Ausführbare Dateien werden auf Homelaufwerk geblockt

Mitglied: kleinerbub

kleinerbub (Level 1) - Jetzt verbinden

11.04.2016 um 14:51 Uhr, 1533 Aufrufe, 10 Kommentare, 1 Danke

Hallo liebe Admins,

ich suche den Ursprung / Abhilfe für folgendes Verhalten:

Auf dem Homelaufwerk der Benutzer lassen sich keine ausführbaren Dateien speichern.
Ich weiß nicht, ob das das Standardverhalten in einer Windows-Domäne ist, oder eine Einstellung, die ich nicht mehr finde.

Zur Konfiguration:
  • w2k8R2 Domäne
  • Client W7px64
  • Benutzerkonfiguration: Basisordner Y: verbinden mit \\DC01\USERS\%username% <-- da liegen dann die eigenen Dateien usw.

Wer kann mir helfen?
Mitglied: beidermachtvongreyscull
11.04.2016, aktualisiert um 14:59 Uhr
Beschreibst Du bitte die Ausgangssituation mal etwas genauer?

  • Ist ein Virenschutz im Einsatz?
  • Können andere Dateien auch gespeichert werden?
  • Wann tritt dieses Problem auf? Kopieren, Verschieben, Downloaden aus Browser?
  • Sind die Vorgänge bezüglich einer solchen Datei benutzerbezogen und auch -initiiert oder hat ein Admin vielleicht Dateien dem Nutzer bereitgestellt?
  • Gab es dieses Problem schon immer (also seit der Einrichtung)?
  • Hast Du mal das Nutzershare auf einen anderen Server verlagert?
  • Ist der DC ein SBS?
Bitte warten ..
Mitglied: kleinerbub
11.04.2016, aktualisiert um 15:16 Uhr
  • Ein Virenschutz funkt nicht dazwischen.

  • Andere Dateien gehen ohne Probleme.

  • Das Problem tritt auf, sobald eine Datei mit einer ausführbaren Endung gespeichert wird. Wenn ich zum Beispiel eine Textdatei erstelle und die Endung auf exe, vb, scr, bat usw. ändere, erscheint die Meldung

fehler_y_ausführbare_dateien - Klicke auf das Bild, um es zu vergrößern
(für dieses Beispiel habe ich eine leere Textdatei erzeugt und versucht in Neues Textdokument.exe umzubenennen)

  • Ich bin Admin. (Womit auch 4. beantwortet wäre).

  • Ob das Problem seit Anfang besteht, kann ich nicht sagen. Hab es erst im Laufe der Zeit festgestellt.

  • Der DC ist ein 2008R2 Standard

Kann ich aus den Fragen schließen, dass es kein Standardverhalten ist? Ich müsste halt erst mal wissen, an welcher Stelle ich suchen muss...
Bitte warten ..
Mitglied: Dani
LÖSUNG 11.04.2016 um 15:08 Uhr
Moin,
spontan fallen wir drei Dinge:
  • Es gibt eine Gruppenrichtlinie, genauer gesagt eine Softwarebeschränkung, welche auf *.exe Dateien filtert.
  • Ressourcen - Manager für Datei-Server.


Gruß,
Dani
Bitte warten ..
Mitglied: Chonta
11.04.2016 um 15:09 Uhr
Hallo,

an welcher Stelle ich suchen muss...
GPO die Softwareschutz oder Aplocker machen.
Evtl hat einer den Schutz für den Dateiserver soweit hochgetreht, das Dateien mit .exe nicht angelegt werden dürfen, um Locky und co im Keim zu ersticken.

Im Fileservermanager bestimmte Regeln erstellt.
https://www.frankysweb.de/clients-vor-infektion-mit-ransomware-schuetzen ...

Gruß

Chonta
Bitte warten ..
Mitglied: kleinerbub
11.04.2016 um 15:31 Uhr
In den GPOs kann ich keine solche Einstellung finden. Ich wüsste auch nicht an welcher Stelle diese Einstellung gemacht werden könnte.
Das ganze bezieht sich auch, wie gesagt, nicht nur auf exe, sondern eigentlich alle ausführbaren Dateien.
Andere Netzlaufwerke sind davon aber nicht betroffen.
In den Einstellungen der Freigabe kann ich auch nichts dergleichen finden.

