bulldozer90
Goto Top

Ausführen von Dateien im Download Ordner verhindern (GPO, usw?)

Guten Morgen zusammen,

kurze Frage zu folgender Vorstellung:

Ist es möglich unter den Windows Clients den C:\Users\*\Downloads Ordner (bzw. allgmeine Ornder) so zu härten, dass aus diesem keine ausführbare Dateien (komplette Palette) gestartet werden können?

Hintergrund ist dass die meisten Intrusions von genau dort gestartet werden, z.B. unachtsam aus Fishing-Mail ein .js Skript nachgeladen, landet bekannter Weise genau dort.

Würde mich über einen kurzen Austausch freuen.

Viele Grüße

Content-ID: 7122203595

Url: https://administrator.de/contentid/7122203595

Ausgedruckt am: 07.11.2024 um 13:11 Uhr

3063370895
3063370895 12.05.2023 aktualisiert um 08:33:40 Uhr
Goto Top
Moin.

Was für ne Umgebung? On-prem AD? Intune?
Schau dir AppLocker an..

-Thomas
bulldozer90
bulldozer90 12.05.2023 um 08:36:29 Uhr
Goto Top
Moing chaoti,

sorry, On Prem AD - Server 2019 - Win10 Clients

Grüße
3063370895
Lösung 3063370895 12.05.2023 aktualisiert um 13:09:28 Uhr
Goto Top
On Prem AD - Server 2019 - Win10 Clients

Am einfachsten über ein Applocker-GPO
Computerconfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Anwendungssteuerungsrichtlinien\Applocker\Ausführbare Regeln

Für jeden Typ (Ausführbahre, Installer, Skript, App-Paket) eine neue Regel erstellen, Jeder Verweigern, Pfad, als Ordner
%OSDRIVE%\Users\*\Downloads\*

angeben.
Regelerzwingung konfigurieren.
Unbedingt rechtsklick auf "App-Paketregeln" und Standardregeln erstellen!
Zusätzlich in dem GPO einstellen:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Systemdienste\Anwendungsidentität
Starttyp auf automatisch setzen. Der Dienst ist für Applocker nötig.

GPO mit Computer/Gruppe mit Computer verknüpfen (erst testen!)

Applocker Doku

Achja, lass dich nicht dazu verleiten SRPs zu benutzen, die sind veraltet und werden ab Windows 11 22H2 nicht mehr unterstützt.

-Thomas
bulldozer90
bulldozer90 12.05.2023 um 08:48:17 Uhr
Goto Top
Viele Dank Thomas für deinen ausführlichen Beitrag!

Genau so werden wir das mal testen, das ist genau das was ich gesucht hatte ;)
3063370895
3063370895 12.05.2023 aktualisiert um 08:58:34 Uhr
Goto Top
Hinweis noch, früher brauchte man Enterprise-Versionen von Windows für Applocker, das ist seit einer Weile nicht mehr nötig. Alle Windows 10 Versionen ab 2004 und alle Windows 11 unterstützen seit Februar 2023 Applocker.

Wichtig ist, dass die Geräte auf aktuellem Patchstand (oder mindestens Stand März 2023) sein müssen, da zwischen September 22 und Februar 23 die Editionsprüfung mittels Updates deaktiviert wurde

-Thomas
Hubert.N
Hubert.N 12.05.2023 um 09:40:52 Uhr
Goto Top
Moin

Zitat von @bulldozer90:
Hintergrund ist dass die meisten Intrusions von genau dort gestartet werden, z.B. unachtsam aus Fishing-Mail ein .js Skript nachgeladen, landet bekannter Weise genau dort.

Noch mal nachgehakt: Wieso ist das "bekannter Weise"? Ich hätte da eher den Temp-Ordner im Sinn.

Gruß
6376382705
6376382705 12.05.2023 aktualisiert um 12:43:03 Uhr
Goto Top
Hallo.

bekannter Weise
gleichen Gedanken gehabt. Ich habe bislang selten irgendwelche Schadsoftware gesehen, die sich schön sichtbar im DL Verzeichnis breit macht. Tendenziell eher im tmp/temp Ordner mit kryptischer Benamung.


Zitat von @3063370895:

On Prem AD - Server 2019 - Win10 Clients

Am einfachsten über ein Applocker-GPO
Computerconfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Anwendungssteuerungsrichtlinien\Applocker\Ausführbare Regeln

Für jeden Typ (Ausführbahre, Installer, Skript, App-Paket) eine neue Regel erstellen, Jeder Verweigern, Pfad, als Ordner
%OSDRIVE%\Users\*\Downloads\*
angeben.
Regelerzwingung konfigurieren.

Zusätzlich in dem GPO einstellen:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Systemdienste\Anwendungsidentität
Starttyp auf automatisch setzen. Der Dienst ist für Applocker nötig.

GPO mit Computer/Gruppe mit Computer verknüpfen (erst testen!)

Applocker Doku

Achja, lass dich nicht dazu verleiten SRPs zu benutzen, die sind veraltet und werden ab Windows 11 22H2 nicht mehr unterstützt.

-Thomas
^ ist mit Vorsicht zu genießen.

Meinen Testrechner habe ich damit soeben gehimmelt. Nicht mal mehr im abgesicherten Modus startet die Taskleiste :D

FYI.
Grüße
3063370895
3063370895 12.05.2023 aktualisiert um 13:02:59 Uhr
Goto Top
Zitat von @6376382705:
Meinen Testrechner habe ich damit soeben gehimmelt. Nicht mal mehr im abgesicherten Modus startet die Taskleiste

Dafür hat man Testrechner :D
Was hast du denn eingestellt?

-Thomas
3063370895
3063370895 12.05.2023 aktualisiert um 13:25:42 Uhr
Goto Top
Ah ich konnte das Problem nachvollziehen.
Bearbeite das GPO nochmal und rechtsklick auf "App-Paketregeln" und Standardregeln erstellen.
2023-05-12 13_11_31-_win10-arbeit_ auf _pc_ - verbindung mit virtuellen computern
Win+R auf dem betroffenen Gerät, cmd, gpupdate und enter. Ab- und anmelden und die Kiste läuft wieder!

-Thomas

PS: eventvwr war sehr hilfreich:
2023-05-12 13_15_05-_win10-arbeit_ auf _pc_ - verbindung mit virtuellen computern
6376382705
6376382705 12.05.2023 um 14:00:38 Uhr
Goto Top
Win+R auf dem betroffenen Gerät, cmd, gpupdate und enter. Ab- und anmelden und die Kiste läuft wieder!
Keine Chance. WinR klappte nur noch im abgesicherten Mode und da mag er kein Gpupdate mehr. Kam eine mir nicht bekannte (und vermutlich auch seltene) Fehlermeldung. Nichtmal die Benutzereinstellungen wollte er mehr ziehen.

Winblöd im Eimer. Image läuft schon wieder drüber.

Gut, dass das geklärt ist und wir gemeinsam eine gewisse Katastrophe verhindern konnten mit deinem Ersttutorial. Ich denke da speziell an die "Copy&Pasta"-Admins, die alles Firmenweit ausrollen ohne getestet zu haben.

Gruß