Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

IE Zugriff verweigen

Frage Microsoft Windows Userverwaltung

Mitglied: ganymed

ganymed (Level 1) - Jetzt verbinden

18.09.2012 um 16:50 Uhr, 3968 Aufrufe, 17 Kommentare

Hallo,

ich möchte einige Tage lang Benutzern den Zugriff auf den IE verweigern.
Alles was ich dazu gefunden habe drehte sich um Terminalserver. Den nutze ich aber nicht.
Umgebung: W2k3 ,Clients von XP über Vista bis Win7 alle in 32 und 64 bit.

Ich möchte nicht die Proxyeinstellungen ändern, denn die werden auch für andere Dinge benötigt.
Einige Programme verwenden dafür die Systemeinstellungen.

Ich habe auch schon mit den Softwarebeschränkungsrichtlinien getestet.
Das funktioniert aber nicht da beißt sich eventuell
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% "Nicht eingeschränkt" und
Der Unterordner Internet Explorer "Nicht erlaubt".

Hat jemand eine Idee was ich machen könnte?

ganymed
Mitglied: Fidel83
18.09.2012, aktualisiert 19.09.2012
Hallo

Applocker ist echt keine Lösung?

http://technet.microsoft.com/en-us/windows/applocker.aspx

LG

edit: Dein Nichterlauben des Ordners vom IE ist nicht korrekt. Erlaube nicht die Ausführung der iexplore.exe. Geht sowohl unter XP, als auch 2k3. Vista und 7 supporten ja sowieso Applocker.
Bitte warten ..
Mitglied: DerWoWusste
18.09.2012, aktualisiert 19.09.2012
Moin.

Beschreib Dein Problem bitte auch für andere nachvollziehbar
Das funktioniert aber nicht
ist so unklar wie nur eben möglich.
Wenn Du mit SRPs umgehen kannst, also alles andere verweigerbar ist (Teste meinetwegen mit calc.exe), dann kann man sich fragen, ob sich da etwas "beißt" - obwohl: kann sich da was beißen? Gehen Erlaubnisse nun vor Verboten, oder nicht? In jedem Fall kannst Du es so lösen.
Auch mit der Verteilung einer ACL für die iexplore.exe wäre es schon getan, das kannst Du im Bereich Sicherheitseinstellungen einer Computer-GPO machen.

@Fidel83:
Zu applocker: Vista kennt noch kein applocker und bei win7 nur Enterprise/Ultimate.
Bitte warten ..
Mitglied: ganymed
19.09.2012 um 08:57 Uhr
Hallo Fidel83,

Dein Link funktioniert leider nicht. "Leider kann die Seite, die Sie angefordert haben, nicht gefunden werden."
Kenne Applocker nicht benutze SRPs in einer Gruppenrichtlinie.
Habe versucht einmal Pfad und einmal exe nicht zu erlauben.
Bitte warten ..
Mitglied: Fidel83
19.09.2012 um 09:03 Uhr
Guten Morgen

Hab meinen Link mal abgeändert. Jedoch hat DerWoWusste auch recht. Applocker funktioniert nur unter Enterprise/Ultimate. Dann musst du die Gruppenrichtlinie mal prüfen. Könnte diese durch eine andere Richtlinie betroffen sein? Gib doch mal die Richtlinie hier bekannt?

LG
Bitte warten ..
Mitglied: ganymed
19.09.2012 um 09:21 Uhr
Hallo DerWoWusste,

mein eigentliches Problem ist, dass ich mir nicht sicher bin, ob SRPs der einzig mögliche Weg dafür sind.
Hier die Langfassung was ich getestet habe und leider nicht funktioniert hat.
Eine neue Organisationseiheit angelegt und einen Testuser hinzu gefügt.
Meine GPO die die SRP enthält exportiert und in eine neue GPO test importiert.
Darin enthalten sind jetzt verschiedene Pfad- und Hashregeln die alles angeben was erlaubt ist.
Alles was dort nicht enthalten ist kann nicht ausgeführt werden. Ist getestet und funktioniert seit Jahren sehr gut.
Diese TestGPO habe ich meiner Test-Organisationseiheit hinzugefügt.
In der TestGPO habe ich zu erst die Pfadregel "C:\Program Files\Internet Explorer\iexplore.exe" nicht erlauben hinzugefügt (Benutzerkonfiguration).
Dann am Client gpupdate und Neustart.
IE lässt sich mit dem Testbenutzer dennoch starten.
Danach kam ich auf die Idee, es heißt ja Pfad- und nicht Dateiregel. Habe also das ganze nochmal mit der Pfadregel "C:\Program Files\Internet Explorer" nicht erlauben gemacht.
Ebenfalls ohne Erfolg.
Als Computerkonfiguration habe ich nicht getestet.
Bitte warten ..
Mitglied: kontext
19.09.2012 um 09:23 Uhr
HeyHo @ganymed,

