9
GPO- "angegebene Windows-Anwendungen nicht ausführen" (Sicherheitslücke)
Hey,
Ich bin neu und hätte eine Frage.
Ich habe einen Windows 2012 R2 Server aufgesetzt und bin gerade dabei mich in Gruppenrichtlinien hineinzulesen.
Da kam mir die Richtlinie "Angegebene Windows-Anwendung nicht ausführen" in den Kopf.
In meinem fall ist die anwendung die nicht ausgeführt werden soll Notepad.exe.
Allerdings könnte der User doch einfach die Anwendung umbennen und dann starten was eine riesige Sicherheitslücke enstehen lässt.
Genauso könnte er auch über CMD Notepad.exe ausführen.
Jetzt ist meine Frage welche optionen gibt es um das alles mit Gpo einzuschränken.
lg, Txgrey
Ich bin neu und hätte eine Frage.
Ich habe einen Windows 2012 R2 Server aufgesetzt und bin gerade dabei mich in Gruppenrichtlinien hineinzulesen.
Da kam mir die Richtlinie "Angegebene Windows-Anwendung nicht ausführen" in den Kopf.
In meinem fall ist die anwendung die nicht ausgeführt werden soll Notepad.exe.
Allerdings könnte der User doch einfach die Anwendung umbennen und dann starten was eine riesige Sicherheitslücke enstehen lässt.
Genauso könnte er auch über CMD Notepad.exe ausführen.
Jetzt ist meine Frage welche optionen gibt es um das alles mit Gpo einzuschränken.
lg, Txgrey
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 316425
Url: https://administrator.de/contentid/316425
Printed on: April 18, 2024 at 07:04 o'clock
9 Comments
Latest comment
Wie kann der Aw Notepad umbenennen?
Nur mit Adminrechten....
Nur mit Adminrechten....
Hi,
ja, wenn Du diese einfach Einstellung nimmst, dann kann er die EXE auf seinen Desktop kopieren, umbennen und starten.
Schau mal
Computerkonfiguration - Richtlinien - Windows Einstellungen - Sicherheitseinstellungen - Richtlinien für Softwareeinschränkungen
Dort kann man Pfad- und/oder Hash-Regeln festlegen.
Bei Hash kann man die Dateien kopieren und umbenennen wie man will, er erkennt sie trozdem. Man muss schon min. ein Byte der Datei ändern, damit sich der Hsch ändert.
E.
ja, wenn Du diese einfach Einstellung nimmst, dann kann er die EXE auf seinen Desktop kopieren, umbennen und starten.
Schau mal
Computerkonfiguration - Richtlinien - Windows Einstellungen - Sicherheitseinstellungen - Richtlinien für Softwareeinschränkungen
Dort kann man Pfad- und/oder Hash-Regeln festlegen.
Bei Hash kann man die Dateien kopieren und umbenennen wie man will, er erkennt sie trozdem. Man muss schon min. ein Byte der Datei ändern, damit sich der Hsch ändert.
E.
Hi.
Die genannte GPO ist nicht als Sicherheitsfeature gedacht. Nimm stattdessen applocker oder emeriks Vorschlag (den Vorgänger von applocker).
Noch weitaus einfacher, falls Du dich nicht gegen ein portables notepad schüzten willst, sondern lediglich vor Benutzung des eingebauten: NTFS-Leserechte auf die notepad.exe für User entfernen.
Die genannte GPO ist nicht als Sicherheitsfeature gedacht. Nimm stattdessen applocker oder emeriks Vorschlag (den Vorgänger von applocker).
Noch weitaus einfacher, falls Du dich nicht gegen ein portables notepad schüzten willst, sondern lediglich vor Benutzung des eingebauten: NTFS-Leserechte auf die notepad.exe für User entfernen.
Ist allerdings leider beides enterprise exklusiv
Hä?
Weder Applocker noch emeriks Software restriction Policies sind enterprise-exklusiv. Wir reden von einem Server OS. Auf einem Client-OS sieht das anders aus, da gibt es kein applocker ohne enterprise-Lizenz.
Weder Applocker noch emeriks Software restriction Policies sind enterprise-exklusiv. Wir reden von einem Server OS. Auf einem Client-OS sieht das anders aus, da gibt es kein applocker ohne enterprise-Lizenz.
Auf einem Client-OS sieht das anders aus, da gibt es kein applocker ohne enterprise-Lizenz.
Aber die Vorgänger-Version "Richtlinien für Softwareeinschränkungen"
Ja, auf dem Server selbst klappt es natürlich so
Wie kann man auf Windows Server 2022 einstellen das Administratoren weiterhin die Programme was auf der Blacklist trotzdem öffnen können?
Also nur normale User betrifft dann die Blockade
Also nur normale User betrifft dann die Blockade
Die Regeln sehen doch vor, dass man angibt, für wen was gilt. Dein Missverständnis ist evtl., dass du eine Regel hast "Administratoren dürfen alles", aber diese Regel nicht zieht. Das liegt an der UAC. Ist die an, sind Admins erst nach Elevation echte Admins. Rechtsklicken also eine Anwendung und wähle "als Administrator ausführen". Oder erstelle eine eigene Gruppe "Applockeradmins" und arbeite mit dieser.
