Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Softwareeinschränkungen (White List) per GPO unter Win 2003 und MS Net Frame Work Update

Frage Microsoft Windows Server

Mitglied: Reiner.Zufall

Reiner.Zufall (Level 1) - Jetzt verbinden

13.04.2011 um 11:30 Uhr, 7448 Aufrufe, 4 Kommentare

Wie bekomme ich Windows Updates (z. B. Net Frame Work), die zur Installation kurz auf C: zugreifen, dazu, sich trotz Softwareeinschränkungen auszuführen, ohne jedes Update per Hand in den GPO zuzulassen?

Hallo,

ich arbeite mit einem Windows 2003 Server und 40 WS, überwiegend Win XP. Ich habe per Gruppenrichtlinien (Softwareeinschränkung) den Usern die Ausführung aller Programme auf den PCs untersagt. Ausnahme die Standartfreigaben ( %Programme% und %Windows%). Auf diese Ordner haben die User aber nur Leserechte. Programmausnahmen habe ich natürlich auch konfiguriert. Soweit läuft das alles prima. Nur wenn ein Windows Update kommt, welches sich temporär auf C: breitmacht, wie z. B. bei dem aktuellen NetframeWork 2 / 3 Update, was gestern rauskam, blockt der PC natürlich diese Ausführung und die Installation des Updates scheitert.

Ich habe jetzt die Möglichkeit, über die GPOs Ausnahmen für die jeweiligen Programme / Dateien zu erstellen, oder ich verschiebe die Clients für 1-2 Tage in eine andere Gruppe ohne Softwareeinschränkung. Beide Möglichkeiten gefallen mir nicht so gut, da ich bei jedem Net Frame Work Update, per Hand eingreifen muss.

Gibt es eine Programm/Pfadfreigabe unter Win 2003, wo ich sagen kann, dass z. B. generell alles, was von Microsoft bzw. von meinem lokalen WSUS-Update-Server kommt zur Ausführung freigegeben ist? Vielleicht über Zertifikate?

Wie handhabt ihr das?
Mitglied: DerSchorsch
13.04.2011 um 11:47 Uhr
Hallo,

eingentlich sollte es reichen, in der Softwareeinschränkungsrichtlinie es so einzustellen, dass sie nicht für "Alle Benutzer" gilt, sondern für "Alle benutzer außer den lokalen Administratoren".
Solange deine Benutzer nur Benutzer sind, ändert es sich für die nichts, aber der Update-Dienst müsste wieder arbeiten können.

Alternativ könntest du eine neue Zertifikatsregel erstellen mit der Signatur von Microsoft. Dazu bei Zusätzliche Regel eine "neue Zertifikatsregel" erstellen und eine signierte Updatedatei auswählen. Deren Zertifikat sollte dann importiert werden. Das ganze dann erlauben. Allerdings dauern Zertifikatsprüfungen deutlich länger als die anderen Prüfungen, daher sind diese zunächst deaktiviert. Du musst also diese also erstmal im Register "Erzwingen" überhaupt einschalten.

Ich würde dir aber zur Option 1 raten.

Gruß
Schorsch
Bitte warten ..
Mitglied: Reiner.Zufall
13.04.2011 um 12:44 Uhr
Ich hab die Richtlinie unter den Computerconfigurationen eingerichtet, damit ich bei Neuanlage von Usern nicht immer drauf achten muss, dass dieser mit bestimmten Gruppenrichtlinen verknüpft werden muss.

Auf welchen lokalen Administrator sollte das Update dann zurückgreifen? Ich dachte immer, das wird mit den Rechten ausgeführt, die der angemeldete User gerade hat, da ich ja beim Anmelden am Netz gerade die aktuelle GPO vom AD mitgeteilt habe.

Gut ich könnte das was ich unter der Computerconfiguration eingetragen habe unter die Benutzerkonfiguration schreiben und das dann nur gültig für die Gruppe Benutzer machen. Aber woher soll das Update dann wissen, wenn der Benutzer "ohne Rechte" angemeldet ist, "hey ich installier mich jetzt mal als lokaler Admin"?