Werden eventuelle Richtlinien für Softtwareineschränkungen in den Gruppenrichtlinienergebnissen auch angezeigt, oder muss ich alle Richtlinien selber durchsuchen?
Bitte warten ..
Mitglied: Dani
LÖSUNG 11.04.2016 um 18:05 Uhr
Das ganze bezieht sich auch, wie gesagt, nicht nur auf exe, sondern eigentlich alle ausführbaren Dateien.
Spielt doch keine Rolle, wenn die entsprechenden Dateiendungen gespertt wurden. Welche Endungen gehen noch nicht?

In den GPOs kann ich keine solche Einstellung finden.
Einfach an einem betroffenen Client über Start -> Ausführen -> rsop.msc starten. Dort siehst du welche Richtinien/Optionen gesetzt wurden. Falls du auch die Computerrichtlinien sehen möchtest, muss der Benutzer über die notwendigen Rechte verfügen. Denn meinst wird es nicht auf Benutzerebene sondern Computerebene konfiguriert.

Ressourcen - Manager für Datei-Server.
Auf dem Dateiserver schon geprüft?

Werden eventuelle Richtlinien für Softtwareineschränkungen in den Gruppenrichtlinienergebnissen auch angezeigt, oder muss ich alle Richtlinien selber durchsuchen?
Werden auch angezeigt.


Gruß,
Dani
Bitte warten ..
Mitglied: kleinerbub
12.04.2016 um 15:05 Uhr
Vielen Dank Dani, ich hab es herausgefunden.

Im Ressourcen-Manager für Dateiserver gab es unter Dateiprüfungsverwaltung-Dateiprüfungen eine Einstellung, welche Ausführbare Dateien blockt:

ausführbaredateienblocken - Klicke auf das Bild, um es zu vergrößern

War sicher mal aus nem sinnvollen Hintergrund so gesetzt worden, aber wenn man diese Einstellung sonst nie braucht, gerät das in Vergessenheit.
Ich hatte vorher nur in den Einstellungen der Freigabe- und Speicherverwaltung geschaut.

Vielen Dank an alle, die mit geholfen haben die Lösung zu finden.

Gruß
kleinerbub
Bitte warten ..
Mitglied: Chonta
13.04.2016 um 15:43 Uhr
Hallo,

War sicher mal aus nem sinnvollen Hintergrund so gesetzt worden, aber wenn man diese Einstellung sonst nie braucht, gerät das in Vergessenheit.
Das wäre dan jetzt genau der Zeitpunkt das in die Dokumentation aufzunhemen :-) face-smile
Und die einstellung macht auch immer noch Sinn.
Was für ein Grund besteht, das ein User ein Programm ausführt, das innerhalb seines eigenen Profils liegt?
Programme die laufen sollten under Programme installiert sein und nur von dort aus laufen.

Wen Admins davon betroffen sind und ein Serverprofil haben, dann sollten die einen Speicherort bekommen wo die Richtlinie nicht greift.

Gruß

Chonta
Bitte warten ..
Mitglied: kleinerbub
18.04.2016 um 10:10 Uhr
Das wäre dan jetzt genau der Zeitpunkt das in die Dokumentation aufzunhemen :-) face-smile
Jaja, wenn man nicht jeden Schei.. dokumentiert, stolpert man (oder ein anderer) irgendwann wieder drüber.

Was für ein Grund besteht, das ein User ein Programm ausführt, das innerhalb seines eigenen Profils liegt?
Zum Beispiel Batch-Dateien um Arbeitsabläufe zu vereinfachen.

Programme die laufen sollten under Programme installiert sein und nur von dort aus laufen.
Wen Admins davon betroffen sind und ein Serverprofil haben, dann sollten die einen Speicherort bekommen wo die Richtlinie nicht greift.
Bei uns wurde das ganze zum Problem, als ich als Admin (mit Domänenkonto) ein Software installieren wollte, die einen Teil an Vorlagen usw.- ohne die Möglichkeit das zu ändern - nach Eigene Dateien entpackte. Darunter waren auch Beispielprojekte für VB, C# etc. Diese konnten logischer Weise nicht entpackt werden und das Setup endete mit einem Fehler.
Ich hab dann mit lokalem Administrator installiert. Aber das ist ja nicht das Ziel.
Bitte warten ..
Mitglied: Chonta
18.04.2016 um 11:36 Uhr
Hallo,

Ich hab dann mit lokalem Administrator installiert. Aber das ist ja nicht das Ziel.

