GPO- "angegebene Windows-Anwendungen nicht ausführen" (Sicherheitslücke)
Hey,
Ich bin neu und hätte eine Frage.
Ich habe einen Windows 2012 R2 Server aufgesetzt und bin gerade dabei mich in Gruppenrichtlinien hineinzulesen.
Da kam mir die Richtlinie "Angegebene Windows-Anwendung nicht ausführen" in den Kopf.
In meinem fall ist die anwendung die nicht ausgeführt werden soll Notepad.exe.
Allerdings könnte der User doch einfach die Anwendung umbennen und dann starten was eine riesige Sicherheitslücke enstehen lässt.
Genauso könnte er auch über CMD Notepad.exe ausführen.
Jetzt ist meine Frage welche optionen gibt es um das alles mit Gpo einzuschränken.
lg, Txgrey
Ich bin neu und hätte eine Frage.
Ich habe einen Windows 2012 R2 Server aufgesetzt und bin gerade dabei mich in Gruppenrichtlinien hineinzulesen.
Da kam mir die Richtlinie "Angegebene Windows-Anwendung nicht ausführen" in den Kopf.
In meinem fall ist die anwendung die nicht ausgeführt werden soll Notepad.exe.
Allerdings könnte der User doch einfach die Anwendung umbennen und dann starten was eine riesige Sicherheitslücke enstehen lässt.
Genauso könnte er auch über CMD Notepad.exe ausführen.
Jetzt ist meine Frage welche optionen gibt es um das alles mit Gpo einzuschränken.
lg, Txgrey
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 316425
Url: https://administrator.de/contentid/316425
Ausgedruckt am: 21.11.2024 um 23:11 Uhr
9 Kommentare
Neuester Kommentar
Hi,
ja, wenn Du diese einfach Einstellung nimmst, dann kann er die EXE auf seinen Desktop kopieren, umbennen und starten.
Schau mal
Computerkonfiguration - Richtlinien - Windows Einstellungen - Sicherheitseinstellungen - Richtlinien für Softwareeinschränkungen
Dort kann man Pfad- und/oder Hash-Regeln festlegen.
Bei Hash kann man die Dateien kopieren und umbenennen wie man will, er erkennt sie trozdem. Man muss schon min. ein Byte der Datei ändern, damit sich der Hsch ändert.
E.
ja, wenn Du diese einfach Einstellung nimmst, dann kann er die EXE auf seinen Desktop kopieren, umbennen und starten.
Schau mal
Computerkonfiguration - Richtlinien - Windows Einstellungen - Sicherheitseinstellungen - Richtlinien für Softwareeinschränkungen
Dort kann man Pfad- und/oder Hash-Regeln festlegen.
Bei Hash kann man die Dateien kopieren und umbenennen wie man will, er erkennt sie trozdem. Man muss schon min. ein Byte der Datei ändern, damit sich der Hsch ändert.
E.
Hi.
Die genannte GPO ist nicht als Sicherheitsfeature gedacht. Nimm stattdessen applocker oder emeriks Vorschlag (den Vorgänger von applocker).
Noch weitaus einfacher, falls Du dich nicht gegen ein portables notepad schüzten willst, sondern lediglich vor Benutzung des eingebauten: NTFS-Leserechte auf die notepad.exe für User entfernen.
Die genannte GPO ist nicht als Sicherheitsfeature gedacht. Nimm stattdessen applocker oder emeriks Vorschlag (den Vorgänger von applocker).
Noch weitaus einfacher, falls Du dich nicht gegen ein portables notepad schüzten willst, sondern lediglich vor Benutzung des eingebauten: NTFS-Leserechte auf die notepad.exe für User entfernen.
Die Regeln sehen doch vor, dass man angibt, für wen was gilt. Dein Missverständnis ist evtl., dass du eine Regel hast "Administratoren dürfen alles", aber diese Regel nicht zieht. Das liegt an der UAC. Ist die an, sind Admins erst nach Elevation echte Admins. Rechtsklicken also eine Anwendung und wähle "als Administrator ausführen". Oder erstelle eine eigene Gruppe "Applockeradmins" und arbeite mit dieser.