Der Update-Dienst arbeitet wunderbar, weil Windows so schlau ist und alles temporäre in den Ordner Windows entpackt. Dieser ist ja dafür freigegeben. Nur Net Frame Work oder z. B. auch Adobe Flash will bei der Installation mal kurz was auf C: machen und da werden sie natürlich geblockt.
Bitte warten ..
Mitglied: DerSchorsch
13.04.2011 um 18:33 Uhr
Zitat von Reiner.Zufall:
Ich hab die Richtlinie unter den Computerconfigurationen eingerichtet, damit ich bei Neuanlage von Usern nicht immer drauf achten
muss, dass dieser mit bestimmten Gruppenrichtlinen verknüpft werden muss.

ist ok.
Denk aber daran, dass die Computerkonfiguration vom Computer selbst verarbeitet wird und mit den Benutzern rein gar nichts zu tun hat (für den gilt die Benutzerkonfiguration). U.a. dafür wird bei der Aufnahme des Computers in die Domäne ja auch Computerkonto angelegt.

Auf welchen lokalen Administrator sollte das Update dann zurückgreifen?

Na, dann schau mal, unter welchem Konto die Dienste "Automatische Updates" sowie "Windows Installer" laufen?
Diese laufen als "Systemkonto". Und ja, dieses ist lokaler Administrator.

Ich dachte immer, das wird mit den Rechten
ausgeführt, die der angemeldete User gerade hat, da ich ja beim Anmelden am Netz gerade die aktuelle GPO vom AD mitgeteilt
habe.

Richtig, aber wenn das Update nicht von einem Benutzer, sondern einem der genannten Dienste gestartet wird, gelten dessen Rechte.
Es kommt also darauf an, wer das Update startet: Versucht ein Benutzer es manuell zu startet, wird er zu Recht geblockt, hast du aber den Updatedienst so konfiguriert, dass er es automatisch vom WSUS lädt und unabhängig vom Benutzer installiert, wird das eben mit dem Systemkonto durchgeführt.
Muss ja auch, man braucht schließlich Adminrechte für die Installation von Windowsupdates.

[...]
Der Update-Dienst arbeitet wunderbar, weil Windows so schlau ist und alles temporäre in den Ordner Windows entpackt. Dieser
ist ja dafür freigegeben. Nur Net Frame Work oder z. B. auch Adobe Flash will bei der Installation mal kurz was auf C: machen
und da werden sie natürlich geblockt.

Klar, da deine Richtlinie auch auf Admins wirkt.
Der Updatedienst beginnt mit dem Update, entpackt die Dateien in einen Temp-Ordner und starten von hier die eigentliche Setup-Datei. Schränkt deine Richtlinie den Temp-Pfad ein, fällt er auf die Nase.
Daher die Empfehlung, die Richtlinie so einzustellen, dass Admins nicht betroffen sind. Oder aber die (langsame) Zertifikatsregel.

Gruß,
Schorsch
Bitte warten ..
Mitglied: Reiner.Zufall
15.04.2011 um 14:28 Uhr
Schorsch du hast ja soo Recht.

Manchmal hab ich in meiner Denke einen Knoten im Kopf. Danke fürs entknoten! Schönes WE

Für alle die hier mal mit dem gleichen Problem an der Stelle stehen eine kurze Zusammenfassung:

Ich habe mich für Schorschs Version 1 entschieden.

Ich habe alle Einstellungen, die generell für alle PCs im AD gelten in der Gruppenrichtline unter Computerkonfiguration eingetragen. (In meinem Fall sind das die WSUS-Einstellungen, die Firewall-Config und dass die Benutzergruppe "WS-Admin" (normaler Benutzer) Admin-Rechte auf den lokalen PCs bekommt.