willst du nur den Zugriff auf den IE blocken oder willst du den Zugriff ins Internet blocken?
Evtl. mal die Firewall bearbeiten und sagen das die IP XY kein HTTP darf ...
... wäre auch noch eine Alternative
... Der Client sollte halt eine Fixe-IP haben und der User darf diese nicht ändern können

Ansonsten wie schon @DerWoWusste geschrieben hat - den Zugriff auf die iexplore.exe delegieren ...
... oder die iexplore.exe umbenennen - müsste ja eig. auch funktionieren, oder?

Cheers
@zanko
Bitte warten ..
Mitglied: Fidel83
19.09.2012 um 09:24 Uhr
Hallo

Du hast ja sowohl 32 als auch 64bit Clients. Hast du da auch beide Browser versucht? Könnte es einfach sein, das du nur den 64bit IE nicht erlaubst, den 32bit aber startest?

LG
Bitte warten ..
Mitglied: DerWoWusste
19.09.2012 um 09:32 Uhr
Ganz simpler Fehler:
Eine neue Organisationseiheit angelegt und einen Testuser hinzu gefügt
SRPs sind computergebunden. Du musst die GPO auf eine OU mit Computerobjekten anwenden.
Bitte warten ..
Mitglied: ganymed
19.09.2012 um 09:54 Uhr
Ihr antwortet ja schneller als ich lesen kann.

@zanko Internet blocken ist nicht gewollt. Die User sollen wegen der aktuellen Lücke im IE bis zum Patch einen alternativen Browser nutzen.

@Fidel83 Der getestete Pfad ist von einem 32bit System und der Testrechner war ein 32bit XP.

@DerWoWusste Kann ich mir eigentlich nicht vorstellen. Die aktuell verwendete SRP ist auch in der Benutzerkonfiguration untergebracht und der Organisationseinheit mit den Benutzern zugeordnet. Das die funktioniert ist mehrfach erwiesen, nähmlich immer dann wenn wieder mal einer versucht hat etwas von CD, Stick oder sonst wo auszuführen und sich dann bei mir beschwert hat, dass es nicht geht.
Bitte warten ..
Mitglied: ganymed
19.09.2012, aktualisiert um 10:22 Uhr
Hier mal die Standard-Richtlinieneinstellungen nachgereicht.

Benutzerkonfiguration (Aktiviert)
-Richtlinien
--Windows-Einstellungen
---Sicherheitseinstellungen
----Softwarebeschränkungsrichtlinien
.....
----Richtlinien für Softwarebeschränkung/Sicherheitsstufen
-----Standard-Sicherheitsstufe Nicht erlaubt
----Richtlinien für Softwarebeschränkung/Zusätzliche Regeln
-----Pfadregeln
------%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% Sicherheitsstufe Nicht eingeschränkt
------%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% Sicherheitsstufe Nicht eingeschränkt
------%LOGONSERVER%/NETLOGON Sicherheitsstufe Nicht eingeschränkt
------%LOGONSERVER%/SYSVOL Sicherheitsstufe Nicht eingeschränkt
........
Diverse Firmenspezifische Software die von Netztwerkfreigaben ausgeführt wird
........
------C:\Program Files Sicherheitsstufe Nicht eingeschränkt
------C:\Program Files (x86) Sicherheitsstufe Nicht eingeschränkt


Kann es sein, dass bei einer Standard-Sicherheitsstufe "Nicht erlaubt" nur Regeln mit "Nicht eingeschränkt" greifen?
Bitte warten ..
Mitglied: DerWoWusste
20.09.2012 um 09:27 Uhr
Ok, mal sortieren.
Du hast zunächst mal Recht, SRPs gibt es auch usergebunden, hatte ich vergessen.
Kann es sein, dass bei einer Standard-Sicherheitsstufe "Nicht erlaubt" nur Regeln mit "Nicht eingeschränkt" greifen?
Richtig. Alles ist verboten, bis auf das erlaubte. Und wenn C:\Program Files (x86)\* erlaubt ist, dann wundert es wenig, warum der IE geht.
Bitte warten ..
Mitglied: kontext
20.09.2012 um 09:31 Uhr
Heyho,

BTW: Microsoft schließt die Sicherheitslücke am Freitag
http://derstandard.at/1347493053609/Microsoft-schliesst-Sicherheitsluec ...

