excaliburx
Goto Top

Windows 2003 Terminalserver - ausführbare Dateien einschränken

Hallo Zusammen,

im Einsatz ist ein Windows Server 2003 R2 x64 als Terminalserver.
Hin und wieder starten Benutzer ausführbare Dateien z.B. aus E-Mailanhängen.
Diese Dateien werden unterhalb des Benutzerordners in einem TMP-Ordner gestartet.

Ein Virenscanner ist aus Performance- , Kosten und Wartungsgründen nicht im Einsatz auf dem Server.

Ziel ist es nun eine Maßnahme auf dem Server einzurichten, dass Benutzer lediglich erlaubte ausführbare Dateien starten dürfen bzw. lediglich aus fest definierten Pfaden ausführbare Dateien starten dürfen.

Dazu sind mir folgende Möglichkeiten eingefallen:
- Die Berechtigungen "Lesen/ausführen" in den Benutzerordnern (auf Dokumente und Einstellungen) entfernen.
- GPO: Softwareeinschränkungen.
- Filescreening (dazu müsste die dafür erforderliche Rolle installiert werden)

Kennt jemand noch weitere Möglichkeiten?

Danke im Voraus für Eure Tipps/Hilfe!

Gruß

Content-Key: 309172

Url: https://administrator.de/contentid/309172

Ausgedruckt am: 19.03.2024 um 03:03 Uhr

Mitglied: StefanKittel
StefanKittel 07.07.2016 um 08:58:01 Uhr
Goto Top
Moin,

wäre es nicht einfacher auf dem Mail-Server ausführbaren Anhänge zu filtern?
Was nicht da ist, kann man nicht ausführen.

Stefan

Kommentare bezüglich 2003 unterlasse ich mal
Mitglied: Excaliburx
Excaliburx 07.07.2016 aktualisiert um 09:15:51 Uhr
Goto Top
Der Mailserver filtert dies bereits und stellt dies in einen SPAM-Ordner.
Jedoch kann es vorkommen, dass Benutzer solche Mails lösen (da diese täuschend echt aussehen) und danach öffnen.

Es geht darum ein neben den SPAM-Filter noch eine zweite Sicherheitsschicht in Einsatz zu bringen, sodass nur zulässige ausführbare Dateien aus dem Terminalserver gestartet werden können.
Mitglied: emeriks
emeriks 07.07.2016 aktualisiert um 09:17:25 Uhr
Goto Top
Hi,
Diese Dateien werden unterhalb des Benutzerordners in einem TMP-Ordner gestartet.

- GPO: Softwareeinschränkungen.

GPO mit Verweigern-Pfadregel

Allerdings schützt das nicht vor kundige Anwender, welche sich die Dateien woanders speichern.

Hier hilft es dann nur, den umgekehrten Weg zu gehen. Also generell alles verweigern und jene Programme, welche für den Benutzer freigegeben sind, explizit erlauben. Sowas muss man zwar sehr sorgfältig planen, ist dafür aber sehr effektiv!

E.
Mitglied: Kraemer
Kraemer 07.07.2016 um 10:28:13 Uhr
Goto Top
Moin,
Zitat von @Excaliburx:
Ein Virenscanner ist aus Performance- , Kosten und Wartungsgründen nicht im Einsatz auf dem Server.
schreibe lieber nur aus Kostengründen. Ersteres macht sich nur bei Mailhostern bemerkbar und letzteres ist kein nennenswerter Aufwand.

im Einsatz ist ein Windows Server 2003 R2 x64 als Terminalserver.
Kennt jemand noch weitere Möglichkeiten?
Jup - das Betriebssystem aktualisieren. Dann machen die von dir genannten Maßnahmen wirklich Sinn.

Gruß Krämer
Mitglied: Excaliburx
Excaliburx 07.07.2016 um 13:31:46 Uhr
Goto Top
Wenn auf die Unterordner und Dateien des Systemordners "Dokumente und Einstellungen" die Berechtigung Ausführen von Dateien entfernt würde, gäbe es dann anderweitig Schwierigkeiten?

Denn die zugelassenen Programme werden aus anderen Pfaden gestartet.
Mitglied: emeriks
emeriks 07.07.2016 um 14:04:11 Uhr
Goto Top
Der Benutzer hat und benötigt auf seinen Profilepfad Vollzugriff.