txgrey
Goto Top

GPO- "angegebene Windows-Anwendungen nicht ausführen" (Sicherheitslücke)

Hey,
Ich bin neu und hätte eine Frage.
Ich habe einen Windows 2012 R2 Server aufgesetzt und bin gerade dabei mich in Gruppenrichtlinien hineinzulesen.
Da kam mir die Richtlinie "Angegebene Windows-Anwendung nicht ausführen" in den Kopf.
In meinem fall ist die anwendung die nicht ausgeführt werden soll Notepad.exe.
Allerdings könnte der User doch einfach die Anwendung umbennen und dann starten was eine riesige Sicherheitslücke enstehen lässt.
Genauso könnte er auch über CMD Notepad.exe ausführen.
Jetzt ist meine Frage welche optionen gibt es um das alles mit Gpo einzuschränken.

lg, Txgrey

Content-ID: 316425

Url: https://administrator.de/contentid/316425

Ausgedruckt am: 21.11.2024 um 23:11 Uhr

Xerebus
Xerebus 28.09.2016 um 13:39:00 Uhr
Goto Top
Wie kann der Aw Notepad umbenennen?
Nur mit Adminrechten....
emeriks
Lösung emeriks 28.09.2016 um 13:43:29 Uhr
Goto Top
Hi,
ja, wenn Du diese einfach Einstellung nimmst, dann kann er die EXE auf seinen Desktop kopieren, umbennen und starten.

Schau mal
Computerkonfiguration - Richtlinien - Windows Einstellungen - Sicherheitseinstellungen - Richtlinien für Softwareeinschränkungen

Dort kann man Pfad- und/oder Hash-Regeln festlegen.

Bei Hash kann man die Dateien kopieren und umbenennen wie man will, er erkennt sie trozdem. Man muss schon min. ein Byte der Datei ändern, damit sich der Hsch ändert.

E.
DerWoWusste
DerWoWusste 28.09.2016 um 13:50:46 Uhr
Goto Top
Hi.

Die genannte GPO ist nicht als Sicherheitsfeature gedacht. Nimm stattdessen applocker oder emeriks Vorschlag (den Vorgänger von applocker).
Noch weitaus einfacher, falls Du dich nicht gegen ein portables notepad schüzten willst, sondern lediglich vor Benutzung des eingebauten: NTFS-Leserechte auf die notepad.exe für User entfernen.
thomasreischer
thomasreischer 28.09.2016 um 16:09:23 Uhr
Goto Top
Ist allerdings leider beides enterprise exklusiv
DerWoWusste
DerWoWusste 28.09.2016 um 17:04:55 Uhr
Goto Top
Hä?
Weder Applocker noch emeriks Software restriction Policies sind enterprise-exklusiv. Wir reden von einem Server OS. Auf einem Client-OS sieht das anders aus, da gibt es kein applocker ohne enterprise-Lizenz.
emeriks
emeriks 28.09.2016 um 17:52:16 Uhr
Goto Top
Auf einem Client-OS sieht das anders aus, da gibt es kein applocker ohne enterprise-Lizenz.
Aber die Vorgänger-Version "Richtlinien für Softwareeinschränkungen"
thomasreischer
thomasreischer 28.09.2016 um 17:52:33 Uhr
Goto Top
Ja, auf dem Server selbst klappt es natürlich so
Breadfish
Breadfish 11.08.2022 um 18:39:02 Uhr
Goto Top
Wie kann man auf Windows Server 2022 einstellen das Administratoren weiterhin die Programme was auf der Blacklist trotzdem öffnen können?
Also nur normale User betrifft dann die Blockade
DerWoWusste
DerWoWusste 11.08.2022 um 19:40:23 Uhr
Goto Top
Die Regeln sehen doch vor, dass man angibt, für wen was gilt. Dein Missverständnis ist evtl., dass du eine Regel hast "Administratoren dürfen alles", aber diese Regel nicht zieht. Das liegt an der UAC. Ist die an, sind Admins erst nach Elevation echte Admins. Rechtsklicken also eine Anwendung und wähle "als Administrator ausführen". Oder erstelle eine eigene Gruppe "Applockeradmins" und arbeite mit dieser.