Cheers
@zanko
Bitte warten ..
Mitglied: ganymed
20.09.2012, aktualisiert um 10:12 Uhr
Hallo,

bedeutet also, dass ich auf diese weise keine Möglichkeit habe die Ausführung des IE zu unterbinden.
Da muss ich also weiter auf die Einsicht der Benutzer hoffen, das die nicht doch weiterhin den IE nutzen.
Wer Admin ist kann von Einsicht der Benutzer bestimmt einiges erzählen.
Immerhin ist ja Licht am Ende des Tunnels es gibt bereits ein Fix-it.
Microsoft-flickt-kritische-Internet-Explorer-Luecke
Bitte warten ..
Mitglied: DerWoWusste
20.09.2012 um 10:36 Uhr
bedeutet also, dass ich auf diese weise keine Möglichkeit habe die Ausführung des IE zu unterbinden.
Doch, hast du. Du musst die Defaulteinstellung "Programmpfad erlauben" (das ist die Regel
------C:\Program Files Sicherheitsstufe Nicht eingeschränkt
------C:\Program Files (x86) Sicherheitsstufe Nicht eingeschränkt?
entfernen. Aber Vorsicht: Dann würde nur noch laufen, was Du als startbar definierst.

Deshalb mach es so: Standard-Sicherheitsstufe: uneingeschränkt (oder wie auch immer unrestricted übersetzt ist). Und dann nur noch den IE sperren - fertig.
Bitte warten ..
Mitglied: ganymed
20.09.2012, aktualisiert um 11:04 Uhr
Dann würde ich zwar den IE Sperren hätte damit aber ein riesiges Einfallstor geöffnet.

Beispiel: Einer unserer Azubis bringt mal wieder seinen Stick mit. Ist bei uns nicht verboten. Natürlich steckt er ihn rein und Scannt ihn nicht einmal. Neben diversen Dingen im Autostart befinden sich auch so tolle Dinge wie KeyGen.exe und OfficeKey.pdf.exe da drauf. Da kann er natürlich "nichts" dafür das liegt bestimmt nur daran das die Rechner in der Berufsschule total verseucht sind. ---Unschuldig lächelnd--- Er hat nichts gemacht.

Beispiel 2: UserXY findet das die Programme die wir in der Firma nutzen Mist sind. Er will unbedingt Das Programm EierlegendeWollMilchSau. Nur zu dumm das er nicht selber Installieren darf(Warum nur?). Aber da gibt es doch auch die Portable Version von. Die hat er zwar nur in einer alten Version aber so unsicher wird das schon nicht sein.

Wegen dieser und ähnlicher Szenarien ist die Standard-Sicherheitsstufe Nicht erlaubt. Denn es ist kaum möglich alles zu sperren was nicht sein darf. Die Lösung alles zu erlauben was sein darf ist in diesem Fall leider die einzig praktikable.
Bitte warten ..
Mitglied: DerWoWusste
20.09.2012 um 11:16 Uhr
Du hast von mir zwei Möglichkeiten beschrieben bekommen, nicht nur eine. Wenn Ihr SRPs eh einsetzt (so hatte ich das bislang nicht verstanden), um alles Mögliche zu sperren, dann bleibt natürlich nur eine.
Bitte warten ..
Mitglied: ganymed
20.09.2012, aktualisiert um 11:50 Uhr
@DerWoWusste Danke für deine Mühe mir zu Helfen(natürlich auch an alle anderen). Zusammenfassend denke ich, dass ich mich mit dem Problem nicht weiter rumschlagen muss, da das fix-it raus ist und zumindest für die 32bit Version funktioniert. Dazu kommt das Morgen ohnehin das Update kommen soll. Somit dürfen dann ab Mo. alle wieder den IE nutzen.
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Netzwerke
gelöst Zugriff auf Server von verschiedenen VLANs aus (7)

Frage von Kroeger02 zum Thema Netzwerke ...

Router & Routing
gelöst Kein Zugriff auf Draytek Vigor 3200 Weboberfläche (16)

Frage von halington zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (32)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...