10
Ausführbare Dateien werden auf Homelaufwerk geblockt
Hallo liebe Admins,
ich suche den Ursprung / Abhilfe für folgendes Verhalten:
Auf dem Homelaufwerk der Benutzer lassen sich keine ausführbaren Dateien speichern.
Ich weiß nicht, ob das das Standardverhalten in einer Windows-Domäne ist, oder eine Einstellung, die ich nicht mehr finde.
Zur Konfiguration:
Wer kann mir helfen?
ich suche den Ursprung / Abhilfe für folgendes Verhalten:
Auf dem Homelaufwerk der Benutzer lassen sich keine ausführbaren Dateien speichern.
Ich weiß nicht, ob das das Standardverhalten in einer Windows-Domäne ist, oder eine Einstellung, die ich nicht mehr finde.
Zur Konfiguration:
- w2k8R2 Domäne
- Client W7px64
- Benutzerkonfiguration: Basisordner Y: verbinden mit \\DC01\USERS\%username% <-- da liegen dann die eigenen Dateien usw.
Wer kann mir helfen?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 301503
Url: https://administrator.de/contentid/301503
Printed on: April 16, 2024 at 07:04 o'clock
10 Comments
Latest comment
Beschreibst Du bitte die Ausgangssituation mal etwas genauer?
- Ist ein Virenschutz im Einsatz?
- Können andere Dateien auch gespeichert werden?
- Wann tritt dieses Problem auf? Kopieren, Verschieben, Downloaden aus Browser?
- Sind die Vorgänge bezüglich einer solchen Datei benutzerbezogen und auch -initiiert oder hat ein Admin vielleicht Dateien dem Nutzer bereitgestellt?
- Gab es dieses Problem schon immer (also seit der Einrichtung)?
- Hast Du mal das Nutzershare auf einen anderen Server verlagert?
- Ist der DC ein SBS?
- Ein Virenschutz funkt nicht dazwischen.
- Andere Dateien gehen ohne Probleme.
- Das Problem tritt auf, sobald eine Datei mit einer ausführbaren Endung gespeichert wird. Wenn ich zum Beispiel eine Textdatei erstelle und die Endung auf exe, vb, scr, bat usw. ändere, erscheint die Meldung
- Ich bin Admin. (Womit auch 4. beantwortet wäre).
- Ob das Problem seit Anfang besteht, kann ich nicht sagen. Hab es erst im Laufe der Zeit festgestellt.
- Der DC ist ein 2008R2 Standard
Kann ich aus den Fragen schließen, dass es kein Standardverhalten ist? Ich müsste halt erst mal wissen, an welcher Stelle ich suchen muss...
Moin,
spontan fallen wir drei Dinge:
Gruß,
Dani
spontan fallen wir drei Dinge:
- Es gibt eine Gruppenrichtlinie, genauer gesagt eine Softwarebeschränkung, welche auf *.exe Dateien filtert.
- Ressourcen - Manager für Datei-Server.
Gruß,
Dani
Hallo,
Evtl hat einer den Schutz für den Dateiserver soweit hochgetreht, das Dateien mit .exe nicht angelegt werden dürfen, um Locky und co im Keim zu ersticken.
Im Fileservermanager bestimmte Regeln erstellt.
https://www.frankysweb.de/clients-vor-infektion-mit-ransomware-schuetzen ...
Gruß
Chonta
an welcher Stelle ich suchen muss...
GPO die Softwareschutz oder Aplocker machen.Evtl hat einer den Schutz für den Dateiserver soweit hochgetreht, das Dateien mit .exe nicht angelegt werden dürfen, um Locky und co im Keim zu ersticken.
Im Fileservermanager bestimmte Regeln erstellt.
https://www.frankysweb.de/clients-vor-infektion-mit-ransomware-schuetzen ...
Gruß
Chonta
In den GPOs kann ich keine solche Einstellung finden. Ich wüsste auch nicht an welcher Stelle diese Einstellung gemacht werden könnte.
Das ganze bezieht sich auch, wie gesagt, nicht nur auf exe, sondern eigentlich alle ausführbaren Dateien.
Andere Netzlaufwerke sind davon aber nicht betroffen.
In den Einstellungen der Freigabe kann ich auch nichts dergleichen finden.
Werden eventuelle Richtlinien für Softtwareineschränkungen in den Gruppenrichtlinienergebnissen auch angezeigt, oder muss ich alle Richtlinien selber durchsuchen?
Das ganze bezieht sich auch, wie gesagt, nicht nur auf exe, sondern eigentlich alle ausführbaren Dateien.
Andere Netzlaufwerke sind davon aber nicht betroffen.
In den Einstellungen der Freigabe kann ich auch nichts dergleichen finden.
Werden eventuelle Richtlinien für Softtwareineschränkungen in den Gruppenrichtlinienergebnissen auch angezeigt, oder muss ich alle Richtlinien selber durchsuchen?
Das ganze bezieht sich auch, wie gesagt, nicht nur auf exe, sondern eigentlich alle ausführbaren Dateien.
Spielt doch keine Rolle, wenn die entsprechenden Dateiendungen gespertt wurden. Welche Endungen gehen noch nicht?In den GPOs kann ich keine solche Einstellung finden.
Einfach an einem betroffenen Client über Start -> Ausführen -> rsop.msc starten. Dort siehst du welche Richtinien/Optionen gesetzt wurden. Falls du auch die Computerrichtlinien sehen möchtest, muss der Benutzer über die notwendigen Rechte verfügen. Denn meinst wird es nicht auf Benutzerebene sondern Computerebene konfiguriert.Ressourcen - Manager für Datei-Server.
