Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

für Benutzer nur bestimmte Software zulassen (portable Software verhindern)

Frage Microsoft Windows Userverwaltung

Mitglied: Frank-N

Frank-N (Level 1) - Jetzt verbinden

05.09.2008, aktualisiert 15:13 Uhr, 9620 Aufrufe, 12 Kommentare

Ich betreue ein Netzwerk in einer öffentlichen Einrichtung, wo u.a. viele Kinder und Jugendliche, sowie Praktikanten tätig sind. Leider stelle ich immer wieder fest, dass manche sich selbst Software zu installieren versuchen* oder portable Software einsetzen. Ich möchte das gern grundsätzlich verhindern. Da immer wieder neue Jugendliche dort sind, klappt es nicht auf der Basis von Belehrungen. Die dort Angestellten können es nicht kontrollieren.

(* da es in C:\Programme wegen der eingeschränkten Zugriffsrechte nicht geht, verstecken es die lieben Kids dann sonstwo, was die Suche für mich weiter erschwert)

Wie kann ich erreichen, dass ausschließlich das Ausführen von Software zugelassen wird, die im Ordner C:\Programme installiert ist? (Bzw. in andern von mir definierten Ordnern). Gibt es da eine Möglichkeit über Gruppenrichtlinien?

Technik:
1 Server: Win2003 Standard, R2
ca 45 Clients: alle WinXP Prof, SP3
Mitglied: Iwan
05.09.2008 um 11:36 Uhr
hallo,

für was werden die PCs denn genutzt? für ein bischen Inet oder auch richtig zum dran arbeiten?
mir fällt da im Moment lediglich der Kiosk-Modus zu ein
Bitte warten ..
Mitglied: 45877
05.09.2008 um 11:42 Uhr
Wie wäre es per gpo einfach usb sticks zu verbieten?

ansonsten wird dir wohl nur zusatzsoftware wirklich weiterhelfen.

z.b. pointsec protector o.ä.
Bitte warten ..
Mitglied: Frank-N
05.09.2008 um 12:09 Uhr
Nein, USB-Ports zu verbieten würde nicht funktionieren, da wir zu viele Geräte benutzen, die USB benötigen (z.B. digitale Reportagegeräte oder Digitalkameras)
Bitte warten ..
Mitglied: Frank-N
05.09.2008 um 12:16 Uhr
@Iwan - Unter anderem für Internet, aber auch für Videoschnitt, Audioschnitt und Bildbearbeitung und natürlich Officeanwendungen.

Über den Kiosk-Modus hatte ich auch schonnachgedacht, allerdings kamen damit auch wieder einige Nachteile dazu (die ich jetzt aber nicht mehr im Gedächtnis habe).

Ich habe inzwischen noch einen Hinweis gefunden, den ich soeben teste:
http://www.uni-rostock.de/Rechenzentrum/sware/WindowsNT/Security/SoftRe ...

Mal sehen, ob es funktioniert.
Bitte warten ..
Mitglied: bitstash
05.09.2008 um 12:30 Uhr
Sperre doch grundsätzlich erstmal alle Programme und gib dann nur diese frei, die auch verwendet werden dürfen. Das ganze über die lokalen GPO:

Benutzerkonf. > Administrative Vorlagen > System > Nur zugelassene Windows-Anwendungen ausführen

diesen Punkt aktivieren und dann die Programme aufnehmen, die benutzt werden dürfen.

Hat nur einen Haken: kommt jemand mit genügend Grundkenntnissen daher und benennt die Executable seines Programms in eine freigegebene Anwendung bspw. Word.exe um, so kann er seine Anwendung wieder ausführen. Aber wie schon oben beschrieben ... da hilft ggf. nur Zusatzsoftware.

In jedem Fall einfacher, als immer wieder neue zu sperrende Anwendungen aufzunehmen. Hoffe das hilft dir...

Gruß
Bitte warten ..
Mitglied: jadefalke
05.09.2008 um 14:05 Uhr
Ich denke auch dass ohne Zusatzsoftware nur das Sperren von USB, CDROM, Diskettenlaufwerk helfen kann.
Dies kann man natürlich Gruppenbezoggen machen mit Gruppenrichtlinien

Wenn das möglich ist, gebe nur bestimmte Rechner die Möglichkeit über USB Daten von Digicams etc auf ein freigegebenes Laufwerk kopieren zu dürfen.

Das kopieren von Daten müsste man natürlich auch kontrollieren, sprich Admin, oder Dozent (oder Verantwortlicher) macht das oder überwacht das Kopieren von Daten. (Das freigeben der USB Ports wäre ja User bezogen, sprich ein Dozent hätte ja andere Berechtigung als User1, User2 etc)

Somit hat man etwas Kontrolle darüber was auf den Clients passiert darf.
Wenn mal wieder eine Schadsoftware auftaucht kannst du es schneller eingrenzen.
Sind das Klassenräume oder wie hat man sich die 45 PC´s vorzustellen?