Doch das ist es eigentlich.
Für die Installation oder lokale Wartung lokaler Eigenschaften sollte eine lokales Adminkondo verwendet werden, eigentlich.
Oder ein Domänenkonto das keinServerprofil hat und auch kein Domänenadmin ist und nur überall Lokaler Admin ist.

Zum Beispiel Batch-Dateien um Arbeitsabläufe zu vereinfachen.
Normale Benutzer schreiben sich selber Batchdateien oder Scripte?....
Wenn dann sollten diese icht innerhalb des Profils abgelegt werden sondern in extra Freigaben von denen ein Ausfühten möglich ist.

Immer dran denken die ganzen Cryptotrojaner laufen im benutzerkontext ab, die werden irgendwo im Profil runtergeladen und dann durt gestartet und verrichtien ihr Werk.
Wenn innerhalb des Profils nicht gestartet werden kann, ist man wesentlich sicherer.

Gruß

Chonta
Bitte warten ..
Heiß diskutierte Inhalte
Festplatten, SSD, Raid
Festplatte aus defekten Notebook ausgebaut - wird nicht erkannt - Wie gelange ich an meine Daten?
gelöst 1nCoreVor 1 TagFrageFestplatten, SSD, Raid15 Kommentare

Hallo liebe Community, nach 7 Jahren hat mein XMG Notebook seinen Geist aufgegeben In dem Notebook waren zwei Festplatten verbaut (eine für System und ...

Erkennung und -Abwehr
Wie geschickt sich Malware verstecken kann - Ein Beispiel aus der Praxis eines Security Experts
colinardoVor 1 TagTippErkennung und -Abwehr5 Kommentare

Servus Kollegen und Mitstreiter, da ja in letzter Zeit die Exchange-Lücken die Admin-Landschaft ziemlich aufgewirbelt haben und dabei auch immer mal wieder "sogenannte" Admins ...

Windows Netzwerk
MS Lizenzierung - externe Scandienstleistung
monstermaniaVor 1 TagFrageWindows Netzwerk9 Kommentare

Hallo Allerseits, ich habe da mal eine Frage an die MS Lizenzspeziallisten. Eine externe Firma soll Scandienstleistungen für uns erledigen. Dazu ist angedacht, dass ...

Exchange Server
Exchange Update CU19 auf CU20 Fehler - Eine weitere Version dieses Produkts ist bereits installiert
gelöst StefanKittelVor 1 TagFrageExchange Server6 Kommentare

Hallo, ich habe hier einen Exchange 2016 mit CU19 (15.1.2176.2). Darauf wollte ich nun CU20 installiert. Download Es erscheint Eine weitere Version dieses Produkts ...

Windows Server
Hat Microsoft die WindowsServerSicherung oder diskpart zerpatcht?
anteNopeVor 20 StundenFrageWindows Server3 Kommentare

Hallo, kann es eventuell sein, dass Microsoft mit seinen letzten Updates die WindowsServerSicherung bzw. diskpart zerschossen hat? Es häufen sich bei mir seit gestern ...

Windows 10
Windows 10 Updates im Abgesicherten Modus nicht möglich!
gelöst Yuuto.LucasVor 1 TagFrageWindows 1016 Kommentare

Hallo, ich habe aktuell ein Problem bei einem Kunden Rechner. Bei diesem gibt es Probleme mit dem Soundkarten Treiber hdaudio.inf wegen dem der PC ...

Windows 10
Lokales Profil wird beim Herunterfahren gelöscht!
Yuuto.LucasVor 1 TagFrageWindows 1012 Kommentare

Hallo, ich habe aktuell folgendes Problem. An einem Kundenrechner ist aktuell ein Lokales Profil eingerichtet (vorher ein Server Profil bei dem das gleiche Problem ...

Ubuntu
Cups-Server mit SMB lehnt Verbindungen ab (smb.conf)?
ErikHeinemannVor 10 StundenFrageUbuntu17 Kommentare

Guten Morgen, ich habe einen Ubuntu 20.04 Server mit Cups als Printspooler. Nun Soll noch Samba hinzugefügt werden für eine einfache Verwendung unter Windows. ...