Auf dem Dateiserver schon geprüft?Werden eventuelle Richtlinien für Softtwareineschränkungen in den Gruppenrichtlinienergebnissen auch angezeigt, oder muss ich alle Richtlinien selber durchsuchen?
Werden auch angezeigt.Gruß,
Dani
Vielen Dank Dani, ich hab es herausgefunden.
Im Ressourcen-Manager für Dateiserver gab es unter Dateiprüfungsverwaltung-Dateiprüfungen eine Einstellung, welche Ausführbare Dateien blockt:
War sicher mal aus nem sinnvollen Hintergrund so gesetzt worden, aber wenn man diese Einstellung sonst nie braucht, gerät das in Vergessenheit.
Ich hatte vorher nur in den Einstellungen der Freigabe- und Speicherverwaltung geschaut.
Vielen Dank an alle, die mit geholfen haben die Lösung zu finden.
Gruß
kleinerbub
Im Ressourcen-Manager für Dateiserver gab es unter Dateiprüfungsverwaltung-Dateiprüfungen eine Einstellung, welche Ausführbare Dateien blockt:
War sicher mal aus nem sinnvollen Hintergrund so gesetzt worden, aber wenn man diese Einstellung sonst nie braucht, gerät das in Vergessenheit.
Ich hatte vorher nur in den Einstellungen der Freigabe- und Speicherverwaltung geschaut.
Vielen Dank an alle, die mit geholfen haben die Lösung zu finden.
Gruß
kleinerbub
Hallo,
Und die einstellung macht auch immer noch Sinn.
Was für ein Grund besteht, das ein User ein Programm ausführt, das innerhalb seines eigenen Profils liegt?
Programme die laufen sollten under Programme installiert sein und nur von dort aus laufen.
Wen Admins davon betroffen sind und ein Serverprofil haben, dann sollten die einen Speicherort bekommen wo die Richtlinie nicht greift.
Gruß
Chonta
War sicher mal aus nem sinnvollen Hintergrund so gesetzt worden, aber wenn man diese Einstellung sonst nie braucht, gerät das in Vergessenheit.
Das wäre dan jetzt genau der Zeitpunkt das in die Dokumentation aufzunhemen Und die einstellung macht auch immer noch Sinn.
Was für ein Grund besteht, das ein User ein Programm ausführt, das innerhalb seines eigenen Profils liegt?
Programme die laufen sollten under Programme installiert sein und nur von dort aus laufen.
Wen Admins davon betroffen sind und ein Serverprofil haben, dann sollten die einen Speicherort bekommen wo die Richtlinie nicht greift.
Gruß
Chonta
Das wäre dan jetzt genau der Zeitpunkt das in die Dokumentation aufzunhemen
Jaja, wenn man nicht jeden Schei.. dokumentiert, stolpert man (oder ein anderer) irgendwann wieder drüber.Was für ein Grund besteht, das ein User ein Programm ausführt, das innerhalb seines eigenen Profils liegt?
Zum Beispiel Batch-Dateien um Arbeitsabläufe zu vereinfachen.Programme die laufen sollten under Programme installiert sein und nur von dort aus laufen.
Wen Admins davon betroffen sind und ein Serverprofil haben, dann sollten die einen Speicherort bekommen wo die Richtlinie nicht greift.
Bei uns wurde das ganze zum Problem, als ich als Admin (mit Domänenkonto) ein Software installieren wollte, die einen Teil an Vorlagen usw.- ohne die Möglichkeit das zu ändern - nach Eigene Dateien entpackte. Darunter waren auch Beispielprojekte für VB, C# etc. Diese konnten logischer Weise nicht entpackt werden und das Setup endete mit einem Fehler.Wen Admins davon betroffen sind und ein Serverprofil haben, dann sollten die einen Speicherort bekommen wo die Richtlinie nicht greift.
Ich hab dann mit lokalem Administrator installiert. Aber das ist ja nicht das Ziel.
Hallo,
Doch das ist es eigentlich.
Für die Installation oder lokale Wartung lokaler Eigenschaften sollte eine lokales Adminkondo verwendet werden, eigentlich.
Oder ein Domänenkonto das keinServerprofil hat und auch kein Domänenadmin ist und nur überall Lokaler Admin ist.
Wenn dann sollten diese icht innerhalb des Profils abgelegt werden sondern in extra Freigaben von denen ein Ausfühten möglich ist.
Immer dran denken die ganzen Cryptotrojaner laufen im benutzerkontext ab, die werden irgendwo im Profil runtergeladen und dann durt gestartet und verrichtien ihr Werk.
Wenn innerhalb des Profils nicht gestartet werden kann, ist man wesentlich sicherer.
Gruß
Chonta
Ich hab dann mit lokalem Administrator installiert. Aber das ist ja nicht das Ziel.
Doch das ist es eigentlich.
Für die Installation oder lokale Wartung lokaler Eigenschaften sollte eine lokales Adminkondo verwendet werden, eigentlich.
Oder ein Domänenkonto das keinServerprofil hat und auch kein Domänenadmin ist und nur überall Lokaler Admin ist.
Zum Beispiel Batch-Dateien um Arbeitsabläufe zu vereinfachen.
Normale Benutzer schreiben sich selber Batchdateien oder Scripte?....Wenn dann sollten diese icht innerhalb des Profils abgelegt werden sondern in extra Freigaben von denen ein Ausfühten möglich ist.
Immer dran denken die ganzen Cryptotrojaner laufen im benutzerkontext ab, die werden irgendwo im Profil runtergeladen und dann durt gestartet und verrichtien ihr Werk.
Wenn innerhalb des Profils nicht gestartet werden kann, ist man wesentlich sicherer.
Gruß
Chonta
1