Und die Software-White-List (Richtlinien für Softwareeinschränkung) unter Benutzerkonfiguration eingetragen. (Standart=nichts zulassen, Ausnahmen = die Standart-Win-Ausnahmen und unsere individuellen Programme)

Dann habe ich eine neue OU im AD angelegt "Anwender", die Software-White-List aktiviert und meine ganzen Anwendungsuser dorthin geschoben. Alle Administratoren und Gruppen hab ich in der Standart OU User gelassen.
Nun können die Anwender nix installieren, aber jeder Administrator kann das. Und das Windows-Update (welches tatsächlich unter dem "builtin-Admin" läuft ) funktioniert auch.

Wenn ich einen neuen Anwender im AD anlegen muss, mache ich es gleich in dem "Anwender" Ordner und die Gruppenrichtlinie wirkt.
Bitte warten ..
Ähnliche Inhalte
Windows 7
MS Works 8.0 Updates unter Windows 7
gelöst Frage von IT-Dienstleister-BayernWindows 79 Kommentare

Hallo an alle. Bin neu hier, also bitte steinigt mich nicht, falls mein Problem im falschen Thema ist oder ...

Windows 7
MS Updates.
Frage von AtoAtoWindows 75 Kommentare

Hallo Leute, ich brauche Unterstützung im Bereich MS Updates. Und hier die Fragen, die ich in zwei Bereichen bewusst ...

Datenbanken
Update einer Tabelle aus Liste?
Frage von RalfHackmannDatenbanken2 Kommentare

Hallo, ich muss in einer Informix SE Datenbank den Artikelstamm aktualisieren. Dazu habe ich vom Anwender eine 2-spaltige Excel ...

Windows 10
MS hat mit Updates für WIN 10 und allen Betriebssysteme davor nicht im Griff
Frage von MotorseglerWindows 106 Kommentare

Anscheinend hat MS vergessen, daß andere MS-Systeme unter WIN 10 und auch Software-Stände zur Festgeräten, zu tausenden-?? Millionen noch ...

Neue Wissensbeiträge
Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 8 StundenInternet3 Kommentare

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registierunf von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Verschlüsselung & Zertifikate

19 Jahre alter Angriff auf TLS funktioniert immer noch

Information von BassFishFox vor 15 StundenVerschlüsselung & Zertifikate1 Kommentar

Interessant zu lesen. Der Bleichenbacher-Angriff gilt unter Kryptographen als Klassiker, trotzdem funktioniert er oft noch. Wie wir herausgefunden haben, ...

Windows 10

Windows 10 Fall Creators Update - Neue Funktion Hyper-V Standardswitch kann ggf. Fehler bei Proxy Configs verursachen

Erfahrungsbericht von rzlbrnft vor 1 TagWindows 104 Kommentare

Hallo Kollegen, Da wir die Gefahr lieben, haben wir bei einigen Usern nun mittlerweile das Creators Update drauf. Einige ...

Sicherheit

TLS-Zertifikat und privater Schlüssel von Microsofts Dynamics 365 geleakt

Information von Penny.Cilin vor 1 TagSicherheit

Microsoft hat versehentlich das TLS-Zertifikat inklusive dem privaten Schlüssel seiner Business-Anwendung Dynamics 365 geleakt. TLS-Zertifikat und privater Schlüssel von ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Von rj11 auf rj45
Frage von jensgebkenLAN, WAN, Wireless18 Kommentare

Hallo Gemeinschaft, könnt ihr mir vielleicht bei der anfertigung eines Kabels helfen - habe ein rj 11 stecker und ...

Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

Netzwerkmanagement
NAS über zwei weitere Ethernet Anschlüsse verbinden
gelöst Frage von Sibelius001Netzwerkmanagement17 Kommentare

Sorry - ich bin hier wahrscheinlich als kompetter IT Trottel unterwegs. Aber eventuell kann mir jemand ganz einfach helfen: ...

LAN, WAN, Wireless
Häufig Probleme beim Anmelden in WLAN
Frage von mabue88LAN, WAN, Wireless15 Kommentare

Hallo zusammen, in einem Netzwerk gibt es relativ häufig (1-2 mal pro Woche) Probleme mit der WLAN-Verbindung. Zunächst mal ...