Anwendung per GPO sperren
Hallo zusammen,
ich möchte ein bestimmtes Programm in unserem Netzwerk per Gruppenrichtlinie verbieten. Habe eine Gruppenrichtlinie U-AnwendungSperren angelegt. Benutzerverwaltung - Administrative Vorlagen - System - WindowsAnwendung sperren und dort hab ich die .exe hinzugefügt.
Klappt auch soweit ganz gut, wenn ich die Anwendung ausführen will verbietet er mir das.
So jetzt zu meinem Problem:
Wenn ich die Exe dann aber umbenenne also z.B. aus WINWORD.EXE mach ich WINWORDD.EXE dann kann ich die Anwendung wieder starten.
Hat wer eine Idee wie ich die Anwendung auch wenn ich sie umbenenne verbieten kann oder kann man das dann nicht verhindern?
danke schon einmal im Voraus
Gruß
Alex
ich möchte ein bestimmtes Programm in unserem Netzwerk per Gruppenrichtlinie verbieten. Habe eine Gruppenrichtlinie U-AnwendungSperren angelegt. Benutzerverwaltung - Administrative Vorlagen - System - WindowsAnwendung sperren und dort hab ich die .exe hinzugefügt.
Klappt auch soweit ganz gut, wenn ich die Anwendung ausführen will verbietet er mir das.
So jetzt zu meinem Problem:
Wenn ich die Exe dann aber umbenenne also z.B. aus WINWORD.EXE mach ich WINWORDD.EXE dann kann ich die Anwendung wieder starten.
Hat wer eine Idee wie ich die Anwendung auch wenn ich sie umbenenne verbieten kann oder kann man das dann nicht verhindern?
danke schon einmal im Voraus
Gruß
Alex
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 110065
Url: https://administrator.de/forum/anwendung-per-gpo-sperren-110065.html
Ausgedruckt am: 24.12.2024 um 18:12 Uhr
3 Kommentare
Neuester Kommentar
Hallo,
eine "Blacklist" für Software ist tatsächlich etwas kompliziert, besser ist es, eine "Whitelist" anzulegen.
Dafür gibt es die Richtlinie für Softwareeinschränkung
Vorgehensweise wäre "nicht erlaubt" als Standard zu setzen und dann die erlaubten Dinge freigeben. Dabei musst du aber nicht die Dateinamen der Programmdateinamen angeben, du kannst auch Pfade definieren, z.B. %programfiles%. Damit würde der Benutzer alles unterhalb von C:\Programme ausführen können.
Sinnvoll natürlich nur, wenn der Benutzer da keine Schreibrechte drin hat. Sind Programme nicht so einfach auf ein geschütztes Verzeichnis festzulegen, kannst du es auch digital signieren oder per Hash-Wert identifizieren. Damit kann ein Anwender es nicht durch eigene Dateien austauchen (macht aber mehr Arbeit bei Updates etc..)
Hier ist auch nochmal eine schöne Anleitung dafür:
http://www.uni-rostock.de/Rechenzentrum/sware/WindowsNT/Security/SoftRe ...
Gruß,
Schorsch
eine "Blacklist" für Software ist tatsächlich etwas kompliziert, besser ist es, eine "Whitelist" anzulegen.
Dafür gibt es die Richtlinie für Softwareeinschränkung
Vorgehensweise wäre "nicht erlaubt" als Standard zu setzen und dann die erlaubten Dinge freigeben. Dabei musst du aber nicht die Dateinamen der Programmdateinamen angeben, du kannst auch Pfade definieren, z.B. %programfiles%. Damit würde der Benutzer alles unterhalb von C:\Programme ausführen können.
Sinnvoll natürlich nur, wenn der Benutzer da keine Schreibrechte drin hat. Sind Programme nicht so einfach auf ein geschütztes Verzeichnis festzulegen, kannst du es auch digital signieren oder per Hash-Wert identifizieren. Damit kann ein Anwender es nicht durch eigene Dateien austauchen (macht aber mehr Arbeit bei Updates etc..)
Hier ist auch nochmal eine schöne Anleitung dafür:
http://www.uni-rostock.de/Rechenzentrum/sware/WindowsNT/Security/SoftRe ...
Gruß,
Schorsch