Es ist aber so dass der Großteil der User eben über USB oder CDROM keine Software mehr aufspielen können.
Je nachdem wie sehr man darauf angewiesen ist Daten von Digicams zu kopieren, kann es auch kontraproduktiv sein.
Bitte warten ..
Mitglied: Frank-N
05.09.2008 um 14:51 Uhr
Das klappt leider alles so bei uns nicht. Wir sind so etwas wie ein Offener Kanal:
http://www.saek.de/psk/saek/powerslave,id,4,nodeid,4.html?PHPSESSID=g9k ...
Da werden u.a. Radiobeiträge gemacht. Das bedeutet, dass auch abends Leute hier Sendungen machen, die sich Musik auf diversen Trägern mitbringen (MP3Player, CDs) manche wollen sich eine fertige Produktion brennen. Ich kann hier unmöglich alle USB-Ports sperren, zumal die meisten Mäuse über USB angeschlossen sind. Dann würden die Leute jedesmal die Maus abziehen... Wir haben auch einen Fernsehbereich - dort bringen oft Leute ihre Produktionen auf externer Festplatte mit oder möchten hier produziertes so mitnehmen. Dann gibt's Kurse zu verschiedene Themen... Da ich allein als Techniker/Admin hier bin, kann ich unmöglich immer bei jeder Kleinigkeit dabei sein. Da hätte ich ja noch mehr zu tun, als jetzt beim Aufspüren gelegentlicher "illegaler" ICQ oder Skype-Installationen.
Bitte warten ..
Mitglied: 45877
05.09.2008 um 14:53 Uhr
man kann per gpo verbieten, dass usb als massenspeicher angesprochen wird.
per zusatzsoftware kannst du z.b. einschrnken, was für dateitypen auf den rechner kopiert werden dürfen, z.b. nur mp3, wav usw. aber keine zip, exe, rar.
Bitte warten ..
Mitglied: Frank-N
05.09.2008 um 14:55 Uhr
Zitat von bitstash:
Sperre doch grundsätzlich erstmal alle Programme und gib dann nur
diese frei, die auch verwendet werden dürfen. Das ganze über
die lokalen GPO:

Benutzerkonf. > Administrative Vorlagen > System > Nur
zugelassene Windows-Anwendungen ausführen

diesen Punkt aktivieren und dann die Programme aufnehmen, die benutzt
werden dürfen.

Hat nur einen Haken: kommt jemand mit genügend Grundkenntnissen
daher und benennt die Executable seines Programms in eine freigegebene
Anwendung bspw. Word.exe um, so kann er seine Anwendung wieder
ausführen. Aber wie schon oben beschrieben ... da hilft ggf. nur
Zusatzsoftware.

In jedem Fall einfacher, als immer wieder neue zu sperrende
Anwendungen aufzunehmen. Hoffe das hilft dir...

Gruß

Ich glaube, in der Richtung werde ich mir das mal durchdenken. Ich habe das soeben kurz getestet. Muss man da auch alle *.exe- Dateien im Windows-Verzeichnis mit in die whitelist aufnehmen? Als ich soeben testweise nur noch ein Programm (Word) in dieser Liste hatte, konnte ich dieses starten, alle anderen nicht, aber den Windows-Explorer auch nicht. Zumindest nicht über seine entsprechende Desktopverknüpfung. Über "Arbeitsplatz" ging es seltsamerweise.
Bitte warten ..
Mitglied: bitstash
05.09.2008 um 15:00 Uhr
Er hat doch nun schon öfter gesagt, dass es NICHT möglich ist den USB-Port zu blockieren. Die Karten der Digicams werden meist auch als Massenspeicher erkannt, also was soll das bringen?

MusterMax zu deiner Frage: Ja du mußt auch die windowsspezifischen Anwendungen wie explorer.exe etc. mit aufnehmen. Lästig, aber wenn du die Liste kompletiert hast, kannst du diese exportieren und auf anderen Rechnern auch nutzen.
Bitte warten ..
Mitglied: Frank-N
05.09.2008 um 15:07 Uhr
Zitat von bitstash:
>Ja du mußt auch die
windowsspezifischen Anwendungen wie explorer.exe etc. mit aufnehmen.
Lästig, aber wenn du die Liste kompletiert hast, kannst du diese
exportieren und auf anderen Rechnern auch nutzen.

Aha. Naja, das Erfassen aller exe-Dateien dürfte sich ja mit Programmen wie DirList letzlich relativ einfach machen lassen. So hat man es gleich als Textdatei und kann es einfach kopieren.
Bitte warten ..
Mitglied: bitstash
05.09.2008 um 15:13 Uhr
Die Windowseigenen Anwendungen lassen sich aber oft auch weiterhin über die üblichen Wege startetn. Nur das aufrufen über selbst angelegte Verknüpfungen etc. wird dann problematisch. Verwende einfach das klassische Startmenü, so dass die Systemeigene Verlinkung wieder auf dem Desktop erscheint. Da meckert Windows dann auch trotz Sperre nicht mehr.
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Windows Netzwerk
Lokale Anmeldung an Server zulassen trotz GPO mit lokalem Benutzer (2)

Frage von jochenmuell zum Thema Windows Netzwerk ...

Sicherheits-Tools
gelöst 2 faktor authentifizierung windows domäne nur bestimmte benutzer (7)

Frage von kal10bach zum Thema Sicherheits-Tools ...

Windows Server
gelöst Ausnahmeregeln in GPOs für bestimmte Benutzer in der Domäne priorisieren aber wie? (3)

Frage von ITCrowdSupporter zum Thema Windows Server ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...