garack
Goto Top

Lokale Sicherheitsrichtlinie mit Admin-Konto konfigurieren

Hallo,

Ich möchte einen Windows 10 64 Prof. Rechner der als Admin eingerichtet ist per Lokaler Sicherheitsrichtlinie das ausführen von Programmen an bestimmten Stellen verbieten.

Wenn ein Nutzer als Standardnutzer angemeldet ist geht das recht einfach:

Im Windows-Suchfeld einfach mal eintippen: secpol.msc
Jetzt per Rechtsklick schonmal einen Shortcut zum Desktop anlegen und als Admin ausführen.

2) Hier nun "Richtlinien für Softwareeinschränkung" per Rechtsklick aktivieren  

3) Jetzt unter "Sicherheitsstufen" den "Standardnutzer" als Standardssicherheitsstufe aktivieren.  

Das funktioniert gut. Nun bin ich aber als Admin angemeldet und kann dann alle Programme ausführen.

Daher habe ich in der Sicherheitsstufe nun "Nicht erlaubt" als Standard gesetzt. Was nun passiert: Ich kann alle installierten Programme ausführen, das ist ok.
Ich kann autoruns vom Desktop ausführen , das ist nicht ok, denn unter zusätzliche Regeln habe ich nichts geändert, dort sind nur die Pfade SystemRoot und ProgramFilesDir eingetragen.

Unter Downloads liegt ein Programm welches man installieren kann, dieses kann ich , wie gewünscht nicht ausführen.. Hier liegt auch Putty.exe , kann ich ausführen, das ist nicht gewünscht.

Warum kann ich autoruns oder putty ausführen? Ich möchte das der Admin nur ProgramFiles und SystemRoot ausführen kann. ( Egal ob das Sinn macht, klar sollte ein Nutzer nur Standard-Rechte bekommen)

Content-Key: 323127

Url: https://administrator.de/contentid/323127

Ausgedruckt am: 19.03.2024 um 05:03 Uhr

Mitglied: Kraemer
Kraemer 07.12.2016 aktualisiert um 16:28:54 Uhr
Goto Top
Moin,

das was du da vor hast ist schizophren.
Der Admin darf alles. Punkt. Das stimmt zwar nicht 100% - die Info sollte für dich aber reichen.
Lege einen Benutzer an und gut ist. Als Admin "arbeitet" man schlicht nicht mit einem Rechner.

Gruß Krämer
Mitglied: garack
garack 07.12.2016 aktualisiert um 16:34:47 Uhr
Goto Top
Hallo Krämer,

Das weiß ich schon, siehe oben.

Mein Frage ist aber ob das so geht wie ich es vorhabe und wenn ja wie.
Mitglied: DerWoWusste
DerWoWusste 07.12.2016 aktualisiert um 16:37:14 Uhr
Goto Top
Hi.

Nimm eben nicht Standard sondern "disallowed". Dann konfigurierst Du Dir Ausnahmen und stellst noch bei "Enforcement" ein, dass es für alle gilt und gut ist. Ob man aber den Admin einschränken sollte, darüber lässt sich streiten.
Mitglied: garack
garack 07.12.2016 aktualisiert um 16:57:47 Uhr
Goto Top
Hi,

Nicht erlaubt ist eingestellt.

unter Erzwingen steht das bei mir so:

Richtlinien für Softwareeinschränkungen auf folgende Benutzer beziehen:

Alle Benutzer

Damit sollte es auch Admins betreffen.

Zusätzliche Regeln sind wie gesagt ProgramFiles und SystemRoot als nicht eingeschränkt.

alles andere sollte doch nun geblockt werden?

Trotzdem kann ich autoruns vom desktop ausführen.
Mitglied: DerWoWusste
Lösung DerWoWusste 07.12.2016 um 21:25:48 Uhr
Goto Top
Autoruns ist von Microsoft signiert und deshalb eventuell durch eine Zertifikatsregel erlaubt. Bei putty bezweifle ich das. Starte mal neu.
Mitglied: garack
garack 07.12.2016 um 21:37:50 Uhr
Goto Top
Yo Super, der neustart hat es gebracht! Autoruns geht jetzt auch nicht mehr. Danke!