler" ICQ oder Skype-Installationen.
man kann per gpo verbieten, dass usb als massenspeicher angesprochen wird.
per zusatzsoftware kannst du z.b. einschrnken, was für dateitypen auf den rechner kopiert werden dürfen, z.b. nur mp3, wav usw. aber keine zip, exe, rar.
per zusatzsoftware kannst du z.b. einschrnken, was für dateitypen auf den rechner kopiert werden dürfen, z.b. nur mp3, wav usw. aber keine zip, exe, rar.
Zitat von @bitstash:
Sperre doch grundsätzlich erstmal alle Programme und gib dann nur
diese frei, die auch verwendet werden dürfen. Das ganze über
die lokalen GPO:
Benutzerkonf. > Administrative Vorlagen > System > Nur
zugelassene Windows-Anwendungen ausführen
diesen Punkt aktivieren und dann die Programme aufnehmen, die benutzt
werden dürfen.
Hat nur einen Haken: kommt jemand mit genügend Grundkenntnissen
daher und benennt die Executable seines Programms in eine freigegebene
Anwendung bspw. Word.exe um, so kann er seine Anwendung wieder
ausführen. Aber wie schon oben beschrieben ... da hilft ggf. nur
Zusatzsoftware.
In jedem Fall einfacher, als immer wieder neue zu sperrende
Anwendungen aufzunehmen. Hoffe das hilft dir...
Gruß
Sperre doch grundsätzlich erstmal alle Programme und gib dann nur
diese frei, die auch verwendet werden dürfen. Das ganze über
die lokalen GPO:
Benutzerkonf. > Administrative Vorlagen > System > Nur
zugelassene Windows-Anwendungen ausführen
diesen Punkt aktivieren und dann die Programme aufnehmen, die benutzt
werden dürfen.
Hat nur einen Haken: kommt jemand mit genügend Grundkenntnissen
daher und benennt die Executable seines Programms in eine freigegebene
Anwendung bspw. Word.exe um, so kann er seine Anwendung wieder
ausführen. Aber wie schon oben beschrieben ... da hilft ggf. nur
Zusatzsoftware.
In jedem Fall einfacher, als immer wieder neue zu sperrende
Anwendungen aufzunehmen. Hoffe das hilft dir...
Gruß
Ich glaube, in der Richtung werde ich mir das mal durchdenken. Ich habe das soeben kurz getestet. Muss man da auch alle *.exe- Dateien im Windows-Verzeichnis mit in die whitelist aufnehmen? Als ich soeben testweise nur noch ein Programm (Word) in dieser Liste hatte, konnte ich dieses starten, alle anderen nicht, aber den Windows-Explorer auch nicht. Zumindest nicht über seine entsprechende Desktopverknüpfung. Über "Arbeitsplatz" ging es seltsamerweise.
Er hat doch nun schon öfter gesagt, dass es NICHT möglich ist den USB-Port zu blockieren. Die Karten der Digicams werden meist auch als Massenspeicher erkannt, also was soll das bringen?
MusterMax zu deiner Frage: Ja du mußt auch die windowsspezifischen Anwendungen wie explorer.exe etc. mit aufnehmen. Lästig, aber wenn du die Liste kompletiert hast, kannst du diese exportieren und auf anderen Rechnern auch nutzen.
MusterMax zu deiner Frage: Ja du mußt auch die windowsspezifischen Anwendungen wie explorer.exe etc. mit aufnehmen. Lästig, aber wenn du die Liste kompletiert hast, kannst du diese exportieren und auf anderen Rechnern auch nutzen.
Zitat von @bitstash:
Ja du mußt auch die
windowsspezifischen Anwendungen wie explorer.exe etc. mit aufnehmen.
Lästig, aber wenn du die Liste kompletiert hast, kannst du diese
exportieren und auf anderen Rechnern auch nutzen.
Ja du mußt auch die
windowsspezifischen Anwendungen wie explorer.exe etc. mit aufnehmen.
Lästig, aber wenn du die Liste kompletiert hast, kannst du diese
exportieren und auf anderen Rechnern auch nutzen.
Aha. Naja, das Erfassen aller exe-Dateien dürfte sich ja mit Programmen wie DirList letzlich relativ einfach machen lassen. So hat man es gleich als Textdatei und kann es einfach kopieren.
Die Windowseigenen Anwendungen lassen sich aber oft auch weiterhin über die üblichen Wege startetn. Nur das aufrufen über selbst angelegte Verknüpfungen etc. wird dann problematisch. Verwende einfach das klassische Startmenü, so dass die Systemeigene Verlinkung wieder auf dem Desktop erscheint. Da meckert Windows dann auch trotz Sperre nicht mehr.
